Detectarea intruziunilor într-o rețea este importantă pentru securitatea IT. Sistemul de detectare a intruziunilor utilizat pentru detectarea încercărilor ilegale și malițioase în rețea. Snort este un binecunoscut sistem de detectare a intruziunilor cu sursă deschisă. Interfața web (Snorby) poate fi utilizată pentru o mai bună analiză a alertelor. Snort poate fi utilizat ca un sistem de prevenire a intruziunilor cu firewall-ul iptables/pf. În acest articol, vom instala și configura un sistem IDS open source snort.
Instalare snort
Precondiții
Librăria de achiziție a datelor (DAQ) este utilizată de snort pentru apeluri abstracte către bibliotecile de captură a pachetelor. Este disponibilă pe site-ul snort. Procesul de descărcare este prezentat în următoarea captură de ecran.
Extrageți-o și rulați comenzile ./configure, make și make install pentru instalarea DAQ. Cu toate acestea, DAQ necesită alte instrumente, prin urmare, scriptul ./configure va genera următoarele erori .
flex și bison error
libpcap error.
De aceea, instalați mai întâi flex/bison și libcap înainte de instalarea DAQ, care este prezentată în figură.
Instalarea bibliotecii de dezvoltare libpcap este prezentată mai jos
După instalarea instrumentelor necesare, rulați din nou scriptul ./configure care va afișa următoarea ieșire.
Rezultatul comenzilor make și make install este prezentat în următoarele ecrane.
După instalarea cu succes a DAQ, acum vom instala snort. Descărcarea folosind wget este prezentată în figura de mai jos.
Extrageți pachetul comprimat folosind comanda dată mai jos.
#tar -xvzf snort-2.9.7.3.tar.gz
Crearea directorului de instalare și setarea parametrului prefix în scriptul de configurare. De asemenea, se recomandă să activați stegulețul sourcefire pentru Packet Performance Monitoring (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Scriptul de configurare generează o eroare din cauza lipsei bibliotecilor de dezvoltare libpcre-dev , libdumbnet-dev și zlib.
error due to missing libpcre library.
error due to missing dnet (libdumbnet) library.
Scriptul de configurare generează eroare din cauza lipsei bibliotecii zlib.
Instalarea tuturor bibliotecilor de dezvoltare necesare este prezentată în următoarele capturi de ecran.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
După instalarea bibliotecilor necesare de mai sus pentru snort, rulați din nou scripturile de configurare fără nicio eroare.
Executați comenzile make & make install pentru compilarea și instalarea lui snort în directorul /usr/local/snort.
#make
#make install
În sfârșit, snort rulează din directorul /usr/local/snort/bin. În prezent, acesta se află în modul promisc (modul de descărcare a pachetelor) a întregului trafic de pe interfața eth0.
Traficul descărcat de interfața snort este prezentat în figura următoare.
Reguli și configurare a Snort
Instalarea snort din codul sursă a necesitat reguli și setări de configurare, prin urmare, acum vom copia regulile și configurația în directorul /etc/snort. Am creat scripturi bash unice pentru regulile și setarea configurației. Acesta este utilizat pentru următoarele setări snort.
- Crearea unui utilizator snort pentru serviciul snort IDS pe linux.
- Crearea de directoare și fișiere în directorul /etc pentru configurarea snort.
- Stabilirea permisiunii și copierea datelor din directorul etc. al codului sursă snort.
- Îndepărtați # (semnul de comentariu) din calea rules din fișierul snort.conf.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side
îndepărtați semnul de comentariu (#) din alte reguli precum ftp.rules,exploit.rules etc.
Concluzie
.