Bezpečnost je v dnešních podnikových prostředích velkým problémem pro všechny sítě. Pro zabezpečení síťových infrastruktur a komunikace přes internet se vyvinulo mnoho metod. Mezi nimi je Snort přední open-source systém detekce a prevence narušení sítě a cenný bezpečnostní rámec. Jedná se o sniffer paketů, který monitoruje síťový provoz v reálném čase a hloubkově prozkoumává každý paket, aby našel nebezpečné užitečné zatížení nebo podezřelé anomálie.
Pomocí mechanismu detekce narušení Snort můžeme shromažďovat a používat informace ze známých typů útoků a zjišťovat, zda se některé nesnaží napadnout naši síť nebo konkrétní hostitele. Takže informace shromážděné tímto způsobem mohou být dobře použity k posílení našich sítí, abychom zabránili hackerům a vetřelcům, kteří mohou být také užiteční pro právní účely.
Tento tutoriál popisuje konfiguraci, kompilaci a instalaci SNORT 2.9.7.xa DAQ-2.0.x pomocí operačních systémů CentOS 7.0 a dalších komponent.
Připravte operační systém
Chystáme se nastavit SNORT IDS pod následujícími operačními systémy a jeho komponentami
- Virtualizační prostředí:VMware Workstation
- HOSTOVACÍ operační systém:Microsoft Windows 7
- Operační systém HOST:CentOS 7.0 (64bitová verze)
- Systémové zdroje:CPU 2,0 GHz RAM 4 GB
Ve virtuálním stroji CentOS 7 jsme nakonfigurovali jeho síťová nastavení se statickou IP, bránou a záznamem DNS, abychom zajistili, že je připojen k internetu prostřednictvím rozhraní Ethernet, které bude použito jako port pro sledování provozu.
Předpoklady instalace
Následující balíčky jsou povinné pro nastavení SNORT, takže se ujistěte, že jste je nainstalovali před zahájením kompilace SNORT nebo DAQ. Téměř všechny tyto knihovny lze nainstalovat pomocí příkazu yum.
[root@centos-007 ~]# rpm -qa | grep gcc
libgcc-4.8.2-16.2.el7_0.x86_64
gcc-4.8.2-16.2.el7_0.x86_64
[root@centos-007 ~]# rpm -qa | grep flex
flex-2.5.37-3.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep bison
bison-2.7-4.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep zlib
zlib-1.2.7-13.el7.x86_64
zlib-devel-1.2.7-13.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep libpcap
libpcap-1.5.3-4.el7_1.2.x86_64
libpcap-devel-1.5.3-4.el7_1.2.x86_64
[root@centos-007 ~]# rpm -qa | grep tcpdump
tcpdump-4.5.1-2.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep libdnet-devel
libdnet-devel-1.12-13.1.el7.x86_64Instalace sběru dat (DAQ 2.0.5)
Nejnovější instalační balíčky SNORT a DAQ můžeme získat z jejich oficiálních webových stránek a zkopírovat jejich odkaz ke stažení balíčku RPM dostupný pro CentOS.
[root@centos-007 ~]# yum install https://snort.org/downloads/snort/daq-2.0.5-1.centos7.x86_64.rpm
Instalace SNORT 2.9.7
Podobně nainstalujeme Snort pomocí níže uvedeného příkazu s úložištěm yum.
[root@centos-007 ~]# yum install https://snort.org/downloads/snort/snort-2.9.7.3-1.centos7.x86_64.rpm
Instalace pravidel SNORT:
Abychom mohli nainstalovat pravidla Snort, musíme být registrovaným uživatelem, který si stáhne sadu pravidel nebo mít placené předplatné. Instalace některých aktualizací pravidel snortu je nezbytná k zajištění toho, že snort dokáže detekovat nejnovější hrozby.
Zaregistrujte se pomocí Snortu
Přihlaste se pomocí nejvýkonnějšího detekčního softwaru na světě a stáhněte si jeho pravidla, která jsou nejdůležitější, abyste si byli vědomi nejnovějších hrozeb.
Stahování pravidel Snortu
Po přihlášení do Snortu si nyní budeme moci stáhnout jeho pravidla, která musíme nainstalovat a pracovat pro Snort.
Aktualizace pravidla Snort pomocí Pulled Pork
Správa pravidel Pulled Pork pro Snort je navržena tak, aby pravidla Snortu létala! S úmyslem zvládnout všechna pravidla. Jeho kód stahuje pravidla, která potřebujeme ke zpracování našich pravidel Snortu.
Stahování PulledPork
Balíček Pulled Pork je dostupný v centru Git, pomocí následujícího příkazu dostaneme jeho balíček na server snort pomocí příkazu git clone.
[root@centos-007 ~]# git clone https://github.com/shirkdog/pulledpork.git
Nastavení Pulled Pork
[root@centos-007 pulledpork]# cp pulledpork.pl /usr/local/bin
[root@centos-007 pulledpork]# chmod +x /usr/local/bin/pulledpork.pl
[root@centos-007 pulledpork]# cp etc/*.conf /etc/snortNyní nakonfigurujeme PulledPork a umístíme Oinkcode do jeho konfiguračního souboru, umístíme jej do jeho konfiguračního souboru poté, co jej získáme od našeho registrovaného uživatele.
Vytváření souborů, které PulledPork vyžaduje jako.
[root@centos-007 ~]# mkdir /etc/snort/rules/iplists
[root@centos-007 ~]# touch /etc/snort/rules/iplists/default.blacklistTestování PullPork
Začněme testem, který potvrdí, že pullpork je funkční.
[root@centos-007 ~]# /usr/local/bin/pulledpork.pl -V
PulledPork v0.7.0 - Swine Flu !Jakmile bude PulledPork pracovat se svými úspěšnými výsledky testů, přejdeme nyní k jeho konfiguraci pomocí Snortu aktualizací několika konfiguračních parametrů.
Nakonfigurujte Snort
Chceme povolit dynamická pravidla, takže za tímto účelem zajistíme, aby druhý řádek v /etc/snort/snort.conf nebyl komentován.
# path to dynamic preprocessor libraries
dynamicpreprocessor directory /usr/lib64/snort-2.9.7.3_dynamicpreprocessor/
# path to base preprocessor engine
dynamicengine /usr/lib64/snort-2.9.7.3_dynamicengine/libsf_engine.so
# path to dynamic rules libraries
dynamicdetection directory /usr/local/lib/snort_dynamicrulesNyní proveďte následující 3 příkazy a přidejte pravidla pro začlenění, jak je uvedeno níže.
echo "include \$RULE_PATH/snort.rules" >> /etc/snort/snort.conf
echo "include \$RULE_PATH/local.rules" >> /etc/snort/snort.conf
echo "include \$RULE_PATH/so_rules.rules" >> /etc/snort/snort.confZačátek taženého vepřového
Nyní spuštěním následujícího příkazu spustíme pullpork a aktualizujeme vaše pravidla jako belwo.
[root@centos-007 ~]# pulledpork.pl -c /etc/snort/pulledpork/pulledpork.conf
...
Rule Stats...
New:-------686
Deleted:---4
Enabled Rules:----365
Dropped Rules:----0
Disabled Rules:---45
Total Rules:------410
No IP Blacklist Changes
Done
Please review /var/log/sid_changes.log for additional details
Fly Piggy Fly!Po aktualizaci vašich pravidel musíme vždy restartovat službu snort. Ujistěte se tedy, že se během restartu neobjevily žádné chyby. Pokud se zobrazí chyby, zkontrolujte soubor /var/log/syslog a pokuste se problém vyřešit.
[root@centos-007 ~]# service snort restart
Updating Snort Rules using Pulled PorkZávěr
Gratulujeme, pokud máte po opětovném spuštění PulledPork a restartování služby Snort výstupy podobné výše uvedeným, pak jste úspěšně nakonfigurovali PulledPork pomocí Snort.