Intrusion Detection in einem Netzwerk ist wichtig für die IT-Sicherheit. Intrusion Detection System wird für die Erkennung von illegalen und bösartigen Versuchen im Netzwerk verwendet. Snort ist ein bekanntes Open Source Intrusion Detection System. Die Webschnittstelle (Snorby) kann für eine bessere Analyse der Warnmeldungen verwendet werden. Snort kann als Intrusion Prevention System mit iptables/pf Firewall verwendet werden. In diesem Artikel werden wir ein Open-Source-IDS-System snort installieren und konfigurieren.

Snort-Installation

Voraussetzung

Data Acquisition Library (DAQ) wird von snort für abstrakte Aufrufe von Paketerfassungsbibliotheken verwendet. Sie ist auf der snort-Website verfügbar. Der Downloadvorgang ist im folgenden Screenshot dargestellt.


Extrahieren Sie die Datei und führen Sie die Befehle ./configure, make und make install zur Installation von DAQ aus. Da DAQ jedoch andere Tools benötigt, erzeugt das Skript ./configure die folgenden Fehler.

Flex- und Bison-Fehler


libpcap-Fehler.


Installieren Sie daher zuerst flex/bison und libcap vor der DAQ-Installation, wie in der Abbildung dargestellt.


Die Installation der libpcap-Entwicklungsbibliothek wird unten gezeigt


Nach der Installation der notwendigen Tools führen Sie erneut das Skript ./configure aus, das die folgende Ausgabe zeigt.


Das Ergebnis der Befehle make und make install wird in den folgenden Bildern gezeigt.



Nach der erfolgreichen Installation von DAQ werden wir nun snort installieren. Das Herunterladen mit wget ist in der folgenden Abbildung dargestellt.


Entpacken Sie das komprimierte Paket mit dem unten angegebenen Befehl.

#tar -xvzf snort-2.9.7.3.tar.gz

Erstellen Sie das Installationsverzeichnis und setzen Sie den Parameter prefix im configure-Skript. Es wird auch empfohlen, das Sourcefire-Flag für Packet Performance Monitoring (PPM) zu aktivieren.

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Das Konfigurationsskript erzeugt einen Fehler aufgrund fehlender libpcre-dev , libdumbnet-dev und zlib Entwicklungsbibliotheken.

Fehler wegen fehlender libpcre-Bibliothek.


Fehler wegen fehlender dnet (libdumbnet)-Bibliothek.


Konfigurations-Skript erzeugt Fehler wegen fehlender zlib-Bibliothek.


Die Installation aller erforderlichen Entwicklungsbibliotheken wird in den nächsten Screenshots gezeigt.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

Nach der Installation der oben genannten erforderlichen Bibliotheken für snort, führen Sie die Konfigurationsskripte erneut ohne Fehler aus.

Führen Sie make & make install-Befehle für die Kompilierung und Installation von snort im Verzeichnis /usr/local/snort aus.

#make

#make install

Schließlich läuft snort im Verzeichnis /usr/local/snort/bin. Derzeit befindet es sich im Promisc-Modus (Paketdump-Modus) des gesamten Datenverkehrs auf der eth0-Schnittstelle.


Der Verkehrsdump der snort-Schnittstelle ist in der folgenden Abbildung dargestellt.


Regeln und Konfiguration von Snort

Die Installation von Snort aus dem Quellcode erfordert Regeln und Konfigurationseinstellungen, daher werden wir jetzt Regeln und Konfiguration in das Verzeichnis /etc/snort kopieren. Wir haben einzelne Bash-Skripte für Regeln und Konfigurationseinstellungen erstellt. Es wird für die folgenden Snort-Einstellungen verwendet.

  • Anlegen eines Snort-Benutzers für den Snort-IDS-Dienst unter Linux.
  • Anlegen von Verzeichnissen und Dateien im Verzeichnis /etc für die Snort-Konfiguration.
  • Einstellung von Berechtigungen und Kopieren von Daten aus dem etc-Verzeichnis des snort-Quellcodes.
  • Entfernen von # (Kommentarzeichen) aus dem rules-Pfad in der Datei snort.conf.
echo „—DONE—„

Ändern Sie das snort-Quellverzeichnis im Skript und führen Sie es aus. Im Erfolgsfall erscheint folgende Ausgabe.

Das obige Skript kopiert folgende Dateien/Verzeichnisse aus dem snort-Quellverzeichnis in die Konfigurationsdatei /etc/snort.

Die Konfigurationsdatei von snort ist sehr komplex, jedoch sind folgende Änderungen in snort.conf, damit das IDS richtig funktioniert.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


Entfernen Sie das Kommentarzeichen (#) aus anderen Regeln wie ftp.rules,exploit.rules etc.

Nun laden Sie die Community-Regeln herunter und entpacken Sie sie in das Verzeichnis /etc/snort/rules. Aktivieren Sie die Regeln für Community und neue Bedrohungen in der Datei snort.conf.


Führen Sie folgenden Befehl aus, um die Konfigurationsdatei nach den oben genannten Änderungen zu testen.
#snort -T -c /etc/snort/snort.conf


Abschluss

admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

lg