A hálózatban a behatolásérzékelés fontos az informatikai biztonság szempontjából. Az Intrusion Detection System a hálózaton belüli illegális és rosszindulatú kísérletek észlelésére szolgál. A Snort egy jól ismert nyílt forráskódú behatolásérzékelő rendszer. A figyelmeztetések jobb elemzéséhez webes felület (Snorby) használható. A Snort behatolásmegelőző rendszerként használható iptables/pf tűzfallal. Ebben a cikkben egy nyílt forráskódú IDS-rendszert, a snortot telepítjük és konfiguráljuk.

Snort telepítése

Előfeltétel

A snort az adatgyűjtő könyvtárat (DAQ) használja a csomaggyűjtő könyvtárak absztrakt hívására. Elérhető a snort weboldalán. A letöltési folyamat az alábbi képernyőképen látható.


Extrahálja ki, és futtassa a ./configure, make és make install parancsokat a DAQ telepítéséhez. A DAQ azonban más eszközöket is igényel, ezért a ./configure szkript a következő hibákat generálja: .

flex és bison error


libpcap error.


Ezért először a flex/bison és a libcap telepítése a DAQ telepítése előtt, ami az ábrán látható.


A libpcap fejlesztői könyvtár telepítése az alábbiakban látható


A szükséges eszközök telepítése után ismét futtassuk a ./configure szkriptet, amely a következő kimenetet mutatja.


make és make install parancsok eredménye a következő képernyőkön látható.



A DAQ sikeres telepítése után most a snortot telepítjük. A wget segítségével történő letöltés az alábbi ábrán látható.


Kivonjuk a tömörített csomagot az alábbi parancs segítségével.

#tar -xvzf snort-2.9.7.3.tar.gz

Telepítési könyvtár létrehozása és prefix paraméter beállítása a configure scriptben. Javasoljuk továbbá a sourcefire flag engedélyezését a csomagteljesítmény-felügyelethez (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

A konfigurációs szkript hibát generál a hiányzó libpcre-dev , libdumbnet-dev és zlib fejlesztői könyvtárak miatt.

hiba a hiányzó libpcre könyvtár miatt.


hiba a hiányzó dnet (libdumbnet) könyvtár miatt.


konfigurációs szkript hibát generál a hiányzó zlib könyvtár miatt.


A következő képernyőképeken látható az összes szükséges fejlesztői könyvtár telepítése.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

A snorthoz szükséges fenti könyvtárak telepítése után ismét futtassa a configure szkripteket hiba nélkül.

Futtassa a make & make install parancsokat a snort fordításához és telepítéséhez a /usr/local/snort könyvtárban.

#make

#make install

Végre a snort fut a /usr/local/snort/bin könyvtárból. Jelenleg promisc módban van (csomagdömping üzemmódban) az eth0 interfészen lévő összes forgalom.


A snort interfész által készített forgalomdömping a következő ábrán látható.


Snort szabályai és konfigurációja

A snort forráskódból történő telepítéséhez szükséges szabályok és konfiguráció beállítása ezért most a /etc/snort könyvtárba másoljuk a szabályokat és a konfigurációt. Egyetlen bash szkriptet hoztunk létre a szabályok és a konfiguráció beállításához. Ezt a következő snort beállításokhoz használjuk.

  • Snort felhasználó létrehozása a snort IDS szolgáltatáshoz linuxon.
  • Könyvtárak és fájlok létrehozása az /etc könyvtár alatt a snort konfigurációhoz.
  • Jogosultságok beállítása és adatok másolása a snort forráskód etc könyvtárából.
  • # (megjegyzésjel) eltávolítása a snort.conf fájlban lévő szabályok elérési útvonalából.
echo “—DONE—“

A snort forráskönyvtárának módosítása a szkriptben és futtatása. Siker esetén a következő kimenet jelenik meg.

A fenti szkript a következő fájlokat/könyvtárakat másolja a snort forrásból az /etc/snort konfigurációs fájlba.

A snort konfigurációs fájl nagyon összetett, azonban a következő szükséges módosítások szükségesek a snortban.conf az IDS megfelelő működéséhez.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


eltávolítsa a megjegyzésjelet (#) más szabályokból, például az ftp.rules,exploit.rules stb.
Most Töltse le a közösségi szabályokat és csomagolja ki az /etc/snort/rules könyvtárba. Engedélyezze a közösségi és a feltörekvő fenyegetések szabályait a snort.conf fájlban.


Futtassa a következő parancsot a konfigurációs fájl tesztelésére a fent említett módosítások után.
#snort -T -c /etc/snort/snort.conf


Következtetés

admin

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

lg