Intrångsdetektering i ett nätverk är viktigt för IT-säkerheten. Intrusion Detection System används för att upptäcka olagliga och skadliga försök i nätverket. Snort är ett välkänt intrångsdetekteringssystem med öppen källkod. Webbgränssnittet (Snorby) kan användas för bättre analys av varningar. Snort kan användas som ett system för förebyggande av intrång tillsammans med iptables/pf-brandväggen. I den här artikeln kommer vi att installera och konfigurera ett IDS-system snort med öppen källkod.

Snort Installation

Förutsättningar

Data Acquisition library (DAQ) används av snort för abstrakta anrop till paketinsamlingsbibliotek. Det finns tillgängligt på webbplatsen för snort. Nedladdningsprocessen visas i följande skärmdump.


Extrahera det och kör kommandona ./configure, make och make install för installation av DAQ. DAQ kräver dock andra verktyg varför ./configure-skriptet kommer att generera följande fel .

flex and bison error


libpcap error.


Det är därför nödvändigt att först installera flex/bison och libcap innan DAQ-installationen vilket visas i figuren.


Installation av utvecklingsbiblioteket libpcap visas nedan


Efter installation av nödvändiga verktyg körs återigen ./configure-skriptet som visar följande utdata.


Make och make install-kommandonens resultat visas på följande skärmar.



När DAQ installerats på ett framgångsrikt sätt ska vi nu installera snort. Nedladdning med hjälp av wget visas i nedanstående bild.


Extrahera komprimerat paket med hjälp av nedanstående kommando.

#tar -xvzf snort-2.9.7.3.tar.gz

Skapa installationskatalogen och ställ in prefixparametern i configure-skriptet. Det rekommenderas också att aktivera sourcefire-flaggan för Packet Performance Monitoring (PPM).

#mkdir /usr/local/snort#./configure --prefix=/usr/local/snort/ --enable-sourcefire

Konfigurationsskriptet genererar fel på grund av att utvecklingsbiblioteken libpcre-dev , libdumbnet-dev och zlib saknas.

fel på grund av att biblioteket libpcre saknas.


fel på grund av att biblioteket dnet (libdumbnet) saknas.


konfigurationsskriptet genererar fel på grund av att biblioteket zlib saknas.


Installation av alla nödvändiga utvecklingsbibliotek visas i nästa skärmdumpar.

 # aptitude install libpcre3-dev
# aptitude install libdumbnet-dev
# aptitude install zlib1g-dev

När du har installerat de ovan nämnda biblioteken som krävs för snort, kör du återigen konfigurationsskriptet utan något fel.

Kör make & make install-kommandon för kompilering och installationer av snort i katalogen /usr/local/snort.

#make

#make install

Enligt körs snort från katalogen /usr/local/snort/bin. För närvarande är det i promisc-läge (packet dump-läge) av all trafik på eth0-gränssnittet.


Trafikdump av snort-gränssnittet visas i följande figur.


Regler och konfiguration av Snort

Snort-installationen från källkoden krävde regler och konfigurationsinställningar därför kommer vi nu att kopiera regler och konfiguration under /etc/snort-katalogen. Vi har skapat enskilda bash-skript för regler och konfigurationsinställningar. Det används för följande snortinställningar:

  • Skapande av en snortanvändare för snort IDS-tjänsten på Linux.
  • Skapande av kataloger och filer under /etc-katalogen för snortkonfiguration.
  • Inställning av behörighet och kopiering av data från etc-katalogen för snort-källkod.
  • Remove # (kommentarsymbol) from rules path in snort.conf file.
echo ”—DONE—”

Ändra snort-källkatalogen i skriptet och kör det. Följande utdata visas om du lyckas.

Ovanstående skript kopierade följande filer/förteckningar från snortkällan till konfigurationsfilen /etc/snort.

Snortkonfigurationsfilen är mycket komplex, men följande nödvändiga ändringar krävs i snort.conf för att IDS ska fungera korrekt.
ipvar HOME_NET 192.168.1.0/24 # LAN side
ipvar EXTERNAL_NET !$HOME_NET # WAN side


ta bort kommentarsymbolen (#) från andra regler som ftp.rules,exploit.rules etc.
Nu hämtar du community rules och extraherar dem i katalogen /etc/snort/rules. Aktivera community- och emerging threats-regler i filen snort.conf.


Kör följande kommando för att testa konfigurationsfilen efter ovan nämnda ändringar.
#snort -T -c /etc/snort/snort.conf


Slutsats

admin

Lämna ett svar

Din e-postadress kommer inte publiceras.

lg