Intrusionsdetektion i et netværk er vigtig for it-sikkerheden. Intrusion Detection System bruges til detektion af ulovlige og ondsindede forsøg i netværket. Snort er et velkendt open source-indtrængningsdetektionssystem. Webgrænseflade (Snorby) kan anvendes til bedre analyse af advarsler. Snort kan anvendes som et system til forebyggelse af indbrud sammen med iptables/pf firewall. I denne artikel vil vi installere og konfigurere et open source IDS-system snort.

Snort-installation

Forudsætning

Data Acquisition library (DAQ) bruges af snort til abstrakte kald til pakkeoptagelsesbiblioteker. Det er tilgængeligt på snorts websted. Hentningsprocessen er vist i følgende skærmbillede.


Udpak det, og kør ./configure-, make- og make install-kommandoer for DAQ-installation. DAQ kræver imidlertid andre værktøjer, hvorfor ./configure scriptet vil generere følgende fejl .

flex og bison fejl


libpcap fejl.


Derfor skal du først installere flex/bison og libcap før DAQ installation, hvilket er vist i figuren.


Installation af libpcap-udviklingsbibliotek vises nedenfor


Efter installation af de nødvendige værktøjer skal du igen køre ./configure scriptet, som vil vise følgende output.


make og make install kommandoer resultatet vises i følgende skærmbilleder.



Efter vellykket installation af DAQ vil vi nu installere snort. Downloading ved hjælp af wget er vist i nedenstående figur.


Udtræk komprimeret pakke ved hjælp af nedenstående kommando.

#tar -xvzf snort-2.9.7.3.tar.gz

Opret installationsmappe og indstil prefix-parameter i configure-scriptet. Det anbefales også at aktivere sourcefire-flaget for Packet Performance Monitoring (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Konfigurer scriptet genererer fejl på grund af manglende libpcre-dev , libdumbnet-dev og zlib-udviklingsbiblioteker.

fejl på grund af manglende libpcre-bibliotek.


fejl på grund af manglende dnet (libdumbnet)-bibliotek.


konfigurationsskriptet genererer fejl på grund af manglende zlib-bibliotek.


Installation af alle nødvendige udviklingsbiblioteker vises i de næste skærmbilleder.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

Efter installation af ovenstående nødvendige biblioteker til snort skal du igen køre configure-scripterne uden fejl.

Kør make & make install-kommandoer for kompilering og installationer af snort i mappen /usr/local/snort.

#make

#make install

Endeligt kører snort fra mappen /usr/local/snort/bin. I øjeblikket er den i promisc-tilstand (packet dump-tilstand) af al trafik på eth0-grænsefladen.


Trafikdump af snort-grænsefladen er vist i følgende figur.


Regler og konfiguration af Snort

Snort-installation fra kildekode krævede regler og konfigurationsindstilling, derfor vil vi nu kopiere regler og konfiguration under /etc/snort-mappen. Vi har oprettet enkelte bash-scripts til regler og konfigurationsindstilling. Det bruges til følgende snort-indstilling.

  • Opretning af snort-bruger til snort IDS-tjeneste på linux.
  • Opretning af mapper og filer under /etc-mappen til snort-konfiguration.
  • Permissionsindstilling og kopiering af data fra etc-mappen for snort-kildekode.
  • Fjern # (kommentartegn) fra regelstien i filen snort.conf.
echo “—DONE—“

Ændrer snort-kildemappen i scriptet, og kør det. Følgende output vises i tilfælde af succes.

Ovenstående script kopierede følgende filer/mapper fra snort kilde til /etc/snort konfigurationsfil.

Snort konfigurationsfil er meget kompleks, men følgende nødvendige ændringer er nødvendige i snort.conf for at IDS kan fungere korrekt.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


fjern kommentartegnet (#) fra andre regler såsom ftp.rules,exploit.rules osv.
Hentér nu fællesskabsregler og udpak dem under mappen /etc/snort/rules. Aktiver regler for fællesskab og nye trusler i snort.conf-filen.


Kør følgende kommando for at teste konfigurationsfilen efter ovennævnte ændringer.
##snort -T -c /etc/snort/snort/snort.conf


Konklusion

admin

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

lg