In diesem Artikel wird erklärt.
Snort ist ein Intrusionserkennungssystem, das den Verkehr und die Pakete analysiert, um Anomalien wie böswilliger Verkehr zu erkennen und sie zu melden. Wenn Sie mit Intrusion Detection Systems nicht vertraut sind, möchten Sie möglicherweise die endgültige Schlussfolgerung zu lesen. Wenn Sie direkt zu praktischen Anweisungen gehen möchten, lesen Sie weiter.
Nachdem Sie diesen Artikel gelesen haben. Die Snort -Verwendungsanweisungen in diesem Tutorial gilt für alle Linux -Verteilungen.
Alle Anweisungen in diesem Dokument enthalten Screenshots, damit alle Linux -Benutzer sie verstehen und anwenden können.
Snort installieren
Sie können schnaubend mit dem installieren geeignet Packages Manager für Debian oder Ubuntu, wie im folgenden Screenshot gezeigt:
sudo apt install snort
Während des Installationsprozesses werden Sie aufgefordert, Ihr Netzwerk zu definieren. Drücken Sie OK mit dem nächsten Schritt fortzufahren.
Geben Sie nun Ihre Netzwerkadresse im CIDR -Format ein. Normalerweise erkennt Snort automatisch erfolgreich.
Dann drücken OK oder EINGEBEN. Mach dir keine Sorgen um diesen Schritt; Diese Konfiguration kann später bearbeitet werden.
Red Hat -basierte Linux -Distribution -Benutzer können das Snort -Paket von https: // www herunterladen.Schnauben.org/downloads#snort-downloads und installieren Sie es dann, indem Sie den folgenden Befehl ausführen, wo <Ausführung> muss durch die aktuelle Version ersetzt werden, die Sie heruntergeladen haben.
sudo yum schnaubt-<Ausführung>.Drehzahl
Halten Sie die Snort -Regeln auf dem neuesten Stand
Snort enthält zwei Haupttypen von Regeln: Community -Regeln, die von der Snort -Community und den offiziellen Regeln entwickelt wurden. Sie können die Community -Regeln standardmäßig immer aktualisieren. Um die offiziellen Regeln zu aktualisieren, benötigen Sie einen Oink -Code - einen Code, mit dem Sie die neuesten Regeln herunterladen können.
Um einen Oink -Code zu erhalten, registrieren Sie sich unter https: // www.Schnauben.org/user/sign_up.
Bestätigen Sie nach der Registrierung das Konto aus Ihrer E -Mail und melden Sie sich bei der Snort -Site an.
Drücken Sie Oinkcode im Dashboard Links -Side -Menü und Sie sehen Ihren Code.
https: // www.Schnauben.org/Regeln/Snortrules-Snapshot-.Teer.gz?oinkcode =
In meinem Fall habe ich das Schnauben 2 verwendet.9.15.1 und der folgende Link zum Herunterladen der Regeln:
https: // www.Schnauben.org/Regeln/Snortrules-Snapshot-29151.Teer.gz?oinkcode =15E4F48AAB11B956BB27801172720F2BE9F3686D
Sie können ein Cron -Skript erstellen, um die Regeln in das richtige Verzeichnis herunterzuladen und zu extrahieren.
Snort konfigurieren
SNORT -Konfigurationsdatei ist/etc/snort/schnaubend.Conf. Vor dem Start müssen Debian -Benutzer die im Folgenden genannten Schritte ausführen. Andere Distribubenutzer können weiterhin aus dem/etc/schnauben/schnauben lesen.Conf File Edition.
Hinweis für Debian -Benutzer: Debian Linux überschreibt einige Netzwerkeinstellungen in der Snort -Standardkonfigurationsdatei. Unter dem Verzeichnis /usw. /schnauben /etc/schnauben/schnaubend.Debian.Conf Datei aus dem Ort, an dem die Debian -Netzwerkeinstellungen importiert werden.
Wenn Sie ein Debian -Benutzer sind, führen Sie den folgenden Code aus:
sudo nano/etc/schnauben/schnaubend.Debian.Conf
Überprüfen Sie, ob alle Informationen in dieser Konfigurationsdatei korrekt sind, einschließlich der CIDR -Adresse, der Netzwerkgerät usw.
Speicher die Datei. Beginnen wir mit der Konfiguration des Snorts.
Verwenden Sie zum Konfigurieren des Snort /etc/schnauben/schnaubend.Conf Datei.
sudo nano/etc/schnauben/schnaubend.Conf
Überprüfen Sie Ihre Netzwerkkonfiguration und scrollen Sie nach unten.
Definieren Sie die Ports, die Sie überwachen möchten.
Schließen Sie die Datei nicht und lesen Sie den nächsten Abschnitt weiter (halten Sie die Konfigurationsdatei geöffnet).
Schnupfen Regeln
Snort -Regeln sind aktiviert oder deaktiviert, indem Zeilen in/etc/schnauben/schnaubende kommentieren oder sich anwenden.Conf -Datei. Aber die Regeln werden in der gespeichert /etc/schnauben/Regeln Datei.
Um die Regeln zu aktivieren oder zu deaktivieren, öffnen Sie die /etc/schnauben/schnaubend.Conf mit einem Texteditor. Die Regeln finden sich am Ende der Datei.
Wenn Sie das Ende der Datei erreichen, sehen Sie eine Liste von Regeln für verschiedene Zwecke. Überzeugen Sie die Regeln, die Sie aktivieren möchten, und kommentieren Sie die Regeln, die Sie deaktivieren möchten.
Um beispielsweise den Verkehr mit DOS -Angriffen zu erkennen, wenden Sie sich an die DOS -Regel. Oder überzeugen Sie die FTP -Regel zur Überwachung der Ports 21.
sudo nano/etc/schnauben/schnaubend.Conf
Nach der Übertragung der Regeln aktivieren, speichern und beenden Sie das Dokument.
Die 7 schnupfen Warnmodi
Snort enthält 7 verschiedene Warnmodi, die über Ereignisse oder Vorfälle informiert werden müssen. Die 7 Modi sind die folgenden:
Um diesen Artikel zu beenden, versuchen wir den vollen Modus, indem wir den folgenden Befehl ausführen, wo -Ein schneller zeigt einen schnellen Modus -Scan an und -C Gibt die Konfigurationsdatei an (/etc/snort/snort.conf).
sudo schnaub -a schnelle -c/etc/schnaub/schnaubend.Conf
Starten Sie nun einige NMAP -Scans oder versuchen Sie, sich über SSH oder FTP an Ihren Computer zu verbinden und das zu lesen /var/log/snort/snort.Alarm.Schnelle letzte Zeilen, um zu überprüfen, wie der Verkehr gemeldet wird. Wie Sie sehen können, habe ich einen aggressiven NMAP -Scan gestartet und er wurde als böswilliger Verkehr erkannt.
Schwanz/var/log/schnaub/schnaubend.Alarm.schnell
Ich hoffe, dieses Tutorial dient als gute Einführung in Snort. Aber Sie müssen es weiter lernen, indem Sie die Snort -Benachrichtigungen und die Tutorials für die Erstellung von Snort Regeln lesen, um mit Snort zu beginnen.
Über Intrusionserkennungssysteme
Der allgemeine Gedanke ist, dass das Netzwerk als sicher angesehen wird, wenn eine Firewall das eigene Netzwerk schützt. Das ist jedoch nicht ganz wahr. Firewalls sind ein grundlegender Bestandteil eines Netzwerks, aber sie können das Netzwerk jedoch nicht vollständig vor Zwangseinträgen oder feindlichen Absichten schützen. Einbrucherkennungssystem werden verwendet, um die aggressiven oder unerwarteten Pakete zu bewerten und eine Warnung zu generieren, bevor diese Programme dem Netzwerk schaden können. Ein hostbasiertes Intrusion Detection-System wird auf allen Geräten in einem Netzwerk ausgeführt oder stellt eine Verbindung zum internen Netzwerk eines Unternehmens her. An einem bestimmten Punkt oder einer Gruppe von Punkten, aus denen der gesamte Ingoing- und ausgehende Verkehr überwacht werden kann. Der Vorteil eines hostbasierten Intrusion Detection-Systems besteht darin, dass es auch Anomalien oder böswilligen Verkehr erkennen kann, die vom Host selbst erzeugt werden, als ob der Host von Malware usw. betroffen ist usw. Intrusion Detection Systems (IDS) Arbeiten durch Überwachung und Analyse des Netzwerkverkehr.) und was man genauer ansieht.
Ein Eindringungserkennungssystem kann je nach Größe des Netzwerks bereitgestellt werden. Es gibt Dutzende hochwertiger kommerzieller IDs, aber viele Unternehmen und kleine Unternehmen können es sich nicht leisten. Snort ist ein flexibles, leichtes und beliebtes Intrusion Detection -System, das entsprechend den Anforderungen des Netzwerks eingesetzt werden kann, die von kleinen bis großen Netzwerken reichen, und bietet alle Funktionen einer kostenpflichtigen IDs. Snort kostet nichts, aber das bedeutet nicht, dass es nicht die gleichen Funktionen wie eine Elite, kommerzielle IDs liefern kann. Snort wird als passive IDs angesehen, was bedeutet, dass es an den Netzwerkpaketen schnüffelt, mit dem Regeln ausgeht, und im Falle der Erkennung eines böswilligen Protokolls oder Eintrags (Erkennen eines Eindringens) generiert es eine Warnung oder platziert einen Eintrag in ein Protokoll Datei. Snort wird verwendet, um die Operationen und Aktivitäten von Routern, Firewalls und Servern zu überwachen. Snort bietet eine benutzerfreundliche Oberfläche, die eine Kette von Regeln enthält, die für eine Person, die mit IDs nicht vertraut ist, sehr hilfreich sein kann. Snort erzeugt einen Alarm im Falle eines Eindringens (Pufferüberlaufangriffe, DNS -Vergiftungen, OS -Fingerabdruck, Port -Scans und vielem mehr), die einer Organisation eine größere Sichtbarkeit des Netzwerkverkehr.
Jetzt werden Sie in IDS vorgestellt. Lassen Sie uns nun den Snort einrichten.
Abschluss
Intrusionserkennungssysteme wie Snort werden verwendet, um den Netzwerkverkehr zu überwachen, um zu erkennen, wann ein Angriff von einem böswilligen Benutzer durchgeführt wird, bevor er das Netzwerk verletzen oder beeinflussen kann. Wenn ein Angreifer in einem Netzwerk einen Port -Scan ausführt, kann der Angriff zusammen mit der Anzahl der durchgeführten Versuche, der IP -Adresse des Angreifers und anderen Details erkannt werden. Snort wird verwendet, um alle Arten von Anomalien zu erkennen. Es kommt mit einer großen Anzahl von Regeln, die bereits konfiguriert sind, zusammen mit der Option, dass der Benutzer seine eigenen Regeln entsprechend seinen Anforderungen schreiben kann. Abhängig von der Größe des Netzwerks kann Snort problemlos eingerichtet und verwendet werden, ohne etwas auszugeben, im Vergleich zu den anderen bezahlten kommerziellen Intrusion -Erkennungssystemen. Die erfassten Pakete können weiter unter Verwendung eines Paket -Sniffers wie Wireshark analysiert werden, um das zu analysieren und zu zerlegen, was während des Angriffs und die Arten von Scans oder Befehlen in den Sinn des Angreifers vorliegt. Snort ist ein kostenloses Open-Source- und leicht zu konfiguriertes Tool. Es kann eine gute Wahl sein, jedes mittelgroße Netzwerk vor einem Angriff zu schützen.