Detekce narušení v síti je důležitá pro zabezpečení IT. Systém detekce narušení slouží k odhalování nelegálních a škodlivých pokusů v síti. Snort je známý open source systém detekce narušení. Pro lepší analýzu výstrah lze použít webové rozhraní (Snorby). Snort lze použít jako systém prevence narušení s firewallem iptables/pf. V tomto článku si nainstalujeme a nakonfigurujeme open source systém IDS snort.
Instalace systému snort
Předpoklad
Knihovna DAQ (Data Acquisition Library) se v systému snort používá pro abstraktní volání knihoven pro zachytávání paketů. Je k dispozici na webových stránkách snort. Proces stahování je znázorněn na následujícím snímku obrazovky.
Extrahujte ji a spusťte příkazy ./configure, make a make install pro instalaci DAQ. DAQ však vyžaduje další nástroje, proto skript ./configure vygeneruje následující chyby .
chyba flex a bison
chyba libpcap.
Před instalací DAQ proto nejprve nainstalujte flex/bison a libcap, což je znázorněno na obrázku.
Instalace vývojové knihovny libpcap je zobrazena níže
Po instalaci potřebných nástrojů opět spusťte skript ./configure, který zobrazí následující výstup.
Výsledek příkazů make a make install je zobrazen na následujících obrazovkách.
Po úspěšné instalaci DAQ nyní nainstalujeme snort. Stažení pomocí wget je zobrazeno na následujícím obrázku.
Extrahujte komprimovaný balíček pomocí níže uvedeného příkazu.
#tar -xvzf snort-2.9.7.3.tar.gz
Vytvořte instalační adresář a nastavte parametr prefix ve skriptu configure. Doporučuje se také zapnout příznak sourcefire pro monitorování výkonu paketů (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Konfigurační skript generuje chybu kvůli chybějícím vývojovým knihovnám libpcre-dev , libdumbnet-dev a zlib.
chyba z důvodu chybějící knihovny libpcre.
chyba z důvodu chybějící knihovny dnet (libdumbnet).
konfigurační skript generuje chybu z důvodu chybějící knihovny zlib.
Instalace všech požadovaných vývojových knihoven je zobrazena na dalších snímcích obrazovky.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Po instalaci výše uvedených požadovaných knihoven pro snort opět spusťte konfigurační skripty bez jakékoli chyby.
Spusťte příkazy make & make install pro kompilaci a instalaci snortu v adresáři /usr/local/snort.
#make
#make install
Nakonec snort spustíte z adresáře /usr/local/snort/bin. V současné době je v režimu promisc (režim výpisu paketů) veškerého provozu na rozhraní eth0.
Výpis provozu rozhraním snort je zobrazen na následujícím obrázku.
Pravidla a konfigurace snortu
Instalace snortu ze zdrojového kódu vyžaduje nastavení pravidel a konfigurace, proto nyní zkopírujeme pravidla a konfiguraci do adresáře /etc/snort. Vytvořili jsme jednotlivé skripty bash pro nastavení pravidel a konfigurace. Používá se pro následující nastavení služby snort.
- Vytvoření uživatele snort pro službu snort IDS v Linuxu.
- Vytvoření adresářů a souborů v adresáři /etc pro konfiguraci služby snort.
- Nastavení oprávnění a kopírování dat z adresáře etc zdrojového kódu snort.
- Odstranění # (znak komentáře) z cesty k pravidlům v souboru snort.conf.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side
Závěr
.