Snort je známý open-source systém detekce a prevence narušení sítě (IDS). Snort je velmi užitečný pro sledování odeslaných a přijatých balíků přes síťové rozhraní. Můžete určit síťové rozhraní pro sledování toku provozu. Snort funguje na základě detekce založené na signaturách. Snort používá různé typy sad pravidel k detekci narušení sítě, jako je komunita. Pravidla registrace a předplatného. Správně nainstalovaný a nakonfigurovaný Snort může být velmi užitečný při zjišťování různých druhů útoků a hrozeb, jako jsou sondy SMB, infekce malwaru, kompromitované systémy atd. V tomto článku se naučíme, jak nainstalovat a nakonfigurovat Snort na systému Ubuntu 20.04.
Pravidla Snortu
Snort používá k detekci narušení sítě následující sady pravidel. K dispozici jsou tři typy sad pravidel:
Pravidla komunity
Toto jsou pravidla vytvořená komunitou uživatelů snort a dostupná zdarma.
Registrovaná pravidla
Tato pravidla poskytuje Talos a jsou dostupná pouze pro registrované uživatele. Registrace trvá jen chvilku a je bezplatná. Po registraci obdržíte kód, který je potřeba zadat při odesílání žádosti o stažení
Pravidla odběru
Tato pravidla jsou také stejná jako registrovaná pravidla, ale jsou poskytována registrovaným uživatelům před vydáním. Tyto sady pravidel jsou placené a kalkulace je založena na osobním nebo firemním uživateli.
Instalace Snortu
Instalace snortu v systému Linux by byla manuální a zdlouhavý proces. V dnešní době je instalace velmi jednoduchá a snazší, protože většina linuxových distribucí zpřístupnila balíček Snort v repozitářích. Balíček lze nainstalovat ze zdroje i ze softwarových úložišť.
Během instalace budete požádáni o zadání některých podrobností týkajících se síťového rozhraní. Spusťte následující příkaz a poznamenejte si podrobnosti pro budoucí použití.
$ ip a
Chcete-li nainstalovat nástroj Snort v Ubuntu, použijte následující příkaz.
$ sudo apt install snort
Ve výše uvedeném příkladuens33 je název síťového rozhraní a 192.168.218.128 je ip adresa. V /24 ukazuje, že síť má masku podsítě 255.255.255.0. Vezměte na vědomí tyto věci, protože tyto podrobnosti musíme poskytnout během instalace.
Nyní stisknutím tabulátoru přejděte na možnost ok a stiskněte enter.
Nyní zadejte název síťového rozhraní, přejděte na možnost ok pomocí klávesy Tab a stiskněte enter.
Zadejte síťovou adresu s maskou podsítě. Pomocí klávesy Tab přejděte na možnost ok a stiskněte klávesu Enter.
Jakmile je instalace dokončena, spusťte příkaz pod tlačítkem ověřit.
$ snort --version
Konfigurace snort
Před použitím Snortu je třeba provést několik věcí v konfiguračním souboru. Snort ukládá konfigurační soubory do adresáře /etc/snort/ jako název souboru snort.conf .
Upravte konfigurační soubor pomocí libovolného textového editoru a proveďte následující změny.
$ sudo vi /etc/snort/snort.conf
Najděte řádek ipvar HOME_NET any v konfiguračním souboru a jakékoli nahraďte svou síťovou adresou.
Ve výše uvedeném příkladu je síťová adresa 192.168.218.0 s maskou podsítě prefix 24 se používá. Nahraďte ji svou síťovou adresou a zadejte předponu.
Uložte soubor a ukončete
Stáhnout a aktualizovat pravidla Snortu
Snort používá sady pravidel pro detekci narušení. Existují tři typy sad pravidel, které jsme dříve popsali na začátku článku. V tomto článku si stáhneme a aktualizujeme pravidla komunity.
Chcete-li nainstalovat a aktualizovat pravidla, vytvořte adresář pro pravidla.
$ mkdir /usr/local/etc/rules
Stáhněte si pravidla komunity pomocí následujícího příkazu.
$ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
Nebo si můžete procházet níže uvedený odkaz a stáhnout si pravidla.
https://www.snort.org/downloads/#snort-3.0
Extrahujte stažené soubory do dříve vytvořeného adresáře.
$ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/
Povolit promiskuitní režim
Musíme zajistit, aby síťové rozhraní počítače Snot naslouchalo veškerému provozu. Chcete-li to provést, povolte promiskuitní režim. Spusťte následující příkaz s názvem rozhraní.
$ sudo ip link set ens33 promisc on
Kde ens33 je název rozhraní
Běh snort
Nyní můžeme začít Snort. Postupujte podle syntaxe níže a odpovídajícím způsobem nahraďte parametry.
$ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf
Kde,
-d se používá k filtrování paketů aplikační vrstvy
-l se používá k nastavení adresáře protokolování
-h se používá k určení domácí sítě
-A se používá k odeslání výstrahy do oken konzoly
-c se používá k určení konfigurace snortu
Jakmile je Snort spuštěn, získáte v terminálu následující výstup.
Můžete zkontrolovat soubory protokolu a získat informace o detekci narušení.
Snort funguje na základě sad pravidel. Proto vždy udržujte soubory pravidel aktuální. Můžete nastavit cronjob ke stažení pravidel a jejich pravidelné aktualizaci.
Závěr
V tomto tutoriálu jsme se naučili používat snort jako systém prevence narušení sítě v Linuxu. Také jsem popsal, jak nainstalovat a používat snort na systému Ubuntu a používat jej ke sledování provozu v reálném čase a k detekci hrozeb.