Intrusiedetectie in een netwerk is belangrijk voor IT-beveiliging. Intrusiedetectiesystemen worden gebruikt voor het detecteren van illegale en kwaadaardige pogingen in het netwerk. Snort is een bekend open-source-inbraakdetectiesysteem. De webinterface (Snorby) kan worden gebruikt voor een betere analyse van de waarschuwingen. Snort kan worden gebruikt als een intrusion prevention system met iptables/pf firewall. In dit artikel zullen we een open source IDS systeem snort installeren en configureren.
Snort Installatie
Voorwaarde
Data Acquisition library (DAQ) wordt door snort gebruikt voor abstracte aanroepen naar packet capture libraries. Het is beschikbaar op de snort website. Het download proces wordt getoond in de volgende screenshot.
Uitpakken en uitvoeren ./configure, make en make install commando’s voor DAQ installatie. DAQ vereist echter andere tools, daarom zal het ./configure script de volgende fouten genereren.
flex en bison error
libpcap error.
Installeer daarom eerst flex/bison en libcap voordat u DAQ installeert, zoals in de figuur wordt getoond.
Installatie van libpcap ontwikkelbibliotheek wordt hieronder getoond
Na installatie van de nodige tools, draai opnieuw ./configure script dat de volgende uitvoer zal tonen.
make en make install commando’s resultaat wordt getoond in de volgende schermen.
Na succesvolle installatie van DAQ, nu zullen we snort installeren. Het downloaden met wget is te zien in de onderstaande figuur.
Uitpakken van het gecomprimeerde pakket met behulp van het onderstaande commando.
#tar -xvzf snort-2.9.7.3.tar.gz
Maak een installatie directory aan en stel de prefix parameter in het configure script in. Het wordt ook aanbevolen om sourcefire vlag in te schakelen voor Packet Performance Monitoring (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Configure script genereert fout als gevolg van ontbrekende libpcre-dev , libdumbnet-dev en zlib ontwikkeling bibliotheken.
fout door ontbrekende libpcre bibliotheek.
fout door ontbrekende dnet (libdumbnet) bibliotheek.
configureer script genereert fout door ontbrekende zlib bibliotheek.
Installatie van alle benodigde ontwikkelingsbibliotheken is te zien in de volgende screenshots.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
Na installatie van bovenstaande benodigde bibliotheken voor snort, nogmaals de configure scripts uitvoeren zonder enige fout.
Run make & make install commando’s voor het compileren en installeren van snort in /usr/local/snort directory.
#make
#make install
Uit eindelijk draait snort vanuit /usr/local/snort/bin directory. Momenteel is het in promisc mode (packet dump mode) van al het verkeer op eth0 interface.
Traffic dump door de snort interface wordt getoond in de volgende figuur.
Rules and Configuration of Snort
Snort installatie van broncode vereiste regels en configuratie instelling daarom nu zullen we regels en configuratie kopiëren onder /etc/snort directory. We hebben enkele bash scripts gemaakt voor regels en configuratie instelling. Het wordt gebruikt voor de volgende snort instellingen.
- Aanmaken van snort gebruiker voor snort IDS service op linux.
- Aanmaken van directories en bestanden onder /etc directory voor snort configuratie.
- Toestemming instellen en kopiëren van gegevens uit etc directory van snort broncode.
- Verwijder # (commentaar teken) van regels pad in snort.conf bestand.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side