Verkon tunkeutumisen havaitseminen on tärkeää tietoturvan kannalta. Tunkeutumisen havaitsemisjärjestelmää käytetään laittomien ja haitallisten yritysten havaitsemiseen verkossa. Snort on tunnettu avoimen lähdekoodin tunkeutumisen havaitsemisjärjestelmä. Web-käyttöliittymää (Snorby) voidaan käyttää hälytysten parempaan analysointiin. Snortia voidaan käyttää tunkeutumisen estojärjestelmänä iptables/pf-palomuurin kanssa. Tässä artikkelissa asennetaan ja konfiguroidaan avoimen lähdekoodin IDS-järjestelmä snort.
Snortin asennus
Edellytykset
Data Acquisition library (DAQ) on snortin käyttämä abstrakteihin kutsuihin pakettikaappauskirjastoille. Se on saatavilla snortin verkkosivustolla. Latausprosessi näkyy seuraavassa kuvakaappauksessa.
Pura se ja suorita ./configure-, make- ja make install-komennot DAQ:n asennusta varten. DAQ tarvitsi kuitenkin muita työkaluja, joten ./configure-skripti tuottaa seuraavat virheet.
flex- ja bison-virhe
libpcap-virhe.
Sen vuoksi asenna ensin flex/bison ja libcap ennen DAQ:n asentamista, mikä näkyy kuvassa.
Libpcap-kehityskirjaston asennus näkyy alla
Välttämättömien työkalujen asennuksen jälkeen ajetaan jälleen ./configure-skripti, joka näyttää seuraavan tulosteen.
make- ja make install-komentojen tulos näkyy seuraavissa ruuduilla.
Make- ja make install-komennon tuloksen näkyy seuraavissa ruuduissa.
Muutoksen DAQ:n onnistuneen asentamisen jälkeen, asennetaan seuraavaksi snort. Lataaminen wgetin avulla näkyy alla olevassa kuvassa.
Purkaa pakattu paketti alla olevalla komennolla.
#tar -xvzf snort-2.9.7.3.tar.gz
Luo asennushakemisto ja aseta prefix-parametri configure-skriptissä. On myös suositeltavaa ottaa käyttöön sourcefire-lippu pakettien suorituskyvyn seurantaa (PPM) varten.
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Configure-skripti tuottaa virheen puuttuvien libpcre-dev , libdumbnet-dev ja zlib-kehityskirjastojen vuoksi.
virhe johtuu puuttuvasta libpcre-kirjastosta.
virhe johtuu puuttuvasta dnet (libdumbnet) -kirjastosta.
konfigurointiskripti tuottaa virheen puuttuvan zlib-kirjaston vuoksi.
Kaikkien vaadittujen kehityskirjastojen asennus näkyy seuraavissa kuvakaappauksissa.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Kun olet asentanut edellä mainitut snortin tarvitsemat kirjastot, suorita jälleen configure-skriptit ilman virheitä.
Suorita make & make install-komennot snortin kääntämistä ja asentamista varten /usr/local/snort-hakemistoon.
#make
#make install
Viimein snort toimii /usr/local/snort/bin-hakemistosta. Tällä hetkellä se on promisc-tilassa (pakettidumppitila) kaikesta eth0-liitännän liikenteestä.
Snort-liitännän tekemä liikennedumppi näkyy seuraavassa kuvassa.
Säännöt ja konfiguraatio Snort
Snortin asentaminen lähdekoodista vaati sääntöjen ja konfiguraatioiden asettamista, joten kopioimme säännöt ja konfiguraatiot nyt /etc/snort-hakemistoon. Olemme luoneet yksittäisiä bash-skriptejä sääntöjä ja konfiguraatioasetuksia varten. Sitä käytetään seuraaviin snort-asetuksiin.
- Snort-käyttäjän luominen snort IDS-palvelua varten linuxissa.
- Hakemistojen ja tiedostojen luominen /etc-hakemiston alle snortin konfigurointia varten.
- Lupien asettaminen ja tietojen kopiointi etc-hakemistosta snortin lähdekoodiin.
- Poistetaan # (kommenttimerkki) rules-polusta snort.conf-tiedostossa.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side