Intrångsdetektering i ett nätverk är viktigt för IT-säkerheten. Intrusion Detection System används för att upptäcka olagliga och skadliga försök i nätverket. Snort är ett välkänt intrångsdetekteringssystem med öppen källkod. Webbgränssnittet (Snorby) kan användas för bättre analys av varningar. Snort kan användas som ett system för förebyggande av intrång tillsammans med iptables/pf-brandväggen. I den här artikeln kommer vi att installera och konfigurera ett IDS-system snort med öppen källkod.
Snort Installation
Förutsättningar
Data Acquisition library (DAQ) används av snort för abstrakta anrop till paketinsamlingsbibliotek. Det finns tillgängligt på webbplatsen för snort. Nedladdningsprocessen visas i följande skärmdump.
Extrahera det och kör kommandona ./configure, make och make install för installation av DAQ. DAQ kräver dock andra verktyg varför ./configure-skriptet kommer att generera följande fel .
flex and bison error
libpcap error.
Det är därför nödvändigt att först installera flex/bison och libcap innan DAQ-installationen vilket visas i figuren.
Installation av utvecklingsbiblioteket libpcap visas nedan
Efter installation av nödvändiga verktyg körs återigen ./configure-skriptet som visar följande utdata.
Make och make install-kommandonens resultat visas på följande skärmar.
När DAQ installerats på ett framgångsrikt sätt ska vi nu installera snort. Nedladdning med hjälp av wget visas i nedanstående bild.
Extrahera komprimerat paket med hjälp av nedanstående kommando.
#tar -xvzf snort-2.9.7.3.tar.gz
Skapa installationskatalogen och ställ in prefixparametern i configure-skriptet. Det rekommenderas också att aktivera sourcefire-flaggan för Packet Performance Monitoring (PPM).
#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire
Konfigurationsskriptet genererar fel på grund av att utvecklingsbiblioteken libpcre-dev , libdumbnet-dev och zlib saknas.
fel på grund av att biblioteket libpcre saknas.
fel på grund av att biblioteket dnet (libdumbnet) saknas.
konfigurationsskriptet genererar fel på grund av att biblioteket zlib saknas.
Installation av alla nödvändiga utvecklingsbibliotek visas i nästa skärmdumpar.
# aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev
När du har installerat de ovan nämnda biblioteken som krävs för snort, kör du återigen konfigurationsskriptet utan något fel.
Kör make & make install-kommandon för kompilering och installationer av snort i katalogen /usr/local/snort.
#make
#make install
Enligt körs snort från katalogen /usr/local/snort/bin. För närvarande är det i promisc-läge (packet dump-läge) av all trafik på eth0-gränssnittet.
Trafikdump av snort-gränssnittet visas i följande figur.
Regler och konfiguration av Snort
Snort-installationen från källkoden krävde regler och konfigurationsinställningar därför kommer vi nu att kopiera regler och konfiguration under /etc/snort-katalogen. Vi har skapat enskilda bash-skript för regler och konfigurationsinställningar. Det används för följande snortinställningar:
- Skapande av en snortanvändare för snort IDS-tjänsten på Linux.
- Skapande av kataloger och filer under /etc-katalogen för snortkonfiguration.
- Inställning av behörighet och kopiering av data från etc-katalogen för snort-källkod.
- Remove # (kommentarsymbol) from rules path in snort.conf file.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side