Il rilevamento delle intrusioni in una rete è importante per la sicurezza informatica. Il sistema di rilevamento delle intrusioni viene utilizzato per il rilevamento di tentativi illegali e dannosi nella rete. Snort è un noto sistema di rilevamento delle intrusioni open source. L’interfaccia web (Snorby) può essere utilizzata per una migliore analisi degli avvisi. Snort può essere usato come sistema di prevenzione delle intrusioni con il firewall iptables/pf. In questo articolo, installeremo e configureremo un sistema IDS open source snort.
Installazione di Snort
Prequisito
Data Acquisition library (DAQ) è usata da snort per chiamate astratte alle librerie di cattura dei pacchetti. È disponibile sul sito web di snort. Il processo di download è mostrato nel seguente screenshot.
Estrarla ed eseguire i comandi ./configure, make e make install per l’installazione di DAQ. Tuttavia, DAQ richiede altri strumenti quindi lo script ./configure genererà i seguenti errori:
errore di flex e bison
errore di libpcap.
Pertanto installate flex/bison e libcap prima dell’installazione di DAQ, come mostrato nella figura.
L’installazione della libreria di sviluppo libpcap è mostrata qui sotto
Dopo l’installazione degli strumenti necessari, eseguite nuovamente lo script ./configure che mostrerà il seguente output.
Il risultato dei comandi make e make install è mostrato nelle seguenti schermate.
Dopo aver installato con successo DAQ, ora installeremo snort. Il download utilizzando wget è mostrato nella figura seguente.
Estrai il pacchetto compresso utilizzando il comando seguente.
#tar -xvzf snort-2.9.7.3.tar.gz
Crea la directory di installazione e imposta il parametro prefix nello script di configurazione. Si raccomanda inoltre di abilitare il flag sourcefire per il Packet Performance Monitoring (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Lo script di configurazione genera un errore dovuto alla mancanza delle librerie di sviluppo libpcre-dev , libdumbnet-dev e zlib.
errore dovuto alla libreria libpcre mancante.
errore dovuto alla libreria dnet (libdumbnet) mancante.
lo script di configurazione genera un errore dovuto alla libreria zlib mancante.
L’installazione di tutte le librerie di sviluppo richieste è mostrata nei prossimi screenshot.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Dopo l’installazione delle librerie sopra richieste per snort, eseguire nuovamente gli script di configurazione senza alcun errore.
Esegui i comandi make & make install per la compilazione e l’installazione di snort nella directory /usr/local/snort.
#make
#make install
Finalmente snort funziona dalla directory /usr/local/snort/bin. Attualmente è in modalità promisc (packet dump mode) di tutto il traffico sull’interfaccia eth0.
Traffic dump by the snort interface is shown in following figure.
Rules and Configuration of Snort
Snort installation from source code required rules and configuration setting therefore now we will copy rules and configuration under /etc/snort directory. Abbiamo creato un singolo script bash per le regole e le impostazioni di configurazione. Viene utilizzato per le seguenti impostazioni di snort.
- Creazione dell’utente snort per il servizio IDS snort su linux.
- Creazione di directory e file sotto la directory /etc per la configurazione di snort.
- Impostazione delle autorizzazioni e copia dei dati dalla directory etc del codice sorgente di snort.
- Rimuovere # (segno di commento) dal percorso delle regole nel file snort.conf.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side