Installieren Sie Snort Intrusion Detection System Ubuntu
Nach dem Einrichten eines Servers zu den ersten üblichen Schritten, die mit Sicherheit verknüpft sind. Die meisten Sysadminvers scannen jedoch weder ihre eigenen Server, um Schwachstellen zu entdecken, wie sie mit Openvas oder Nessus erklärt werden.
Es gibt mehrere IDs auf dem Markt und das Beste sind kostenlos, Snort ist am beliebtesten, ich weiß nur Schnau. Zusätzliche Optionen sind: Suricata, Bro IDS, Sicherheit Zwiebel.
Die offiziellste Untersuchung zur IDS -Wirksamkeit ist ziemlich alt, ab 1998, im selben Jahr, in dem Snort ursprünglich entwickelt wurde und von DARPA durchgeführt wurde, kam es zu dem Schluss, dass solche Systeme vor modernen Angriffen nutzlos waren. Nach 2 Jahrzehnten entwickelte es sich im geometrischen Fortschreiten, auch die Sicherheit und alles ist fast auf dem neuesten.
Schnupfen -IDs
Snort -IDs funktioniert in 3 verschiedenen Modi als Sniffer als Paket -Logger- und Netzwerk -Intrusion -Erkennungssystem. Der letzte ist das vielseitigste, auf das sich dieser Artikel konzentriert.
Snort installieren
APT-GET INSTALLIERT LIBPCAP-Dev Bison Flex
Dann rennen wir:
APT-GET-Installation Snort
In meinem Fall ist die Software bereits installiert, aber es war nicht standardmäßig, so wurde sie auf Kali (Debian) installiert.
Erste Schritte mit Snorts Sniffer -Modus
Der Sniffer -Modus liest den Verkehr des Netzwerks und zeigt die Übersetzung für einen menschlichen Betrachter an.
Um es zu testen:
# Schnupfen -v
Diese Option sollte nicht normal verwendet werden, wobei der Verkehr zu viele Ressourcen angezeigt wird, und sie wird nur angewendet, um die Ausgabe des Befehls anzuzeigen.
Im Terminal sehen wir den Datenverkehr, der durch Schnauben zwischen dem PC, dem Router und dem Internet erkannt wird. Snort meldet auch den Mangel an Richtlinien, um auf den erkannten Verkehr zu reagieren.
Wenn wir schnauben möchten, dass auch die Daten angezeigt werden: Typ:
# Schnupfen -vd
Um die Layer -2 -Header zu zeigen:
# Snort -v -d -e
Genau wie der Parameter „V“ ist „E“ auch eine Verschwendung von Ressourcen, die Verwendung sollte für die Produktion vermieden werden.
Erste Schritte mit dem Paket -Logger -Modus von Snort
Um die Berichte von Snort zu sparen, müssen wir angeben, um ein Protokollverzeichnis zu schnüffeln. Wenn wir Snort nur Header anzeigen und den Datenverkehr auf dem Datentyp protokollieren möchten:
# Mkdir Snortlogs
# schnaub -d -l Snortlogs
Das Protokoll wird im Verzeichnis Snortlogs gespeichert.
Wenn Sie den Protokollartyp lesen möchten:
# SNORT -D -V -r -logfileName.Protokoll.xxxxxxx
Erste Schritte mit dem NIDS -Modus (Network Intrusion Detection System) von Snort
Mit dem folgenden Befehl liest SNORT die in der Datei/etc/schneitende Regeln angegebenen Regeln.Conf Conf, um den Verkehr ordnungsgemäß zu filtern, zu vermeiden, den gesamten Verkehr zu lesen und sich auf bestimmte Vorfälle zu konzentrieren
im schnauben genannt.conf durch anpassbare Regeln.
Der Parameter „-a-Konsole“ weist schnaubend an, im Terminal aufmerksam zu machen.
# Snort -d -l Snortlog -h 10.0.0.0/24 -a Konsole -c schnaubend.Conf
Vielen Dank für das Lesen dieses Einführungstextes, um Snorts Nutzung zu erhalten.