Konfigurieren Sie Snort -IDs und erstellen Sie Regeln
Snort ist ein Open-Source-Intrusion Detection System (IDS) für die Netzwerküberwachung. Wenn Sie dieses Tutorial lesen.
Dieses Dokument enthält eine echte Erkennung von Szenarienangriffen.
Alle Erklärungen in diesem Tutorial enthalten echte Szenario -Beispiel -Screenshots, so.
Installieren von Snort (Debian)
In diesem Abschnitt werden zuerst Snort auf Debian-basierten Systemen installiert. Nach Anweisungen zur Installation von Debian finden Sie Schritte, um es auf CentOS zu installieren.
Aktualisieren Sie vor der Installation von Snort in Debian-basierten Linux-Distributionen Ihre Systemrepositorys, indem Sie den folgenden Befehl ausführen:
sudo apt-Get-Update
Installieren Sie nach der Aktualisierung von Repositorys Snort mit dem folgenden Befehl:
sudo apt install snort -y
Der Installationsprozess informiert Sie darüber, dass die Syntax zur Definition von Netzwerkadressen in der Konfigurationsdatei CIDR ist (klassenlose Inter-Domänen-Routing). Drücken Sie EINGEBEN Um mit der Installation fortzufahren.
Der Installateur erkennt automatisch Ihre Netzwerkstruktur. Überprüfen Sie in diesem Schritt, ob die Erkennung korrekt ist, und beheben Sie sie bei Bedarf bei Bedarf. Dann drücken EINGEBEN.
Nach dem Druck EINGEBEN, Die Installation wird zu dem Schluss kommen.
Installieren von Snort (CentOS)
Um Snort auf CentOS zu installieren, laden Sie den letzten Schnitzel herunter Drehzahl Paket für CentOs unter https: // www.Schnauben.org/downloads#snort-downloads.
Führen Sie dann den folgenden Befehl aus, wo <Ausführung> muss durch die Snort -Version ersetzt werden, die Sie aus dem vorherigen Link heruntergeladen haben:
sudo yum schnaubt-.Drehzahl
Wichtig für Debian -Benutzer
Debian Linux überschreibt einige Optionen im Zusammenhang mit Netzwerkeinstellungen in der Snort -Standardkonfigurationsdatei. Umschreiben von Optionen werden aus dem Betriebssystem abgerufen. Unter den Einstellungen des Snort -Verzeichnisses gibt es die /etc/schnauben/schnaubend.Debian.Conf Datei, in der Debian -Netzwerkeinstellungen importiert werden.
Wenn Sie daher zuerst Debian verwenden, öffnen Sie die /etc/schnauben/schnaubend.Debian.Conf Datei, um die Konfigurationsdatei zu überprüfen und gegebenenfalls mit dem folgenden Befehl zu bearbeiten:
sudo nano/etc/schnauben/schnaubend.Debian.Conf
Wie Sie sehen können, ist in meinem Fall die aus dem Betriebssystem abgerufene Standardkonfiguration korrekt.
Notiz: Wenn die Netzwerkeinstellungen in Ihrem Fall nicht korrekt sind, führen Sie sudo dpkg-reconfigure snort aus
Wenn Ihre Einstellungen korrekt sind, drücken Sie Strg+q beenden.
Snort konfigurieren
Dieser Abschnitt enthält Anweisungen für die anfängliche Snort -Konfiguration.
Öffnen Sie zum Konfigurieren von Schnauben die /etc/schnauben/schnaubend.Conf Verwenden von Nano, VI oder einem Texteditor.
sudo nano/etc/schnauben/schnaubend.Conf
In der Konfigurationsdatei finden Sie die folgende Zeile:
ipvar home_net any
Sie können Ihr Netzwerk oder bestimmte IP -Adressen hinzufügen. Um Ihrem Netzwerk hinzuzufügen, ersetzen Sie die Linie durch die folgenden, wo x.X.X.x/x muss durch eine CIDR -Adresse ersetzt werden:
ipvar home_net x.X.X.x/x
In meinem Fall ersetze ich diese Linie durch Folgendes:
IPVAR HOME_NET 192.168.0.0/16
Wenn Sie jedoch bestimmte IP -Adressen hinzufügen möchten, ist die Syntax unten angezeigt, wo 192.168.0.3, 10.0.0.4 und 192.168.1.3 muss durch die IP -Adressen ersetzt werden, die von Snort überwacht werden sollen. Geben Sie alle IP -Adressen ein, die durch ein Komma zwischen quadratischen Klammern getrennt sind.
ipvar home_net [192.168.0.3, 10.0.0.4, 192.168.1.3]
Lassen Sie die Zeile ipvar external_net eine Standardeinstellung; Im Folgenden können Sie meine Konfiguration sehen:
Wenn Sie untergehen, sehen Sie Optionen, um bestimmte Dienste zu überwachen und Ihre aktivierten Dienste zu übernehmen.
Wenn Sie die Bearbeitung der Datei beenden, schließen Sie sie, um Änderungen zu speichern. Wenn Sie keine offenen Dienste haben, schließen Sie einfach Sparenänderungen.
Testen von Snort -Konfiguration mit echten Angriffen
Testen wir nun Snort, indem wir den unten gezeigten Befehl ausführen. Ersetzen Sie die IP -Adresse oder das Netzwerk durch Ihre.
sudo snort -d -l/var/log/snort/-h 192.168.0.0/16 -a Konsole -c/etc/schnaub/schnaubend.Conf
Wo zuvor ausgeführte Befehlsflags bedeuten:
-d = sagt Snort, um Daten anzuzeigen
-l = bestimmt das Protokoll -Verzeichnis
-H = Gibt das zu überwachende Netzwerk an
-A = weist schnaubend an, Warnungen in der Konsole zu drucken
-c = Gibt die Konfigurationsdatei ein
Um Snort zu testen, während es ausgeführt wird, starten Sie einen aggressiven Fingerabdruck (Weihnachten) von einem anderen Computer mit NMAP, wie unten gezeigt:
sudo nmap -v -st -o 192.168.0.103
Wie Sie im folgenden Screenshot sehen können, erkennt Snort den Fingerabdruckversuch:
Lassen Sie uns nun a starten DDOs Angriff mit NPing3 von einem anderen Computer angreifen.
hping3 -c 10000 -d 120 -s -W 64 -p 21 --Flood - -Rand -Source 10.0.0.3
Wie Sie unten sehen können, erkennt Snort böswilligen Verkehr:
Jetzt, da wir sehen, wie schnaubend funktioniert, lassen Sie uns benutzerdefinierte Regeln erstellen.
Erste Schritte mit Snort -Regeln
Snort Standard verfügbare Regeln werden in der gespeichert /etc/schnauben/Regeln Verzeichnis. Um zu sehen, welche Regeln aktiviert oder kommentiert werden, müssen Sie die lesen /etc/schnauben/schnaubend.Conf Datei, die wir zuvor bearbeitet haben.
Führen Sie den folgenden Befehl aus und scrollen Sie nach unten, um deaktivierte und aktivierte Regeln zu sehen. Einige Regeln sind für Debian -Benutzer deaktiviert, da sie in den Aktien -Debian -Regeln nicht verfügbar sind.
Weniger/etc/schnauben/schnaubend.Conf
Wie bereits erwähnt, werden Regeldateien in der gespeichert /etc/schnauben/Regeln Verzeichnis.
Überprüfen wir die Regeln, um den Verkehr zu erkennen und zu melden.
sudo weniger/etc/schnauben/Regeln/Hintertür.Regeln
Wie Sie sehen können, gibt es mehrere Regeln, um Backdoor -Angriffe zu verhindern. Überraschenderweise gibt es eine Regel, um zu erkennen und zu melden NetBus, Ein trojanisches Pferd, das vor Jahrzehnten populär wurde. Lassen Sie uns erklären, wie diese Regel funktioniert.
ALERT TCP $ HOME_NET 12345: 12346 -> $ external_net Any (MSG: "Backdoor Netbus
aktiv "; Fluss: From_Server, etabliert; Inhalt:" NetBus "; Referenz: Arachnid
S, 401; Classtype: Misc-Aktivität; SID: 109; Rev: 5;)
ALERT TCP $ external_net Any -> $ HOME_NET 12345: 12346 (MSG: "Backdoor NetBus getInfo"; Flow: to_server, etabliert; Inhalt: "GetInfo | 0d |"; 110; rev: 4;)
Wo:
-> = Gibt die Verkehrsrichtung an, in diesem Fall von unserem geschützten Netzwerk zu einem externen Netzwerk
Inhalt = Suchen Sie nach bestimmten Inhalten im Paket. Es kann Text enthalten, wenn zwischen Anführungszeichen („“) oder Binärdaten, falls dazwischen (| |).
Tiefe = Intensive Analyse; In der obigen Regel sehen wir zwei verschiedene Parameter für zwei verschiedene Inhalte.
offset = Weisen Sie das schnaubende Byte jedes Pakets an, nach dem Inhalt zu suchen.
classtype = Berichtet.
SID: 115 = Regelkennung.
So erstellen Sie Ihre eigene Schnaubenregel
Jetzt werden wir eine neue Regel erstellen, um über eingehende SSH -Verbindungen zu informieren.
Erstellen Sie A/etc/schnauben/regeln/yourRule.Regelndatei mit einem Texteditor. Sie können die Datei so benennen, wie Sie möchten. Das ist willkürlich, also respektiere den Weg.
sudo nano/etc/snort/regeln/yourRule.Regeln
Fügen Sie die folgende Regel in die Datei ein. Wie Sie sehen können, wird die Regel benachrichtigt, wenn ein Gerät versucht, eine Verbindung über SSH herzustellen.
ALERT TCP $ EXTERNAL_NET ENDE -> $ HOME_NET 22 (MSG: "SSH Incoming"; Flow: Staatellos; Flags: S+; SID: 100006927; Rev: 1;)
Schließen und speichern Sie die Datei.
Fügen Sie nun die Regel zur Snort -Konfigurationsdatei hinzu und führen Sie den folgenden Befehl aus:
sudo nano/etc/schnauben/schnaubend.Conf
Scrollen Sie nach unten und fügen Sie im Abschnitt "Regeln" die folgende Zeile hinzu, in der „IhrRule.Regeln “müssen durch Ihren benutzerdefinierten Regelnamen ersetzt werden.
Fügen Sie $ relation_path/yourRule hinzu.Regeln
Schließen Sie den Texteditor; Daher speichern Änderungen.
Führen Sie nun Snort aus, indem Sie den folgenden Befehl wie zuvor ausführen. Wenn es bereits geöffnet war, ist das in Ordnung:
sudo snort -d -l/var/log/snort/-h 192.168.0.1/16 -a Konsole -c/etc/schnaub/schnaubend.Conf
Ich werde versuchen, mit SSH von einem anderen Computer eine Verbindung herzustellen.
SSH 192.168.0.103
Wie Sie im folgenden Bild sehen können, berichtet die Regel, die wir erstellt haben, den Verbindungsversuch.
Das ist alles für dieses Tutorial. Wenn Sie mehr über Snort -benutzerdefinierte Benachrichtigungen erfahren möchten, empfehle ich dieses Tutorial https: // linuxhint.com/ snort_alerts/ um weiter über Schnäppchen zu lesen.
Abschluss
Wie Sie sehen können, ist das Konfigurieren und Erstellen von Schnäppchenregeln einfach. Jeder Linux -Benutzer kann dies tun, indem er den zuvor erläuterten Inhalt versteht. Es ist wichtig, sich an exklusive Konfigurationsaspekte für Debian -Benutzer zu erinnern, die zuvor erklärt wurden. Es gibt einige Snort -Alternativen, die Sie vielleicht ausprobieren möchten, wie OSSEC, aber Snort bleibt für Linux -Benutzer am beliebtesten. Es ist auch wichtig, dass Snort für alle Betriebssysteme innerhalb des Netzwerks funktioniert.
Vielen Dank, dass Sie diesen Artikel gelesen haben, um zu erklären, wie Sie Snort -IDs konfigurieren und Regeln erstellen. Folgen Sie LinuxHint weiter, um mehr professionelle Linux -Tutorials zu erhalten.