Il rilevamento delle intrusioni in una rete è importante per la sicurezza informatica. Il sistema di rilevamento delle intrusioni viene utilizzato per il rilevamento di tentativi illegali e dannosi nella rete. Snort è un noto sistema di rilevamento delle intrusioni open source. L’interfaccia web (Snorby) può essere utilizzata per una migliore analisi degli avvisi. Snort può essere usato come sistema di prevenzione delle intrusioni con il firewall iptables/pf. In questo articolo, installeremo e configureremo un sistema IDS open source snort.

Installazione di Snort

Prequisito

Data Acquisition library (DAQ) è usata da snort per chiamate astratte alle librerie di cattura dei pacchetti. È disponibile sul sito web di snort. Il processo di download è mostrato nel seguente screenshot.


Estrarla ed eseguire i comandi ./configure, make e make install per l’installazione di DAQ. Tuttavia, DAQ richiede altri strumenti quindi lo script ./configure genererà i seguenti errori:

errore di flex e bison


errore di libpcap.


Pertanto installate flex/bison e libcap prima dell’installazione di DAQ, come mostrato nella figura.


L’installazione della libreria di sviluppo libpcap è mostrata qui sotto


Dopo l’installazione degli strumenti necessari, eseguite nuovamente lo script ./configure che mostrerà il seguente output.


Il risultato dei comandi make e make install è mostrato nelle seguenti schermate.



Dopo aver installato con successo DAQ, ora installeremo snort. Il download utilizzando wget è mostrato nella figura seguente.


Estrai il pacchetto compresso utilizzando il comando seguente.

#tar -xvzf snort-2.9.7.3.tar.gz

Crea la directory di installazione e imposta il parametro prefix nello script di configurazione. Si raccomanda inoltre di abilitare il flag sourcefire per il Packet Performance Monitoring (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Lo script di configurazione genera un errore dovuto alla mancanza delle librerie di sviluppo libpcre-dev , libdumbnet-dev e zlib.

errore dovuto alla libreria libpcre mancante.


errore dovuto alla libreria dnet (libdumbnet) mancante.


lo script di configurazione genera un errore dovuto alla libreria zlib mancante.


L’installazione di tutte le librerie di sviluppo richieste è mostrata nei prossimi screenshot.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

Dopo l’installazione delle librerie sopra richieste per snort, eseguire nuovamente gli script di configurazione senza alcun errore.

Esegui i comandi make & make install per la compilazione e l’installazione di snort nella directory /usr/local/snort.

#make

#make install

Finalmente snort funziona dalla directory /usr/local/snort/bin. Attualmente è in modalità promisc (packet dump mode) di tutto il traffico sull’interfaccia eth0.


Traffic dump by the snort interface is shown in following figure.


Rules and Configuration of Snort

Snort installation from source code required rules and configuration setting therefore now we will copy rules and configuration under /etc/snort directory. Abbiamo creato un singolo script bash per le regole e le impostazioni di configurazione. Viene utilizzato per le seguenti impostazioni di snort.

  • Creazione dell’utente snort per il servizio IDS snort su linux.
  • Creazione di directory e file sotto la directory /etc per la configurazione di snort.
  • Impostazione delle autorizzazioni e copia dei dati dalla directory etc del codice sorgente di snort.
  • Rimuovere # (segno di commento) dal percorso delle regole nel file snort.conf.
echo “—DONE—“

Cambiare la directory sorgente di snort nello script ed eseguirlo. Il seguente output appare in caso di successo.

Sopra lo script ha copiato i seguenti file/directory dal sorgente snort nel file di configurazione /etc/snort.

Il file di configurazione snort è molto complesso tuttavia sono richieste le seguenti modifiche necessarie in snort.conf per il corretto funzionamento dell’IDS.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


rimuovere il segno di commento (#) da altre regole come ftp.rules, exploit.rules ecc.
Ora scarica le regole della comunità ed estraile nella directory /etc/snort/rules. Abilita le regole community e emerging threats nel file snort.conf.


Esegui il seguente comando per testare il file di configurazione dopo le suddette modifiche.
#snort -T -c /etc/snort/snort.conf


Conclusione

admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

lg