Заштитите своју мрежу од уљеза и нежељених напада инсталирањем и подешавањем Снорт ИДС-а.

Ако сте озбиљни по питању безбедности мреже, инсталирање ИПС или ИДС решења је неопходно да бисте ојачали периметар мреже и одбили потенцијално нежељени мрежни саобраћај.

Снорт је једно тако познато, бесплатно за личну употребу и отворено ИПС/ИДС решење. Хајде да научимо како можете да инсталирате и подесите Снорт на Линук-у да бисте заштитили своју мрежу од сајбер напада.

Шта је Снорт?

Снорт је опен-соурце Систем за детекцију и превенцију упада у мрежу (НИДС/ИПС) софтвер који, као што име наговештава, помаже у обезбеђивању вашег мрежног периметра применом правила и филтера који откривају и испуштају потенцијално злонамерне пакете убачене у вашу мрежу.

Са Снортом, моћи ћете да обављате напредно евидентирање мрежног саобраћаја, њушкање и анализу пакета, и изградите снажан систем за превенцију упада који штити вашу мрежу од нежељених и потенцијално злонамерних саобраћај.

Предуслови за инсталирање Снорт-а

instagram viewer

Пре него што инсталирате Снорт, потребно је извршити нека прелиминарна подешавања. Ово углавном укључује ажурирање и надоградњу вашег система и инсталирање зависности које Снорт захтева да би правилно функционисао.

Почните ажурирањем и надоградњом вашег система.

На Убунту- и Линук дистрибуције засноване на Дебиану:

судо апт ажурирање && апт надоградња -и

На Арцх Линук-у и његовим дериватима:

судо пацман -Сиу

На РХЕЛ-у и Федори:

судо днф упграде

Са надограђеним системом, наставите да инсталирате зависности које захтева Снорт. Ево команди које треба да покренете:

На Убунту и Дебиан-у покрените:

судо апт инсталл -и буилд-ессентиал аутотоолс-дев либдумбнет-дев либлуајит-5.1-дев либпцап-дев злиб1г-дев пкг-цонфиг либхвлоц-дев цмаке либлзма-дев опенссл либссл-дев цппутест либсклите3-дев либтоол ууид-дев гит аутоцонф бисон флек либцмоцка-дев либнетфилтер-куеуе-дев либунвинд-дев либмнл-дев етхтоол либјемаллоц-дев либпцре++-дев

На Арцх Линук-у покрените:

судо пацман -С гперфтоолс хвлоц хиперсцан ибдаклибднет либмнл либпцап либунвинд луајит лз4 опенссл пцре пулледпорккз злиб цмаке пкгцонф

За РХЕЛ и Федора, издајте следећу команду:

судо днф инсталл гцц гцц-ц++ либнетфилтер_куеуе-девел гит флек бисон злиб злиб-девел пцре пцредевел либднет тцпдумп либнгхттп2 вгет кз-девел -и

Поред тога, такође морате ручно да инсталирате библиотеку за прикупљање података, ЛибДАК за Снорт да би исправно функционисао и такође гперфтоолс за генерисање датотека за прављење.

Прво преузмите изворне датотеке ЛибДАК са званичне веб странице користећи команду вгет. Затим извуците архиву и пређите у директоријум користећи цд. Унутар директоријума покрените боотстрап и конфигурисати скрипте затим наставите да припремате датотеке са маке и инсталирајте их са направи инсталацију команда.

вгет https://www.snort.org/downloads/snortplus/libdaq-3.0.11.tar.gz
тар -кзвф либ*
цд либ*
./боотстрап
./цонфигуре
направити
судо маке инсталл

Када је ЛибДАК инсталиран, потребно је да инсталирате још једну зависност: гперфтоолс. Започните преузимањем изворних датотека из ГитХуб репо-а. Извуците датотеке, померите се у директоријум и покрените скрипту за конфигурисање. На крају, инсталирајте пакет користећи команде маке и маке инсталл.

вгет https://github.com/gperftools/gperftools/releases/download/gperftools-2.10/gperftools-2.10.tar.gz
тар -квзф гпер* && цд гпер
./цонфигуре
направити 
судо маке инсталл

Када су ове зависности инсталиране, можете прећи на следеће кораке за инсталирање Снорт-а.

Инсталирајте Снорт Фром Соурце на Линук

Са прелиминарним подешавањем, сада можете да се фокусирате на инсталирање стварног софтвера. Правићете га из извора, па прво узмите потребне датотеке за изградњу.

Користите команду вгет или преузмите датотеке ручно са званичне странице за преузимање:

вгет https://www.snort.org/downloads/snortplus/snort3-3.1.58.0.tar.gz

Преузимање:Снорт

Када се заврши преузимање архиве која садржи датотеке за изградњу, распакујте је помоћу команде тар:

тар -кзвф снорт*

Пређите у екстраховани фолдер, покрените конфигурациону скрипту, користите команду маке да припремите датотеке и на крају их инсталирајте са направи инсталацију:

цд снорт*
./цонфигуре_цмаке.сх --префик=/уср/лоцал --енабле-тцмаллоц
цд буилд
направити
судо маке инсталл

Снорт ће сада бити успешно инсталиран у вашем систему. Међутим, постоји само још један корак који треба да завршите. Када се нови софтвер инсталира ручно, инсталациони директоријум и потребне библиотеке можда неће бити аутоматски укључене у подразумевану путању система. Тако да можете наићи на грешке приликом покретања апликације.

Да бисте избегли овај проблем, потребно је да покренете команду лдцонфиг. Он ће синхронизовати кеш дељене библиотеке система са новоинсталираним библиотекама и бинарним датотекама. Или покрените команду лдцонфиг из основне љуске или користите судо префикс:

судо лдцонфиг

Сада сте покрили све важне кораке потребне за инсталирање Снорт-а. Да бисте проверили инсталацију, покрените команду Снорт са заставицу, и требало би да видите излаз који враћа име верзије и друге податке.

фркнути -В

Након што сте верификовали Снорт инсталацију, пређите на следеће кораке да бисте је поставили као потпуни ИДС/ИПС.

Почетна конфигурација Снорт-а на Линук-у

Ефикасност Снорт-а скоро у потпуности зависи од квалитета скупова правила којима се испоручује.

Међутим, пре него што почнете да постављате правила, морате да конфигуришете мрежне картице да раде са Снорт-ом и такође морате да тестирате како Снорт рукује подразумеваном конфигурацијом. Почните тако што ћете конфигурисати мрежне картице.

Подесите мрежни интерфејс на промискуитетни режим:

судо ип линк сет дев интерфаце_наме промисц он

Користећи етхтоол, онемогућите генеричко ослобађање пријема (ГРО) и велико ослобађање пријема (ЛРО) да бисте спречили скраћивање већих мрежних пакета:

судо етхтоол -К интерфаце_наме гро офф лро офф

Тестирајте како Снорт ради са подразумеваном конфигурацијом:

снорт -ц /уср/лоцал/етц/снорт/снорт.луа

Ово би требало да врати успешну излазну сигнализацију да сте правилно инсталирали и подесили Снорт у свом систему. Сада можете да се бавите његовим функцијама и експериментишете са различитим конфигурацијама да бисте пронашли најбољи скуп правила за обезбеђење ваше мреже.

Поставите правила и примените их помоћу Снорт-а

Са основним подешавањима, Снорт је сада спреман да брани ваш периметар. Као што знате, Снорт-у су потребни скупови правила да би се утврдила валидност саобраћаја, хајде да поставимо неколико бесплатних скупова правила за Снорт.

Снорт чита скупове правила и конфигурације из одређених директоријума. Дакле, прво, користећи команде мкдир и тоуцх, направите неколико важних директоријума за чување правила и других релевантних података за Снорт:

судо мкдир -п /уср/лоцал/етц/{листе, со_рулес, правила} 
судо додирните /уср/лоцал/етц/рулес/лоцал.рулес 
судо тоуцх /уср/лоцал/етц/листс/дефаулт.блоцклист

Са овим креираним директоријумима, можете преузети скуп правила заједнице са званичне веб странице користећи команду вгет:

вгет https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

Када се скуп правила заврши са преузимањем, распакујте га и копирајте у /usr/local/etc/rules/ именик.

тар -квзф снорт3-цом*
цд снорт3-цом*
цп * /уср/лоцал/етц/рулес/

Да бисте покренули Снорт са скупом правила, извршите ову команду:

судо снорт -ц /уср/лоцал/етц/снорт/снорт.луа -Р /уср/лоцал/етц/рулес/снорт3-цоммунити.рулес -и интерфаце_наме -с 65535 -к нема

Распад команде:

  • поставља путању до подразумеване конфигурационе датотеке
  • поставља путању до постављеног правила за примену
  • поставља интерфејс
  • одбацује ограничење снаплена
  • игнорише контролне суме

Ово би требало да потврди конфигурацију и примени све скупове правила на Снорт-у. Чим открије било какве сметње у мрежи, упозориће вас поруком на конзоли.

Ако желите да креирате и примените сопствени скуп правила, можете сазнати више о томе из странице званичне документације.

Подесите евидентирање помоћу Снорт-а

Подразумевано, Снорт не емитује евиденцију. Морате да наведете са означите за покретање Снорт у режиму евидентирања, дефинишете тип датотеке евиденције и флаг да бисте подесили директоријум за евидентирање за Снорт да избацује евиденцију.

Ево команде за покретање Снорт-а са омогућеним евидентирањем:

судо снорт -ц /уср/лоцал/етц/снорт/снорт.луа -Р /уср/лоцал/етц/рулес/снорт3-цоммунити.рулес -и интерфаце_наме -с 65535 -к ноне -Л филе_типе -л /вар/лог /снорт

Распад команде:

  • поставља путању до подразумеване конфигурационе датотеке
  • поставља путању до постављеног правила за примену
  • поставља интерфејс
  • одбацује ограничење снаплена
  • игнорише контролне суме
  • омогућава режим евидентирања и дефинише тип датотеке евиденције
  • дефинише путању за складиштење дневника

Имајте на уму да је у пример команде директоријум за евидентирање постављен на /var/log/snort. Иако је ово препоручена пракса, можете слободно да складиштите своје евиденције на другом месту.

Можете прочитати датотеке евиденције из Снорт-а из директоријума који сте дефинисати или их проследити у СИЕМ софтвер као што је Сплунк за даљу анализу.

Додајте Снорт као демон за покретање система

Иако сте инсталирали и подесили Снорт, морате бити сигурни да почиње да се извршава при покретању и да ради као позадински демон. Ако га додате као услугу аутоматског покретања система, обезбедићете да Снорт буде у функцији и да брани ваш систем све време када је на мрежи.

Ево како да додате Снорт покретачки демон на Линук:

  1. Почните тако што ћете креирати нову системд сервисну датотеку:
    додирните /либ/системд/систем/снорт.сервице
  2. Отворите датотеку у уређивачу текста по вашем избору и попуните је следећим подацима. Можете модификовати заставе како би одговарале вашим потребама:
    [Јединица]
    Опис=Снорт Даемон
    Афтер=сислог.таргет нетворк.таргет
    [Услуга]
    Типе=симпле
    ЕкецСтарт=/уср/лоцал/бин/снорт -ц /уср/лоцал/етц/снорт/снорт.луа -Р /уср/лоцал/етц/рулес/снорт3-цоммунити.рулес -с 65535 -к нема -л /вар /лог/снорт -Д -Л пцап -и енс33 
    [Инсталирај]
    ВантедБи=мулти-усер.таргет
  3. Сачувајте и изађите из датотеке. Затим, користећи услугу и системцтл команде, омогућите и покрените скрипту:
    судо системцтл омогући снорт.сервице
    судо снорт старт

Позадински демон Снорт би сада требало да ради. Можете проверити статус скрипте користећи системцтл статус снорт команда. Требало би да врати позитиван излаз.

Сада знате како да заштитите своју мрежу помоћу Снорт ИДС-а

Иако је имплементација ИДС-а добра пракса, то је пасивна мера него активна. Најбољи начин да побољшате и гарантујете безбедност ваше мреже јесте да је непрестано тестирате и тражите недостатке за отклањање.

Тестирање пенетрације је одличан начин за проналажење рањивости које је могуће искористити и њихово закрпање.