Как настроить Snort в Debian

• Обновление, обновление и перезагрузка
• Предварительная установка конфигурации
• Установка библиотеки сбора данных (DAQ)
• Установка Snort
• Нерутинг Snort

Snort - это бесплатная система обнаружения вторжений в сеть (IDS). В менее официальных терминах, это позволяет вам отслеживать вашу сеть на предмет подозрительной активности в режиме реального времени . В настоящее время Snort имеет пакеты для систем на базе Fedora, CentOS, FreeBSD и Windows. Точный метод установки зависит от операционной системы. В этом уроке мы будем устанавливать напрямую из исходных файлов Snort. Это руководство было написано для Debian.

Обновление, обновление и перезагрузка

Прежде чем мы действительно получим в свои руки источники Snort, мы должны убедиться, что наша система обновлена. Мы можем сделать это, выполнив команды ниже.

sudo apt-get update
sudo apt-get upgrade -y
sudo reboot

Предварительная установка конфигурации

После перезагрузки вашей системы нам нужно установить несколько пакетов, чтобы убедиться, что мы можем установить SBPP. Мне удалось выяснить, какое количество пакетов понадобилось, поэтому базовая команда находится ниже.

sudo apt-get install flex bison build-essential checkinstall libpcap-dev libnet1-dev libpcre3-dev libnetfilter-queue-dev iptables-dev libdumbnet-dev zlib1g-dev -y

После того, как все пакеты установлены, вам нужно будет создать временный каталог для ваших исходных файлов - они могут быть где угодно. Я буду использовать /usr/src/snort_src. Чтобы создать эту папку, вам необходимо войти в систему как rootпользователь или иметь sudoправа доступа - rootпросто это упрощается.

sudo mkdir /usr/src/snort_src
cd /usr/src/snort_src

Установка библиотеки сбора данных (DAQ)

Прежде чем мы сможем получить исходный код Snort, нам нужно установить DAQ. Это довольно просто установить.

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

Извлеките файлы из архива.

tar xvfz daq-2.0.6.tar.gz

Перейдите в каталог DAQ.

cd daq-2.0.6

Настройте и установите DAQ.

./configure; make; sudo make install

Эта последняя строка будет выполняться ./configureпервой. Тогда это выполнится make. Наконец, он будет выполнен make install. Здесь мы используем более короткий синтаксис, чтобы немного сэкономить при наборе текста.

Установка Snort

Мы хотим убедиться, что мы снова в /usr/src/snort_srcкаталоге, поэтому обязательно перейдите в этот каталог с помощью:

cd /usr/src/snort_src

Теперь, когда мы находимся в каталоге для источников, мы загрузим tar.gzфайл для источника. На момент написания этой статьи самая последняя версия Snort 2.9.8.0.

wget https://www.snort.org/downloads/snort/snort-2.9.8.0.tar.gz

Команды для фактической установки snort очень похожи на те, которые используются для DAQ, но имеют разные параметры.

Распакуйте исходные файлы Snort.

tar xvfz snort-2.9.8.0.tar.gz

Перейдите в исходный каталог.

cd snort-2.9.8.0

Настройте и установите источники.

 ./configure --enable-sourcefire; make; sudo make install

Пост-установка Snort

После установки Snort мы должны убедиться, что наши общие библиотеки обновлены. Мы можем сделать это с помощью команды:

sudo ldconfig

После того, как мы это сделаем, проверьте вашу установку Snort:

snort --version

Если эта команда не работает, вам нужно создать символическую ссылку. Вы можете сделать это, набрав:

sudo ln -s /usr/local/bin/snort /usr/sbin/snort
snort --version

Полученный результат будет выглядеть следующим образом:

   ,,_     -*> Snort! <*-
  o"  )~   Version 2.9.7.5 GRE (Build 262)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
           Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
           Copyright (C) 1998-2013 Sourcefire, Inc., et al.
           Using libpcap version 1.6.2
           Using PCRE version: 8.35 2014-04-04
           Using ZLIB version: 1.2.8

Нерутинг Snort

Теперь, когда у нас установлен snort, мы не хотим, чтобы он работал как root, поэтому нам нужно создать snortпользователя и группу. Чтобы создать нового пользователя и группу, мы можем использовать эти две команды:

sudo groupadd snort
sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort

Поскольку мы установили программу с использованием исходного кода, нам нужно создать файлы конфигурации и правила для snort.

sudo mkdir /etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/preproc_rules
sudo touch /etc/snort/rules/white_list.rules /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules

После того, как мы создадим каталоги и правила, теперь нам нужно создать каталог журналов.

sudo mkdir /var/log/snort

И, наконец, прежде чем мы сможем добавить какие-либо правила, нам нужно место для хранения динамических правил.

sudo mkdir /usr/local/lib/snort_dynamicrules

Как только все предыдущие файлы будут созданы, установите для них соответствующие разрешения.

sudo chmod -R 5775 /etc/snort
sudo chmod -R 5775 /var/log/snort
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules
sudo chown -R snort:snort /etc/snort
sudo chown -R snort:snort /var/log/snort
sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules

Настройка файлов конфигурации

Чтобы сэкономить время и избежать необходимости копировать и вставлять все, давайте просто скопируем все файлы в каталог конфигурации.

sudo cp /usr/src/snort_src/snort*/etc/*.conf* /etc/snort
sudo cp /usr/src/snort_src/snort*/etc/*.map /etc/snort

Теперь, когда есть файлы конфигурации, вы можете сделать одну из двух вещей:

• Вы можете включить Barnyard2
• Или вы можете просто оставить конфигурационные файлы в покое и выборочно включить нужные правила.

В любом случае, вы все равно захотите изменить несколько вещей. Продолжай читать.

конфигурация

В /etc/snort/snort.confфайле вам нужно будет изменить переменную HOME_NET. Он должен быть настроен на IP-блок вашей внутренней сети, чтобы не регистрировать попытки вашей собственной сети войти на сервер. Это может быть 10.0.0.0/24или 192.168.0.0/16. В строке 45 /etc/snort/snort.confизмените переменную HOME_NETна это значение IP-блока вашей сети.

В моей сети это выглядит так:

ipvar HOME_NET 192.168.0.0/16

Затем вам нужно установить EXTERNAL_NETпеременную на:

any

Который просто превращается EXERNAL_NETво что бы то ни HOME_NETбыло.

Установление правил

Теперь, когда большая часть системы настроена, нам нужно настроить наши правила для этого маленького поросенка. Где - то около линии 104 в вашем /etc/snort/snort.confфайле, вы должны увидеть «вар» декларации и переменные RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH, и BLACK_LIST_PATH. Их значения должны быть установлены на пути, которые мы использовали в Un-rooting Snort.

var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Как только эти значения установлены, удалите или закомментируйте текущие правила, начиная со строки 548.

Теперь давайте проверим правильность вашей конфигурации. Вы можете проверить это с snort.

 # snort -T -c /etc/snort/snort.conf

Вы увидите вывод, похожий на следующий (сокращен для краткости).

 Running in Test mode

         --== Initializing Snort ==--
 Initializing Output Plugins!
 Initializing Preprocessors!
 Initializing Plug-ins!
 .....
 Rule application order: activation->dynamic->pass->drop->sdrop->reject->alert->log
 Verifying Preprocessor Configurations!

         --== Initialization Complete ==--

    ,,_     -*> Snort! <*-
   o"  )~   Version 2.9.8.0 GRE (Build 229) 
    ''''    By Martin Roesch & The Snort Team: http://www.snort.org/contact#team
            Copyright (C) 2014-2015 Cisco and/or its affiliates. All rights reserved.
            Copyright (C) 1998-2013 Sourcefire, Inc., et al.
            Using libpcap version 1.7.4
            Using PCRE version: 8.35 2014-04-04
            Using ZLIB version: 1.2.8

            Rules Engine: SF_SNORT_DETECTION_ENGINE  Version 2.4  <Build 1>
            Preprocessor Object: SF_IMAP  Version 1.0  <Build 1>
            Preprocessor Object: SF_FTPTELNET  Version 1.2  <Build 13>
            Preprocessor Object: SF_SIP  Version 1.1  <Build 1>
            Preprocessor Object: SF_REPUTATION  Version 1.1  <Build 1>
            Preprocessor Object: SF_POP  Version 1.0  <Build 1>
            Preprocessor Object: SF_DCERPC2  Version 1.0  <Build 3>
            Preprocessor Object: SF_SDF  Version 1.1  <Build 1>
            Preprocessor Object: SF_GTP  Version 1.1  <Build 1>
            Preprocessor Object: SF_DNS  Version 1.1  <Build 4>
            Preprocessor Object: SF_SSH  Version 1.1  <Build 3>
            Preprocessor Object: SF_DNP3  Version 1.1  <Build 1>
            Preprocessor Object: SF_SSLPP  Version 1.1  <Build 4>
            Preprocessor Object: SF_SMTP  Version 1.1  <Build 9>
            Preprocessor Object: SF_MODBUS  Version 1.1  <Build 1>

 Snort successfully validated the configuration!
 Snort exiting

Теперь, когда все настроено без ошибок, мы готовы начать тестирование Snort.

Тестирование Snort

Самый простой способ проверить Snort - включить local.rules. Это файл, который содержит ваши пользовательские правила.

Если вы заметили в snort.confфайле где-то около строки 546, эта строка существует:

include $RULE_PATH/local.rules

Если у вас его нет, пожалуйста, добавьте его около 546. Затем вы можете использовать local.rulesфайл для тестирования. В качестве базового теста я просто использую Snort для отслеживания ping-запроса (ICMP-запроса). Вы можете сделать это, добавив следующую строку в ваш local.rulesфайл.

 alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)

Как только у вас есть это в вашем файле, сохраните его и продолжайте чтение.

Запустить тест

Следующая команда запустит Snort и напечатает оповещения «быстрого режима», как пользователь snort, в группе snort, используя config /etc/snort/snort.conf, и будет прослушивать сетевой интерфейс eno1. Вам нужно будет переключиться eno1на любой сетевой интерфейс, который прослушивает ваша система.

$ sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eno1

Запустив компьютер, пингуйте этот компьютер. Вы начнете видеть вывод, который выглядит следующим образом:

01/07−16:03:30.611173 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
01/07−16:03:31.612174 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.104 -> 192.168.1.105
01/07−16:03:31.612202 [**] [1:10000001:0] ICMP test [**] [Priority: 0]  192.168.1.105 -> 192.168.1.104
^C*** Caught Int−Signal

Вы можете нажать Ctrl + C, чтобы выйти из программы, и все. Snort все настроено. Теперь вы можете использовать любые правила, которые пожелаете.

Наконец, я хочу отметить, что существуют некоторые общедоступные правила, разработанные сообществом, которые можно загрузить с официального сайта на вкладке «Сообщество». Ищите «Snort», тогда просто под этим есть ссылка сообщества. Загрузите его, извлеките его и найдите community.rulesфайл.