Intrusionsdetektion i et netværk er vigtig for it-sikkerheden. Intrusion Detection System bruges til detektion af ulovlige og ondsindede forsøg i netværket. Snort er et velkendt open source-indtrængningsdetektionssystem. Webgrænseflade (Snorby) kan anvendes til bedre analyse af advarsler. Snort kan anvendes som et system til forebyggelse af indbrud sammen med iptables/pf firewall. I denne artikel vil vi installere og konfigurere et open source IDS-system snort.
Snort-installation
Forudsætning
Data Acquisition library (DAQ) bruges af snort til abstrakte kald til pakkeoptagelsesbiblioteker. Det er tilgængeligt på snorts websted. Hentningsprocessen er vist i følgende skærmbillede.
Udpak det, og kør ./configure-, make- og make install-kommandoer for DAQ-installation. DAQ kræver imidlertid andre værktøjer, hvorfor ./configure scriptet vil generere følgende fejl .
flex og bison fejl
libpcap fejl.
Derfor skal du først installere flex/bison og libcap før DAQ installation, hvilket er vist i figuren.
Installation af libpcap-udviklingsbibliotek vises nedenfor
Efter installation af de nødvendige værktøjer skal du igen køre ./configure scriptet, som vil vise følgende output.
make og make install kommandoer resultatet vises i følgende skærmbilleder.
Efter vellykket installation af DAQ vil vi nu installere snort. Downloading ved hjælp af wget er vist i nedenstående figur.
Udtræk komprimeret pakke ved hjælp af nedenstående kommando.
#tar -xvzf snort-2.9.7.3.tar.gz
Opret installationsmappe og indstil prefix-parameter i configure-scriptet. Det anbefales også at aktivere sourcefire-flaget for Packet Performance Monitoring (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Konfigurer scriptet genererer fejl på grund af manglende libpcre-dev , libdumbnet-dev og zlib-udviklingsbiblioteker.
fejl på grund af manglende libpcre-bibliotek.
fejl på grund af manglende dnet (libdumbnet)-bibliotek.
konfigurationsskriptet genererer fejl på grund af manglende zlib-bibliotek.
Installation af alle nødvendige udviklingsbiblioteker vises i de næste skærmbilleder.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Efter installation af ovenstående nødvendige biblioteker til snort skal du igen køre configure-scripterne uden fejl.
Kør make & make install-kommandoer for kompilering og installationer af snort i mappen /usr/local/snort.
#make
#make install
Endeligt kører snort fra mappen /usr/local/snort/bin. I øjeblikket er den i promisc-tilstand (packet dump-tilstand) af al trafik på eth0-grænsefladen.
Trafikdump af snort-grænsefladen er vist i følgende figur.
Regler og konfiguration af Snort
Snort-installation fra kildekode krævede regler og konfigurationsindstilling, derfor vil vi nu kopiere regler og konfiguration under /etc/snort-mappen. Vi har oprettet enkelte bash-scripts til regler og konfigurationsindstilling. Det bruges til følgende snort-indstilling.
- Opretning af snort-bruger til snort IDS-tjeneste på linux.
- Opretning af mapper og filer under /etc-mappen til snort-konfiguration.
- Permissionsindstilling og kopiering af data fra etc-mappen for snort-kildekode.
- Fjern # (kommentartegn) fra regelstien i filen snort.conf.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side