Eindringungserkennung mit Schnüffeln

Stephan Harms
Eindringungserkennung mit Schnüffeln

In diesem Artikel wird erklärt.

Snort ist ein Intrusionserkennungssystem, das den Verkehr und die Pakete analysiert, um Anomalien wie böswilliger Verkehr zu erkennen und sie zu melden. Wenn Sie mit Intrusion Detection Systems nicht vertraut sind, möchten Sie möglicherweise die endgültige Schlussfolgerung zu lesen. Wenn Sie direkt zu praktischen Anweisungen gehen möchten, lesen Sie weiter.

Nachdem Sie diesen Artikel gelesen haben. Die Snort -Verwendungsanweisungen in diesem Tutorial gilt für alle Linux -Verteilungen.

Alle Anweisungen in diesem Dokument enthalten Screenshots, damit alle Linux -Benutzer sie verstehen und anwenden können.

Snort installieren

Sie können schnaubend mit dem installieren geeignet Packages Manager für Debian oder Ubuntu, wie im folgenden Screenshot gezeigt:

sudo apt install snort

Während des Installationsprozesses werden Sie aufgefordert, Ihr Netzwerk zu definieren. Drücken Sie OK mit dem nächsten Schritt fortzufahren.

Geben Sie nun Ihre Netzwerkadresse im CIDR -Format ein. Normalerweise erkennt Snort automatisch erfolgreich.

Dann drücken OK oder EINGEBEN. Mach dir keine Sorgen um diesen Schritt; Diese Konfiguration kann später bearbeitet werden.

Red Hat -basierte Linux -Distribution -Benutzer können das Snort -Paket von https: // www herunterladen.Schnauben.org/downloads#snort-downloads und installieren Sie es dann, indem Sie den folgenden Befehl ausführen, wo <Ausführung> muss durch die aktuelle Version ersetzt werden, die Sie heruntergeladen haben.

sudo yum schnaubt-<Ausführung>.Drehzahl

Halten Sie die Snort -Regeln auf dem neuesten Stand

Snort enthält zwei Haupttypen von Regeln: Community -Regeln, die von der Snort -Community und den offiziellen Regeln entwickelt wurden. Sie können die Community -Regeln standardmäßig immer aktualisieren. Um die offiziellen Regeln zu aktualisieren, benötigen Sie einen Oink -Code - einen Code, mit dem Sie die neuesten Regeln herunterladen können.

Um einen Oink -Code zu erhalten, registrieren Sie sich unter https: // www.Schnauben.org/user/sign_up.

Bestätigen Sie nach der Registrierung das Konto aus Ihrer E -Mail und melden Sie sich bei der Snort -Site an.

Drücken Sie Oinkcode im Dashboard Links -Side -Menü und Sie sehen Ihren Code.

https: // www.Schnauben.org/Regeln/Snortrules-Snapshot-.Teer.gz?oinkcode =

In meinem Fall habe ich das Schnauben 2 verwendet.9.15.1 und der folgende Link zum Herunterladen der Regeln:

https: // www.Schnauben.org/Regeln/Snortrules-Snapshot-29151.Teer.gz?oinkcode =15E4F48AAB11B956BB27801172720F2BE9F3686D

Sie können ein Cron -Skript erstellen, um die Regeln in das richtige Verzeichnis herunterzuladen und zu extrahieren.

Snort konfigurieren

SNORT -Konfigurationsdatei ist/etc/snort/schnaubend.Conf. Vor dem Start müssen Debian -Benutzer die im Folgenden genannten Schritte ausführen. Andere Distribubenutzer können weiterhin aus dem/etc/schnauben/schnauben lesen.Conf File Edition.

Hinweis für Debian -Benutzer: Debian Linux überschreibt einige Netzwerkeinstellungen in der Snort -Standardkonfigurationsdatei. Unter dem Verzeichnis /usw. /schnauben /etc/schnauben/schnaubend.Debian.Conf Datei aus dem Ort, an dem die Debian -Netzwerkeinstellungen importiert werden.

Wenn Sie ein Debian -Benutzer sind, führen Sie den folgenden Code aus:

sudo nano/etc/schnauben/schnaubend.Debian.Conf

Überprüfen Sie, ob alle Informationen in dieser Konfigurationsdatei korrekt sind, einschließlich der CIDR -Adresse, der Netzwerkgerät usw.

Speicher die Datei. Beginnen wir mit der Konfiguration des Snorts.

Verwenden Sie zum Konfigurieren des Snort /etc/schnauben/schnaubend.Conf Datei.

sudo nano/etc/schnauben/schnaubend.Conf

Überprüfen Sie Ihre Netzwerkkonfiguration und scrollen Sie nach unten.

Definieren Sie die Ports, die Sie überwachen möchten.

Schließen Sie die Datei nicht und lesen Sie den nächsten Abschnitt weiter (halten Sie die Konfigurationsdatei geöffnet).

Schnupfen Regeln

Snort -Regeln sind aktiviert oder deaktiviert, indem Zeilen in/etc/schnauben/schnaubende kommentieren oder sich anwenden.Conf -Datei. Aber die Regeln werden in der gespeichert /etc/schnauben/Regeln Datei.

Um die Regeln zu aktivieren oder zu deaktivieren, öffnen Sie die /etc/schnauben/schnaubend.Conf mit einem Texteditor. Die Regeln finden sich am Ende der Datei.

Wenn Sie das Ende der Datei erreichen, sehen Sie eine Liste von Regeln für verschiedene Zwecke. Überzeugen Sie die Regeln, die Sie aktivieren möchten, und kommentieren Sie die Regeln, die Sie deaktivieren möchten.

Um beispielsweise den Verkehr mit DOS -Angriffen zu erkennen, wenden Sie sich an die DOS -Regel. Oder überzeugen Sie die FTP -Regel zur Überwachung der Ports 21.

sudo nano/etc/schnauben/schnaubend.Conf

Nach der Übertragung der Regeln aktivieren, speichern und beenden Sie das Dokument.

Die 7 schnupfen Warnmodi

Snort enthält 7 verschiedene Warnmodi, die über Ereignisse oder Vorfälle informiert werden müssen. Die 7 Modi sind die folgenden:

  • Schnell: Snort -Warnungen enthalten den Zeitstempel, das eine Warnmeldung sendet und die IP -Adressen und Ports der Quelle und des Ziels angezeigt wird. Verwenden Sie den Modus, um diesen Modus zu implementieren -Ein schneller
  • Voll: Darüber hinaus druckt der vollständige Modus in den zuvor gemeldeten Informationen im Fast -Modus auch die TTL, die Datagrammlänge und die Paketkopfzeile, die Fenstergröße, die ACK und die Sequenznummer aus. Verwenden Sie den Modus, um diesen Modus zu implementieren -Ein voller
  • Konsole: Es zeigt die Echtzeitwarnungen in der Konsole. Dieser Modus ist mit dem aktiviert -Eine Konsole
  • CMG: Dieser Modus ist nur für Testzwecke nützlich.
  • Unock: Dies wird verwendet, um Warnungen in Unix -Sockets zu exportieren.
  • Syslog: Dieser Modus (Systemprotokollprotokoll) weist schnaubend an, ein Remote -Alarmprotokoll zu senden. Um diesen Modus auszuführen, fügen Sie hinzu -S
  • Keiner: Keine Warnungen.

Um diesen Artikel zu beenden, versuchen wir den vollen Modus, indem wir den folgenden Befehl ausführen, wo -Ein schneller zeigt einen schnellen Modus -Scan an und -C Gibt die Konfigurationsdatei an (/etc/snort/snort.conf).

sudo schnaub -a schnelle -c/etc/schnaub/schnaubend.Conf

Starten Sie nun einige NMAP -Scans oder versuchen Sie, sich über SSH oder FTP an Ihren Computer zu verbinden und das zu lesen /var/log/snort/snort.Alarm.Schnelle letzte Zeilen, um zu überprüfen, wie der Verkehr gemeldet wird. Wie Sie sehen können, habe ich einen aggressiven NMAP -Scan gestartet und er wurde als böswilliger Verkehr erkannt.

Schwanz/var/log/schnaub/schnaubend.Alarm.schnell

Ich hoffe, dieses Tutorial dient als gute Einführung in Snort. Aber Sie müssen es weiter lernen, indem Sie die Snort -Benachrichtigungen und die Tutorials für die Erstellung von Snort Regeln lesen, um mit Snort zu beginnen.

Über Intrusionserkennungssysteme

Der allgemeine Gedanke ist, dass das Netzwerk als sicher angesehen wird, wenn eine Firewall das eigene Netzwerk schützt. Das ist jedoch nicht ganz wahr. Firewalls sind ein grundlegender Bestandteil eines Netzwerks, aber sie können das Netzwerk jedoch nicht vollständig vor Zwangseinträgen oder feindlichen Absichten schützen. Einbrucherkennungssystem werden verwendet, um die aggressiven oder unerwarteten Pakete zu bewerten und eine Warnung zu generieren, bevor diese Programme dem Netzwerk schaden können. Ein hostbasiertes Intrusion Detection-System wird auf allen Geräten in einem Netzwerk ausgeführt oder stellt eine Verbindung zum internen Netzwerk eines Unternehmens her. An einem bestimmten Punkt oder einer Gruppe von Punkten, aus denen der gesamte Ingoing- und ausgehende Verkehr überwacht werden kann. Der Vorteil eines hostbasierten Intrusion Detection-Systems besteht darin, dass es auch Anomalien oder böswilligen Verkehr erkennen kann, die vom Host selbst erzeugt werden, als ob der Host von Malware usw. betroffen ist usw. Intrusion Detection Systems (IDS) Arbeiten durch Überwachung und Analyse des Netzwerkverkehr.) und was man genauer ansieht.

Ein Eindringungserkennungssystem kann je nach Größe des Netzwerks bereitgestellt werden. Es gibt Dutzende hochwertiger kommerzieller IDs, aber viele Unternehmen und kleine Unternehmen können es sich nicht leisten. Snort ist ein flexibles, leichtes und beliebtes Intrusion Detection -System, das entsprechend den Anforderungen des Netzwerks eingesetzt werden kann, die von kleinen bis großen Netzwerken reichen, und bietet alle Funktionen einer kostenpflichtigen IDs. Snort kostet nichts, aber das bedeutet nicht, dass es nicht die gleichen Funktionen wie eine Elite, kommerzielle IDs liefern kann. Snort wird als passive IDs angesehen, was bedeutet, dass es an den Netzwerkpaketen schnüffelt, mit dem Regeln ausgeht, und im Falle der Erkennung eines böswilligen Protokolls oder Eintrags (Erkennen eines Eindringens) generiert es eine Warnung oder platziert einen Eintrag in ein Protokoll Datei. Snort wird verwendet, um die Operationen und Aktivitäten von Routern, Firewalls und Servern zu überwachen. Snort bietet eine benutzerfreundliche Oberfläche, die eine Kette von Regeln enthält, die für eine Person, die mit IDs nicht vertraut ist, sehr hilfreich sein kann. Snort erzeugt einen Alarm im Falle eines Eindringens (Pufferüberlaufangriffe, DNS -Vergiftungen, OS -Fingerabdruck, Port -Scans und vielem mehr), die einer Organisation eine größere Sichtbarkeit des Netzwerkverkehr.

Jetzt werden Sie in IDS vorgestellt. Lassen Sie uns nun den Snort einrichten.

Abschluss

Intrusionserkennungssysteme wie Snort werden verwendet, um den Netzwerkverkehr zu überwachen, um zu erkennen, wann ein Angriff von einem böswilligen Benutzer durchgeführt wird, bevor er das Netzwerk verletzen oder beeinflussen kann. Wenn ein Angreifer in einem Netzwerk einen Port -Scan ausführt, kann der Angriff zusammen mit der Anzahl der durchgeführten Versuche, der IP -Adresse des Angreifers und anderen Details erkannt werden. Snort wird verwendet, um alle Arten von Anomalien zu erkennen. Es kommt mit einer großen Anzahl von Regeln, die bereits konfiguriert sind, zusammen mit der Option, dass der Benutzer seine eigenen Regeln entsprechend seinen Anforderungen schreiben kann. Abhängig von der Größe des Netzwerks kann Snort problemlos eingerichtet und verwendet werden, ohne etwas auszugeben, im Vergleich zu den anderen bezahlten kommerziellen Intrusion -Erkennungssystemen. Die erfassten Pakete können weiter unter Verwendung eines Paket -Sniffers wie Wireshark analysiert werden, um das zu analysieren und zu zerlegen, was während des Angriffs und die Arten von Scans oder Befehlen in den Sinn des Angreifers vorliegt. Snort ist ein kostenloses Open-Source- und leicht zu konfiguriertes Tool. Es kann eine gute Wahl sein, jedes mittelgroße Netzwerk vor einem Angriff zu schützen.

Php
So verwenden Sie die Funktion substr_replace in PHP
In PHP ist Substr_Replace () eine integrierte Funktion, mit der ein Teil einer Zeichenfolge durch ei...
Arved Riermeier
c scharf
Wie man Polymorphismus in C# verwendet
Polymorphismus ermöglicht es, Objekte verschiedener Klassen zu behandeln, als wären sie aus derselbe...
Arved Riermeier
Golang
Was ist Range -Schlüsselwort in Golang?
In Golang iterieren die Schleifen wie für die Schleife durch die Elemente eines Arrays, Scheiben, Ka...
Jean Dengler
Oracle Linux
So installieren und verwenden Sie das Oracle VirtualBox -Erweiterungspaket?
Ansgar Radtke
Python
Python -Liste zu comma getrennter Zeichenfolge
Gian Eisenlauer
AWS
Was ist AWS -Steuerturm und wie man ihn benutzt??
Gian Eisenlauer
Oracle Linux
Was sind die Unterschiede zwischen Oracle Linux und Ubuntu Linux??
Kaya Wyludda
JavaScript
Wie Typenkript von JavaScript unterscheidet?
Gian Eisenlauer
Power Shell
So verwenden Sie Get-Adprincipalgroupmitglieder in Powershell
Ahmed Stöckert
Typoskript
Was ist TypeScript und wie man es verwendet??
Christopher Lammert
Sqlite
So herunterladen und installieren Sie SQLite -Tools?
Christopher Lammert
Zwangsversteigerung
Batch -Apex in Salesforce
Christopher Lammert
Golang
Was sind Pakete in Golang??
Kaya Wyludda