A hálózatban a behatolásérzékelés fontos az informatikai biztonság szempontjából. Az Intrusion Detection System a hálózaton belüli illegális és rosszindulatú kísérletek észlelésére szolgál. A Snort egy jól ismert nyílt forráskódú behatolásérzékelő rendszer. A figyelmeztetések jobb elemzéséhez webes felület (Snorby) használható. A Snort behatolásmegelőző rendszerként használható iptables/pf tűzfallal. Ebben a cikkben egy nyílt forráskódú IDS-rendszert, a snortot telepítjük és konfiguráljuk.
Snort telepítése
Előfeltétel
A snort az adatgyűjtő könyvtárat (DAQ) használja a csomaggyűjtő könyvtárak absztrakt hívására. Elérhető a snort weboldalán. A letöltési folyamat az alábbi képernyőképen látható.
Extrahálja ki, és futtassa a ./configure, make és make install parancsokat a DAQ telepítéséhez. A DAQ azonban más eszközöket is igényel, ezért a ./configure szkript a következő hibákat generálja: .
flex és bison error
libpcap error.
Ezért először a flex/bison és a libcap telepítése a DAQ telepítése előtt, ami az ábrán látható.
A libpcap fejlesztői könyvtár telepítése az alábbiakban látható
A szükséges eszközök telepítése után ismét futtassuk a ./configure szkriptet, amely a következő kimenetet mutatja.
make és make install parancsok eredménye a következő képernyőkön látható.
A DAQ sikeres telepítése után most a snortot telepítjük. A wget segítségével történő letöltés az alábbi ábrán látható.
Kivonjuk a tömörített csomagot az alábbi parancs segítségével.
#tar -xvzf snort-2.9.7.3.tar.gz
Telepítési könyvtár létrehozása és prefix paraméter beállítása a configure scriptben. Javasoljuk továbbá a sourcefire flag engedélyezését a csomagteljesítmény-felügyelethez (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
A konfigurációs szkript hibát generál a hiányzó libpcre-dev , libdumbnet-dev és zlib fejlesztői könyvtárak miatt.
hiba a hiányzó libpcre könyvtár miatt.
hiba a hiányzó dnet (libdumbnet) könyvtár miatt.
konfigurációs szkript hibát generál a hiányzó zlib könyvtár miatt.
A következő képernyőképeken látható az összes szükséges fejlesztői könyvtár telepítése.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
A snorthoz szükséges fenti könyvtárak telepítése után ismét futtassa a configure szkripteket hiba nélkül.
Futtassa a make & make install parancsokat a snort fordításához és telepítéséhez a /usr/local/snort könyvtárban.
#make
#make install
Végre a snort fut a /usr/local/snort/bin könyvtárból. Jelenleg promisc módban van (csomagdömping üzemmódban) az eth0 interfészen lévő összes forgalom.
A snort interfész által készített forgalomdömping a következő ábrán látható.
Snort szabályai és konfigurációja
A snort forráskódból történő telepítéséhez szükséges szabályok és konfiguráció beállítása ezért most a /etc/snort könyvtárba másoljuk a szabályokat és a konfigurációt. Egyetlen bash szkriptet hoztunk létre a szabályok és a konfiguráció beállításához. Ezt a következő snort beállításokhoz használjuk.
- Snort felhasználó létrehozása a snort IDS szolgáltatáshoz linuxon.
- Könyvtárak és fájlok létrehozása az /etc könyvtár alatt a snort konfigurációhoz.
- Jogosultságok beállítása és adatok másolása a snort forráskód etc könyvtárából.
- # (megjegyzésjel) eltávolítása a snort.conf fájlban lévő szabályok elérési útvonalából.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side