Detectarea intruziunilor într-o rețea este importantă pentru securitatea IT. Sistemul de detectare a intruziunilor utilizat pentru detectarea încercărilor ilegale și malițioase în rețea. Snort este un binecunoscut sistem de detectare a intruziunilor cu sursă deschisă. Interfața web (Snorby) poate fi utilizată pentru o mai bună analiză a alertelor. Snort poate fi utilizat ca un sistem de prevenire a intruziunilor cu firewall-ul iptables/pf. În acest articol, vom instala și configura un sistem IDS open source snort.

Instalare snort

Precondiții

Librăria de achiziție a datelor (DAQ) este utilizată de snort pentru apeluri abstracte către bibliotecile de captură a pachetelor. Este disponibilă pe site-ul snort. Procesul de descărcare este prezentat în următoarea captură de ecran.


Extrageți-o și rulați comenzile ./configure, make și make install pentru instalarea DAQ. Cu toate acestea, DAQ necesită alte instrumente, prin urmare, scriptul ./configure va genera următoarele erori .

flex și bison error


libpcap error.


De aceea, instalați mai întâi flex/bison și libcap înainte de instalarea DAQ, care este prezentată în figură.


Instalarea bibliotecii de dezvoltare libpcap este prezentată mai jos


După instalarea instrumentelor necesare, rulați din nou scriptul ./configure care va afișa următoarea ieșire.


Rezultatul comenzilor make și make install este prezentat în următoarele ecrane.



După instalarea cu succes a DAQ, acum vom instala snort. Descărcarea folosind wget este prezentată în figura de mai jos.


Extrageți pachetul comprimat folosind comanda dată mai jos.

#tar -xvzf snort-2.9.7.3.tar.gz

Crearea directorului de instalare și setarea parametrului prefix în scriptul de configurare. De asemenea, se recomandă să activați stegulețul sourcefire pentru Packet Performance Monitoring (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Scriptul de configurare generează o eroare din cauza lipsei bibliotecilor de dezvoltare libpcre-dev , libdumbnet-dev și zlib.

error due to missing libpcre library.


error due to missing dnet (libdumbnet) library.


Scriptul de configurare generează eroare din cauza lipsei bibliotecii zlib.


Instalarea tuturor bibliotecilor de dezvoltare necesare este prezentată în următoarele capturi de ecran.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

După instalarea bibliotecilor necesare de mai sus pentru snort, rulați din nou scripturile de configurare fără nicio eroare.

Executați comenzile make & make install pentru compilarea și instalarea lui snort în directorul /usr/local/snort.

#make

#make install

În sfârșit, snort rulează din directorul /usr/local/snort/bin. În prezent, acesta se află în modul promisc (modul de descărcare a pachetelor) a întregului trafic de pe interfața eth0.


Traficul descărcat de interfața snort este prezentat în figura următoare.


Reguli și configurare a Snort

Instalarea snort din codul sursă a necesitat reguli și setări de configurare, prin urmare, acum vom copia regulile și configurația în directorul /etc/snort. Am creat scripturi bash unice pentru regulile și setarea configurației. Acesta este utilizat pentru următoarele setări snort.

  • Crearea unui utilizator snort pentru serviciul snort IDS pe linux.
  • Crearea de directoare și fișiere în directorul /etc pentru configurarea snort.
  • Stabilirea permisiunii și copierea datelor din directorul etc. al codului sursă snort.
  • Îndepărtați # (semnul de comentariu) din calea rules din fișierul snort.conf.
echo „—DONE—„

Schimbarea directorului sursă snort în script și rularea acestuia. Următoarele ieșiri apar în caz de succes.

Scriptul de mai sus a copiat următoarele fișiere/directoare din sursa snort în fișierul de configurare /etc/snort.

Fisierul de configurare snort este foarte complex, însă sunt necesare următoarele modificări în snort.conf pentru ca IDS să funcționeze corect.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


îndepărtați semnul de comentariu (#) din alte reguli precum ftp.rules,exploit.rules etc.

Acum descărcați regulile comunitare și extrageți-le în directorul /etc/snort/rules. Activați regulile privind comunitatea și amenințările emergente în fișierul snort.conf.


Executați următoarea comandă pentru a testa fișierul de configurare după modificările menționate mai sus.
#snort -T -c /etc/snort/snort.conf


Concluzie

.

admin

Lasă un răspuns

Adresa ta de email nu va fi publicată.

lg