Verkon tunkeutumisen havaitseminen on tärkeää tietoturvan kannalta. Tunkeutumisen havaitsemisjärjestelmää käytetään laittomien ja haitallisten yritysten havaitsemiseen verkossa. Snort on tunnettu avoimen lähdekoodin tunkeutumisen havaitsemisjärjestelmä. Web-käyttöliittymää (Snorby) voidaan käyttää hälytysten parempaan analysointiin. Snortia voidaan käyttää tunkeutumisen estojärjestelmänä iptables/pf-palomuurin kanssa. Tässä artikkelissa asennetaan ja konfiguroidaan avoimen lähdekoodin IDS-järjestelmä snort.

Snortin asennus

Edellytykset

Data Acquisition library (DAQ) on snortin käyttämä abstrakteihin kutsuihin pakettikaappauskirjastoille. Se on saatavilla snortin verkkosivustolla. Latausprosessi näkyy seuraavassa kuvakaappauksessa.


Pura se ja suorita ./configure-, make- ja make install-komennot DAQ:n asennusta varten. DAQ tarvitsi kuitenkin muita työkaluja, joten ./configure-skripti tuottaa seuraavat virheet.

flex- ja bison-virhe


libpcap-virhe.


Sen vuoksi asenna ensin flex/bison ja libcap ennen DAQ:n asentamista, mikä näkyy kuvassa.


Libpcap-kehityskirjaston asennus näkyy alla


Välttämättömien työkalujen asennuksen jälkeen ajetaan jälleen ./configure-skripti, joka näyttää seuraavan tulosteen.


make- ja make install-komentojen tulos näkyy seuraavissa ruuduilla.



Make- ja make install-komennon tuloksen näkyy seuraavissa ruuduissa.



Muutoksen DAQ:n onnistuneen asentamisen jälkeen, asennetaan seuraavaksi snort. Lataaminen wgetin avulla näkyy alla olevassa kuvassa.


Purkaa pakattu paketti alla olevalla komennolla.

#tar -xvzf snort-2.9.7.3.tar.gz

Luo asennushakemisto ja aseta prefix-parametri configure-skriptissä. On myös suositeltavaa ottaa käyttöön sourcefire-lippu pakettien suorituskyvyn seurantaa (PPM) varten.

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Configure-skripti tuottaa virheen puuttuvien libpcre-dev , libdumbnet-dev ja zlib-kehityskirjastojen vuoksi.

virhe johtuu puuttuvasta libpcre-kirjastosta.


virhe johtuu puuttuvasta dnet (libdumbnet) -kirjastosta.


konfigurointiskripti tuottaa virheen puuttuvan zlib-kirjaston vuoksi.


Kaikkien vaadittujen kehityskirjastojen asennus näkyy seuraavissa kuvakaappauksissa.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

Kun olet asentanut edellä mainitut snortin tarvitsemat kirjastot, suorita jälleen configure-skriptit ilman virheitä.

Suorita make & make install-komennot snortin kääntämistä ja asentamista varten /usr/local/snort-hakemistoon.

#make

#make install

Viimein snort toimii /usr/local/snort/bin-hakemistosta. Tällä hetkellä se on promisc-tilassa (pakettidumppitila) kaikesta eth0-liitännän liikenteestä.


Snort-liitännän tekemä liikennedumppi näkyy seuraavassa kuvassa.


Säännöt ja konfiguraatio Snort

Snortin asentaminen lähdekoodista vaati sääntöjen ja konfiguraatioiden asettamista, joten kopioimme säännöt ja konfiguraatiot nyt /etc/snort-hakemistoon. Olemme luoneet yksittäisiä bash-skriptejä sääntöjä ja konfiguraatioasetuksia varten. Sitä käytetään seuraaviin snort-asetuksiin.

  • Snort-käyttäjän luominen snort IDS-palvelua varten linuxissa.
  • Hakemistojen ja tiedostojen luominen /etc-hakemiston alle snortin konfigurointia varten.
  • Lupien asettaminen ja tietojen kopiointi etc-hakemistosta snortin lähdekoodiin.
  • Poistetaan # (kommenttimerkki) rules-polusta snort.conf-tiedostossa.
echo ”—DONE—”

Muutetaan snortin lähdekoodin hakemisto komentosarjassa ja ajetaan se. Seuraavat tulosteet näkyvät, jos se onnistuu.

Yllä oleva skripti kopioi seuraavat tiedostot/hakemistot snort-lähteestä /etc/snort-konfiguraatiotiedostoon.

Snortin konfigurointitiedosto on hyvin monimutkainen, mutta snortissa tarvitaan kuitenkin seuraavat tarvittavat muutokset.conf, jotta IDS toimisi kunnolla.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


poistakaa kommenttimerkki (#) muista säännöistä, kuten ftp.rules,exploit.rules jne.
Lataa nyt yhteisön säännöt ja pura ne /etc/snort/rules-hakemistoon. Ota yhteisön ja kehittyvien uhkien säännöt käyttöön snort.conf-tiedostossa.


Suorita seuraava komento testataksesi konfigurointitiedoston edellä mainittujen muutosten jälkeen.
#snort -T -c /etc/snort/snort.conf


yhteenveto

admin

Vastaa

Sähköpostiosoitettasi ei julkaista.

lg