Detekce narušení v síti je důležitá pro zabezpečení IT. Systém detekce narušení slouží k odhalování nelegálních a škodlivých pokusů v síti. Snort je známý open source systém detekce narušení. Pro lepší analýzu výstrah lze použít webové rozhraní (Snorby). Snort lze použít jako systém prevence narušení s firewallem iptables/pf. V tomto článku si nainstalujeme a nakonfigurujeme open source systém IDS snort.

Instalace systému snort

Předpoklad

Knihovna DAQ (Data Acquisition Library) se v systému snort používá pro abstraktní volání knihoven pro zachytávání paketů. Je k dispozici na webových stránkách snort. Proces stahování je znázorněn na následujícím snímku obrazovky.


Extrahujte ji a spusťte příkazy ./configure, make a make install pro instalaci DAQ. DAQ však vyžaduje další nástroje, proto skript ./configure vygeneruje následující chyby .

chyba flex a bison


chyba libpcap.


Před instalací DAQ proto nejprve nainstalujte flex/bison a libcap, což je znázorněno na obrázku.


Instalace vývojové knihovny libpcap je zobrazena níže


Po instalaci potřebných nástrojů opět spusťte skript ./configure, který zobrazí následující výstup.


Výsledek příkazů make a make install je zobrazen na následujících obrazovkách.



Po úspěšné instalaci DAQ nyní nainstalujeme snort. Stažení pomocí wget je zobrazeno na následujícím obrázku.


Extrahujte komprimovaný balíček pomocí níže uvedeného příkazu.

#tar -xvzf snort-2.9.7.3.tar.gz

Vytvořte instalační adresář a nastavte parametr prefix ve skriptu configure. Doporučuje se také zapnout příznak sourcefire pro monitorování výkonu paketů (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Konfigurační skript generuje chybu kvůli chybějícím vývojovým knihovnám libpcre-dev , libdumbnet-dev a zlib.

chyba z důvodu chybějící knihovny libpcre.


chyba z důvodu chybějící knihovny dnet (libdumbnet).


konfigurační skript generuje chybu z důvodu chybějící knihovny zlib.


Instalace všech požadovaných vývojových knihoven je zobrazena na dalších snímcích obrazovky.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

Po instalaci výše uvedených požadovaných knihoven pro snort opět spusťte konfigurační skripty bez jakékoli chyby.

Spusťte příkazy make & make install pro kompilaci a instalaci snortu v adresáři /usr/local/snort.

#make

#make install

Nakonec snort spustíte z adresáře /usr/local/snort/bin. V současné době je v režimu promisc (režim výpisu paketů) veškerého provozu na rozhraní eth0.


Výpis provozu rozhraním snort je zobrazen na následujícím obrázku.


Pravidla a konfigurace snortu

Instalace snortu ze zdrojového kódu vyžaduje nastavení pravidel a konfigurace, proto nyní zkopírujeme pravidla a konfiguraci do adresáře /etc/snort. Vytvořili jsme jednotlivé skripty bash pro nastavení pravidel a konfigurace. Používá se pro následující nastavení služby snort.

  • Vytvoření uživatele snort pro službu snort IDS v Linuxu.
  • Vytvoření adresářů a souborů v adresáři /etc pro konfiguraci služby snort.
  • Nastavení oprávnění a kopírování dat z adresáře etc zdrojového kódu snort.
  • Odstranění # (znak komentáře) z cesty k pravidlům v souboru snort.conf.
echo „—DONE—„

Změna zdrojového adresáře snort ve skriptu a jeho spuštění. V případě úspěchu se zobrazí následující výstup.

Výše uvedený skript zkopíruje následující soubory/adresáře ze zdrojového souboru snort do konfiguračního souboru /etc/snort.

Konfigurační soubor snort je velmi složitý, nicméně jsou nutné následující změny v souboru snort.conf pro správnou funkci IDS.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


odstranit znak komentáře (#) z ostatních pravidel, jako je ftp.rules,exploit.rules atd.
Nyní stáhněte komunitní pravidla a rozbalte je do adresáře /etc/snort/rules. Povolte pravidla komunity a vznikajících hrozeb v souboru snort.conf.


Spusťte následující příkaz pro otestování konfiguračního souboru po výše uvedených změnách.
#snort -T -c /etc/snort/snort.conf


Závěr

.

admin

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.

lg