Obsah
- Prečo nastaviť systém detekcie vniknutia?
- Inštalácia balíka Snort
- Získanie kódu Oinkmaster
- Podľa nasledujúcich pokynov získate kód Oinkmaster:
- Zadanie kódu Oinkmaster do Snort
- Ručná aktualizácia pravidiel
- Pridávanie rozhraní
- Konfigurácia rozhrania
- Výber kategórií pravidiel
- Aký je účel kategórií pravidiel?
- Ako môžem získať viac informácií o kategóriách pravidiel?
- Populárne kategórie pravidiel pre snort
- Predbežný procesor a nastavenie toku
- Spustenie rozhraní
- Ak sa Snort nepodarí spustiť
- Prebieha kontrola upozornení
Sam pracuje ako sieťový analytik pre algoritmickú obchodnú spoločnosť. Bakalársky titul v odbore informačné technológie získal na UMKC.
Prečo nastaviť systém detekcie vniknutia?
Hackeri, vírusy a ďalšie hrozby neustále skúmajú vašu sieť a hľadajú spôsob, ako sa dostať dovnútra. K ohrozeniu celej siete stačí iba jeden hacknutý počítač. Z týchto dôvodov odporúčam nastaviť systém detekcie vniknutia, aby ste mohli zaistiť bezpečnosť svojich systémov a monitorovať rôzne hrozby na internete.
Snort je open source IDS, ktorý je možné ľahko nainštalovať na bránu firewall pfSense na ochranu domácej alebo podnikovej siete pred votrelcami. Snort možno tiež nakonfigurovať tak, aby fungoval ako systém prevencie narušenia (IPS), čo ho robí veľmi flexibilným.
V tomto článku vás prevediem procesom inštalácie a konfigurácie Snort na pfSense 2.0, aby ste mohli začať analyzovať prenos v reálnom čase.
Inštalácia balíka Snort
Ak chcete začať s programom Snort, musíte si balík nainštalovať pomocou správcu balíkov pfSense. Správca balíkov sa nachádza v systémovej ponuke webového grafického používateľského rozhrania pfSense.
V zozname balíkov vyhľadajte Snort a kliknutím na symbol plus na pravej strane spustite inštaláciu.
Je normálne, že inštalácia snortu trvá pár minút, má niekoľko závislostí, ktoré musí program pfSense najskôr stiahnuť a nainštalovať.
Po dokončení inštalácie sa v ponuke služieb zobrazí Snort.
Snort je možné nainštalovať pomocou správcu balíkov pfSense.
Získanie kódu Oinkmaster
Aby bol Snort užitočný, je potrebné ho aktualizovať pomocou najnovšej sady pravidiel. Balík Snort môže tieto pravidlá automaticky aktualizovať, najskôr však musíte získať kód Oinkmaster.
K dispozícii sú dve rôzne sady pravidiel Snort:
- Sada vydaní predplatiteľa je najaktuálnejšou sadou pravidiel, ktorá je k dispozícii. Prístup k týmto pravidlám v reálnom čase si vyžaduje platené ročné predplatné.
- Druhou verziou pravidiel je vydanie registrovaného používateľa, ktoré je úplne zadarmo pre každého, kto sa zaregistruje na stránke Snort.org.
Hlavný rozdiel medzi týmito dvoma skupinami pravidiel spočíva v tom, že pravidlá vo vydaní registrovaného používateľa zaostávajú za pravidlami predplatného o 30 dní. Ak chcete získať najaktuálnejšiu ochranu, mali by ste si zaobstarať predplatné.
Podľa nasledujúcich pokynov získate kód Oinkmaster:
- Navštívte webovú stránku Pravidlá pre Snort a stiahnite si potrebnú verziu.
- Kliknite na „Zaregistrovať si účet“ a vytvorte si účet Snort.
- Po potvrdení účtu sa prihláste na stránke Snort.org.
- Kliknite na „Môj účet“ na hornom paneli odkazov.
- Kliknite na kartu „Predplatné a Oinkcode“.
- Kliknite na odkaz Oinkcodes a potom kliknite na položku „Generovať kód“.
Kód zostane uložený vo vašom účte, aby ste ho v prípade potreby mohli získať neskôr. Tento kód bude potrebné zadať do nastavení Snort v pfSense.
Na stiahnutie pravidiel zo stránky Snort.org sa vyžaduje kód Oinkmaster.
Zadanie kódu Oinkmaster do Snort
Po získaní kódu Oinkcode ho musíte zadať v nastaveniach balíka Snort. V ponuke služieb webového rozhrania sa zobrazí stránka s nastavením Snort. Ak to nie je viditeľné, skontrolujte, či je balík nainštalovaný, a v prípade potreby ho znova nainštalujte.
Oinkcode musí byť zadaný na stránke globálnych nastavení v nastaveniach Snort. Tiež by som rád začiarknutím políčka povolil pravidlá pre vznikajúce hrozby. Pravidlá ET sú udržiavané komunitou otvorených zdrojov a môžu poskytnúť niekoľko ďalších pravidiel, ktoré sa v sade Snort nemusia nájsť.
Automatické aktualizácie
Balík Snort predvolene neaktualizuje pravidlá automaticky. Odporúčaný interval aktualizácií je raz za 12 hodín, môžete ho však zmeniť tak, aby vyhovoval vášmu prostrediu.
Po vykonaní zmien nezabudnite kliknúť na tlačidlo „uložiť“.
Ručná aktualizácia pravidiel
Snort neprichádza so žiadnymi pravidlami, takže ich budete musieť prvýkrát aktualizovať manuálne. Ak chcete spustiť manuálnu aktualizáciu, kliknite na kartu aktualizácie a potom kliknite na tlačidlo pravidlá aktualizácie.
Balík stiahne najnovšie sady pravidiel zo stránky Snort.org a tiež Emerging Threats, ak máte vybranú túto možnosť.
Po dokončení aktualizácií sa pravidlá extrahujú a sú pripravené na použitie.
Pravidlá musia byť stiahnuté ručne pri prvom nastavení funkcie Snort.
Pridávanie rozhraní
Skôr ako Snort začne fungovať ako systém detekcie vniknutia, musíte mu prideliť rozhrania na sledovanie. Typická konfigurácia je pre spoločnosť Snort na sledovanie akýchkoľvek rozhraní WAN. Druhou najbežnejšou konfiguráciou je Snort na sledovanie rozhraní WAN a LAN.
Monitorovanie rozhrania LAN môže poskytnúť určitú viditeľnosť pre útoky prebiehajúce z vašej siete. Nie je neobvyklé, že sa počítač v sieti LAN infikuje malvérom a začne podnikať útoky na systémy v sieti aj mimo nej.
Ak chcete pridať rozhranie, kliknite na symbol plus na karte Snort interface.
Konfigurácia rozhrania
Po kliknutí na tlačidlo pridať rozhranie sa zobrazí stránka nastavení rozhrania.Stránka s nastaveniami obsahuje veľa možností, ale je len niekoľko, s ktorými si musíte robiť starosti, aby ste mohli veci rozbehnúť.
- Najskôr začiarknite políčko v hornej časti stránky.
- Ďalej vyberte rozhranie, ktoré chcete konfigurovať (v tomto príklade konfigurujem najskôr WAN).
- Nastavte výkon pamäte na AC-BNFA.
- Začiarknite políčko „Log Alerts to snort unified2 file“, aby fungoval barnyard2.
- Kliknite na tlačidlo Uložiť.
Ak prevádzkujete a multi-wan router, môžete nakonfigurovať ďalšie rozhrania WAN vo vašom systéme. Tiež odporúčam pridať LAN rozhranie.
Pred spustením rozhraní je pre každé rozhranie potrebné nakonfigurovať niekoľko ďalších nastavení. Ak chcete nakonfigurovať ďalšie nastavenia, vráťte sa na kartu Snort interfaces a kliknite na symbol „E“ na pravej strane stránky vedľa rozhrania. Dostanete sa späť na konfiguračnú stránku pre dané konkrétne rozhranie. Ak chcete vybrať kategórie pravidiel, ktoré by mali byť pre dané rozhranie povolené, kliknite na kartu kategórie. Všetky pravidlá detekcie sú rozdelené do kategórií. Kategórie obsahujúce pravidlá od Emerging Threats budú začínať výrazom „emerging“ a pravidlá zo stránky Snort.org sa budú začínať výrazom „snort“. Po výbere kategórií kliknite na tlačidlo uložiť v dolnej časti stránky. Rozdelením pravidiel do kategórií môžete povoliť iba konkrétne kategórie, ktoré vás zaujímajú. Odporúčam povoliť niektoré zo všeobecnejších kategórií. Ak vo svojej sieti prevádzkujete konkrétne služby, napríklad webový alebo databázový server, mali by ste povoliť aj príslušné kategórie. Je dôležité mať na pamäti, že Snort bude vyžadovať viac systémových prostriedkov zakaždým, keď zapnete ďalšiu kategóriu. To tiež môže zvýšiť počet falošných poplachov. Spravidla je najlepšie zapnúť iba skupiny, ktoré potrebujete, ale môžete experimentovať s kategóriami a zistiť, čo funguje najlepšie.Výber kategórií pravidiel
Aký je účel kategórií pravidiel?
Ako môžem získať viac informácií o kategóriách pravidiel?
Ak chcete zistiť, aké pravidlá sú v kategórii, a dozvedieť sa viac o tom, čo robia, potom kliknite na príslušnú kategóriu. Odkážeme vás priamo na zoznam všetkých pravidiel v tejto kategórii.
Populárne kategórie pravidiel pre snort
| meno kategórie | Popis |
|---|---|
pravidlá snort_botnet-cnc. | Zameriava sa na známych hostiteľov príkazov a riadenia botnetov. |
snort_ddos.rules | Zistí útoky odmietnutia služby. |
snort_scan.rules | Tieto pravidlá detekujú skenovanie portov, sondy Nessus a ďalšie útoky zhromažďujúce informácie. |
snort_virus.rules | Zisťuje podpisy známych trójskych koní, vírusov a červov. Túto kategóriu sa dôrazne odporúča použiť. |
Predbežný procesor a nastavenie toku
Na stránke nastavení preprocesorov je potrebné povoliť niekoľko nastavení. Mnoho z detekčných pravidiel vyžaduje, aby bola povolená kontrola HTTP, aby mohli fungovať.
- V nastaveniach kontroly HTTP povoľte „Použiť kontrolu HTTP na normalizáciu / dekódovanie“
- V sekcii všeobecných nastavení preprocesora povoľte „Detekciu portov“
- Uložte nastavenia.
Spustenie rozhraní
Keď sa k Snort pridá nové rozhranie, nespustí sa automaticky. Ak chcete rozhrania spustiť manuálne, kliknite na zelené tlačidlo prehrávania na ľavej strane každého nakonfigurovaného rozhrania.
Keď je Snort spustený, text za názvom rozhrania sa zobrazí zelenou farbou. Ak chcete zastaviť funkciu Snort, kliknite na červené tlačidlo Stop na ľavej strane rozhrania.
Existuje niekoľko bežných problémov, ktoré môžu zabrániť spusteniu Snort.
Ak sa Snort nepodarí spustiť
Prebieha kontrola upozornení
Po úspešnom nakonfigurovaní a spustení Snort by sa vám mali začať zobrazovať výstrahy, akonáhle sa zistí prevádzka zodpovedajúca pravidlám.
Ak nevidíte žiadne výstrahy, dajte im trochu času a potom to znova skontrolujte. V závislosti od množstva prenosu a povolených pravidiel môže chvíľu trvať, kým sa vám zobrazia akékoľvek výstrahy.
Ak chcete výstrahy zobraziť na diaľku, môžete povoliť nastavenie rozhrania „Odosielať výstrahy do hlavných systémových denníkov“. Výstrahy, ktoré sa zobrazujú v systémových denníkoch, môžu byť zobrazené na diaľku pomocou Syslogu.
Tento článok je presný a pravdivý podľa najlepšieho vedomia autora. Obsah slúži iba na informačné alebo zábavné účely a nenahrádza osobné rady ani odborné rady v obchodných, finančných, právnych alebo technických záležitostiach.
