Intrusion Detection in einem Netzwerk ist wichtig für die IT-Sicherheit. Intrusion Detection System wird für die Erkennung von illegalen und bösartigen Versuchen im Netzwerk verwendet. Snort ist ein bekanntes Open Source Intrusion Detection System. Die Webschnittstelle (Snorby) kann für eine bessere Analyse der Warnmeldungen verwendet werden. Snort kann als Intrusion Prevention System mit iptables/pf Firewall verwendet werden. In diesem Artikel werden wir ein Open-Source-IDS-System snort installieren und konfigurieren.
Snort-Installation
Voraussetzung
Data Acquisition Library (DAQ) wird von snort für abstrakte Aufrufe von Paketerfassungsbibliotheken verwendet. Sie ist auf der snort-Website verfügbar. Der Downloadvorgang ist im folgenden Screenshot dargestellt.
Extrahieren Sie die Datei und führen Sie die Befehle ./configure, make und make install zur Installation von DAQ aus. Da DAQ jedoch andere Tools benötigt, erzeugt das Skript ./configure die folgenden Fehler.
Flex- und Bison-Fehler
libpcap-Fehler.
Installieren Sie daher zuerst flex/bison und libcap vor der DAQ-Installation, wie in der Abbildung dargestellt.
Die Installation der libpcap-Entwicklungsbibliothek wird unten gezeigt
Nach der Installation der notwendigen Tools führen Sie erneut das Skript ./configure aus, das die folgende Ausgabe zeigt.
Das Ergebnis der Befehle make und make install wird in den folgenden Bildern gezeigt.
Nach der erfolgreichen Installation von DAQ werden wir nun snort installieren. Das Herunterladen mit wget ist in der folgenden Abbildung dargestellt.
Entpacken Sie das komprimierte Paket mit dem unten angegebenen Befehl.
#tar -xvzf snort-2.9.7.3.tar.gz
Erstellen Sie das Installationsverzeichnis und setzen Sie den Parameter prefix im configure-Skript. Es wird auch empfohlen, das Sourcefire-Flag für Packet Performance Monitoring (PPM) zu aktivieren.
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Das Konfigurationsskript erzeugt einen Fehler aufgrund fehlender libpcre-dev , libdumbnet-dev und zlib Entwicklungsbibliotheken.
Fehler wegen fehlender libpcre-Bibliothek.
Fehler wegen fehlender dnet (libdumbnet)-Bibliothek.
Konfigurations-Skript erzeugt Fehler wegen fehlender zlib-Bibliothek.
Die Installation aller erforderlichen Entwicklungsbibliotheken wird in den nächsten Screenshots gezeigt.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Nach der Installation der oben genannten erforderlichen Bibliotheken für snort, führen Sie die Konfigurationsskripte erneut ohne Fehler aus.
Führen Sie make & make install-Befehle für die Kompilierung und Installation von snort im Verzeichnis /usr/local/snort aus.
#make
#make install
Schließlich läuft snort im Verzeichnis /usr/local/snort/bin. Derzeit befindet es sich im Promisc-Modus (Paketdump-Modus) des gesamten Datenverkehrs auf der eth0-Schnittstelle.
Der Verkehrsdump der snort-Schnittstelle ist in der folgenden Abbildung dargestellt.
Regeln und Konfiguration von Snort
Die Installation von Snort aus dem Quellcode erfordert Regeln und Konfigurationseinstellungen, daher werden wir jetzt Regeln und Konfiguration in das Verzeichnis /etc/snort kopieren. Wir haben einzelne Bash-Skripte für Regeln und Konfigurationseinstellungen erstellt. Es wird für die folgenden Snort-Einstellungen verwendet.
- Anlegen eines Snort-Benutzers für den Snort-IDS-Dienst unter Linux.
- Anlegen von Verzeichnissen und Dateien im Verzeichnis /etc für die Snort-Konfiguration.
- Einstellung von Berechtigungen und Kopieren von Daten aus dem etc-Verzeichnis des snort-Quellcodes.
- Entfernen von # (Kommentarzeichen) aus dem rules-Pfad in der Datei snort.conf.
ipvar HOME_NET 192.168.1.0/24 # LAN sideipvar EXTERNAL_NET !$HOME_NET # WAN side
Entfernen Sie das Kommentarzeichen (#) aus anderen Regeln wie ftp.rules,exploit.rules etc.
