Intrusiedetectie in een netwerk is belangrijk voor IT-beveiliging. Intrusiedetectiesystemen worden gebruikt voor het detecteren van illegale en kwaadaardige pogingen in het netwerk. Snort is een bekend open-source-inbraakdetectiesysteem. De webinterface (Snorby) kan worden gebruikt voor een betere analyse van de waarschuwingen. Snort kan worden gebruikt als een intrusion prevention system met iptables/pf firewall. In dit artikel zullen we een open source IDS systeem snort installeren en configureren.

Snort Installatie

Voorwaarde

Data Acquisition library (DAQ) wordt door snort gebruikt voor abstracte aanroepen naar packet capture libraries. Het is beschikbaar op de snort website. Het download proces wordt getoond in de volgende screenshot.


Uitpakken en uitvoeren ./configure, make en make install commando’s voor DAQ installatie. DAQ vereist echter andere tools, daarom zal het ./configure script de volgende fouten genereren.

flex en bison error


libpcap error.


Installeer daarom eerst flex/bison en libcap voordat u DAQ installeert, zoals in de figuur wordt getoond.


Installatie van libpcap ontwikkelbibliotheek wordt hieronder getoond


Na installatie van de nodige tools, draai opnieuw ./configure script dat de volgende uitvoer zal tonen.


make en make install commando’s resultaat wordt getoond in de volgende schermen.



Na succesvolle installatie van DAQ, nu zullen we snort installeren. Het downloaden met wget is te zien in de onderstaande figuur.


Uitpakken van het gecomprimeerde pakket met behulp van het onderstaande commando.

#tar -xvzf snort-2.9.7.3.tar.gz

Maak een installatie directory aan en stel de prefix parameter in het configure script in. Het wordt ook aanbevolen om sourcefire vlag in te schakelen voor Packet Performance Monitoring (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Configure script genereert fout als gevolg van ontbrekende libpcre-dev , libdumbnet-dev en zlib ontwikkeling bibliotheken.

fout door ontbrekende libpcre bibliotheek.


fout door ontbrekende dnet (libdumbnet) bibliotheek.


configureer script genereert fout door ontbrekende zlib bibliotheek.


Installatie van alle benodigde ontwikkelingsbibliotheken is te zien in de volgende screenshots.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

Na installatie van bovenstaande benodigde bibliotheken voor snort, nogmaals de configure scripts uitvoeren zonder enige fout.

Run make & make install commando’s voor het compileren en installeren van snort in /usr/local/snort directory.

#make

#make install

Uit eindelijk draait snort vanuit /usr/local/snort/bin directory. Momenteel is het in promisc mode (packet dump mode) van al het verkeer op eth0 interface.


Traffic dump door de snort interface wordt getoond in de volgende figuur.


Rules and Configuration of Snort

Snort installatie van broncode vereiste regels en configuratie instelling daarom nu zullen we regels en configuratie kopiëren onder /etc/snort directory. We hebben enkele bash scripts gemaakt voor regels en configuratie instelling. Het wordt gebruikt voor de volgende snort instellingen.

  • Aanmaken van snort gebruiker voor snort IDS service op linux.
  • Aanmaken van directories en bestanden onder /etc directory voor snort configuratie.
  • Toestemming instellen en kopiëren van gegevens uit etc directory van snort broncode.
  • Verwijder # (commentaar teken) van regels pad in snort.conf bestand.
echo “—DONE—“

Verander de snort bron directory in het script en voer het uit. De volgende uitvoer verschijnt in geval van succes.

Het bovenstaande script kopieert de volgende bestanden/mappen van snort source naar /etc/snort configuratiebestand.

Snort configuratiebestand is zeer complex, maar de volgende noodzakelijke wijzigingen zijn vereist in snort.conf voor een goede werking van IDS.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


verwijder commentaarteken (#) uit andere regels, zoals ftp.regels, exploit.regels enz.
Nu gemeenschapsregels downloaden en uitpakken onder /etc/snort/rules directory. Activeer regels voor community en opkomende bedreigingen in het bestand snort.conf.


Voer het volgende commando uit om het configuratiebestand te testen na de hierboven genoemde wijzigingen.
#snort -T -c /etc/snort/snort.conf


Conclusie

admin

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

lg