Configure IDs de Snort e crie regras
Snort é um sistema de detecção de intrusão de código aberto (IDS) para monitoramento de rede. Ao ler este tutorial, você aprenderá como instalar o Snort no Debian e no CentOS e configurar uma configuração e regras personalizadas.
Este documento inclui detecção de ataque de cenário real.
Todas as explicações neste tutorial incluem capturas de tela de exemplo de cenário real, facilitando para qualquer usuário do Linux entender como o bufo funciona independentemente de seu nível de experiência.
Instalando o Snort (Debian)
Esta seção explica como instalar primeiro os sistemas baseados no Debian; Após as instruções de instalação do Debian, você encontrará etapas para instalá -lo no CentOS.
Antes de instalar o Snort nas distribuições Linux baseadas no Debian, atualize seus repositórios do sistema executando o seguinte comando:
Atualização de sudo apt-get
Depois de atualizar os repositórios, instale o snort usando o seguinte comando:
sudo apt install bung -y
O processo de instalação informará que a sintaxe para definir endereços de rede no arquivo de configuração é CIDR (roteamento entre domínios sem classe). Imprensa DIGITAR Para continuar com a instalação.
O instalador detectará automaticamente sua estrutura de rede. Nesta etapa, verifique se a detecção está correta e conserte -a, se necessário. Então aperte DIGITAR.
Depois de pressionar DIGITAR, A instalação será concluída.
Instalando o Snort (CentOS)
Para instalar o Snort no CentOS, faça o download do último bufo RPM pacote para centros em https: // www.bufo.org/downloads#downloads de buquê.
Em seguida, execute o seguinte comando, onde <Versão> Deve ser substituído pela versão Snort que você baixou do link anterior:
sudo yum bufo-.RPM
Importante para os usuários do Debian
O Debian Linux substitui algumas opções relacionadas às configurações de rede no arquivo de configuração padrão do Snort. As opções de reescrita são buscadas no sistema operacional. Sob as configurações do diretório do Snort, existe o /etc/bufo/bufo.Debian.conf Arquivo onde as configurações da rede Debian são importadas.
Portanto, se você usar o Debian primeiro, abra o /etc/bufo/bufo.Debian.conf Arquivo para verificar o arquivo de configuração e editá -lo, se necessário, usando o seguinte comando:
sudo nano/etc/snort/snort.Debian.conf
Como você pode ver, no meu caso, a configuração padrão buscada no sistema operacional está correta.
Observação: Se as configurações de rede não estiverem corretas no seu caso, execute sudo dpkg-reconfigure bufando
Se suas configurações estiverem corretas, pressione Ctrl+q para sair.
Configurando o bufo
Esta seção inclui instruções para a configuração inicial do snort.
Para configurar o bufo, abra o /etc/bufo/bufo.conf Usando Nano, VI ou qualquer editor de texto.
sudo nano/etc/snort/snort.conf
Dentro do arquivo de configuração, encontre a seguinte linha:
ipvar home_net qualquer
Você pode adicionar sua rede ou endereços IP específicos. Para adicionar à sua rede, substitua a linha pelo seguinte, onde x.x.x.x/x deve ser substituído por um endereço CIDR:
ipvar home_net x.x.x.x/x
No meu caso, substituo essa linha pelo seguinte:
IPvar Home_net 192.168.0.0/16
Mas, se você deseja adicionar endereços IP específicos, a sintaxe é mostrada abaixo, onde 192.168.0.3, 10.0.0.4 e 192.168.1.3 Deve ser substituído pelos endereços IP a serem monitorados por bufo. Digite todos os endereços IP separados por uma vírgula entre colchetes quadrados.
ipvar home_net [192.168.0.3, 10.0.0.4, 192.168.1.3]
Deixe a linha ipvar extern_net qualquer padrão como padrão; Abaixo, você pode ver minha configuração:
Se você descer, verá as opções para monitorar serviços específicos e descomentar seus serviços ativados.
Ao terminar de editar o arquivo, feche -o para salvar alterações. Se você não tiver serviços abertos, basta fechar as mudanças de economia.
Testando a configuração do bufo com ataques reais
Agora, vamos testar o bufo executando o comando mostrado abaixo. Substitua o endereço IP ou rede pela sua.
sudo snort -d -l/var/log/snort/-h 192.168.0.0/16 -um console -c/etc/snort/snort.conf
Onde os sinalizadores de comando executados anteriormente significam:
-d = diz ao Snort para mostrar dados
-l = determina o diretório de logs
-h = Especifica a rede para monitorar
-A = Instrui bufo para imprimir alertas no console
-c = Especifica Snort o arquivo de configuração
Para testar o Snort, enquanto estiver em execução, inicie uma digitalização agressiva de impressão digital (XMAS) de outro computador usando o NMAP, como mostrado abaixo:
sudo nmap -v -st -o 192.168.0.103
Como você pode ver na captura de tela a seguir, o Snort detecta a tentativa de impressão digital:
Agora, vamos lançar um DDoS ataque usando nping3 de outro computador.
Hping3 -C 10000 -D 120 -S -W 64 -P 21 -Lúcs.0.0.3
Como você pode ver abaixo, o Snort detecta tráfego malicioso:
Agora que vemos como o bufo funciona, vamos criar regras personalizadas.
Introdução às regras do Snort
As regras disponíveis padrão do Snort são armazenadas no /etc/bufo/regras diretório. Para ver quais regras estão ativadas ou comentadas, você precisa ler o /etc/bufo/bufo.conf Arquivo que editamos anteriormente.
Execute o seguinte comando e role para baixo para ver regras desativadas e ativadas. Algumas regras são desativadas para os usuários do Debian porque não estão disponíveis nas regras do Debian Stock Debian.
menos/etc/bufo/bufo.conf
Como dito anteriormente, os arquivos de regra são armazenados no /etc/bufo/regras diretório.
Vamos verificar as regras para detectar e relatar o tráfego de backdoors.
sudo menos/etc/snort/regras/backdoor.regras
Como você pode ver, existem várias regras para evitar ataques de backdoor. Surpreendentemente, há uma regra para detectar e relatar Netbus, Um cavalo de Trojan que se tornou popular décadas atrás. Vamos explicar como essa regra funciona.
Alerta TCP $ home_net 12345: 12346 -> $ extern_net qualquer (msg: "backdoor netbus
ativo "; fluxo: from_server, estabelecido; conteúdo:" netbus "; referência: arachnid
s, 401; Classtype: Misc-Activity; SID: 109; Rev: 5;)
alerta tcp $ extern_net any -> $ home_net 12345: 12346 (msg: "backdoor netbus getinfo"; fluxo: to_server, estabelecido; conteúdo: "getinfo | 0d |"; 110; Rev: 4;)
Onde:
-> = Especifica a direção do tráfego, neste caso de nossa rede protegida para uma externa
conteúdo = Procure conteúdo específico dentro do pacote. Pode incluir texto se entre aspas ("") ou dados binários se entre (| |).
profundidade = Análise intensa; Na regra acima, vemos dois parâmetros diferentes para dois conteúdos diferentes.
deslocamento = Instruções cheirar o byte inicial de cada pacote para começar a procurar o conteúdo.
classtype = Relatórios que tipo de ataque bufu está alertando.
SID: 115 = Identificador de regra.
Como criar sua própria regra de bufo
Agora, criaremos uma nova regra para notificar sobre as conexões SSH de entrada.
Crie A/etc/Snort/Regras/YourRule.Arquivo de regras usando um editor de texto. Você pode nomear o arquivo como quiser. Isso é arbitrário, então respeite o caminho.
sudo nano/etc/snort/regras/yourrule.regras
Cole a seguinte regra dentro do arquivo. Como você pode ver, a regra notificará quando um dispositivo tenta se conectar através do SSH.
alerta tcp $ extern_net any -> $ home_net 22 (msg: "ssh de entrada"; fluxo: apátrida; bandeiras: s+; sid: 100006927; rel: 1;)
Feche e salve o arquivo.
Agora, adicione a regra ao arquivo de configuração do Snort e execute o seguinte comando:
sudo nano/etc/snort/snort.conf
Role para baixo e na seção de regras, adicione a seguinte linha, onde “seu role.regras ”deve ser substituído pelo seu nome de regra personalizado.
Inclua $ regime_path/yourrule.regras
Feche o editor de texto; Assim, salvando mudanças.
Agora, corra o bufo executando o seguinte comando como fizemos anteriormente; Se já estava aberto, tudo bem:
sudo snort -d -l/var/log/snort/-h 192.168.0.1/16 -a console -c/etc/snort/snort.conf
Vou tentar me conectar de outro computador usando SSH.
SSH 192.168.0.103
Como você pode ver na imagem a seguir, a regra que criamos relata a tentativa de conexão.
Isso é tudo para este tutorial. Se você quiser saber mais sobre alertas personalizados do Snort, recomendo este tutorial https: // linuxhint.com/ snort_alerts/ para continuar lendo sobre alertas do Snort.
Conclusão
Como você pode ver, configurar e criar regras de bufo é simples. Todo usuário do Linux pode fazer isso entendendo o conteúdo explicado anteriormente. É importante lembrar aspectos de configuração exclusivos para usuários do Debian anteriormente explicados. Existem algumas alternativas de bufo que você pode querer experimentar, como o Assec, mas o Snort continua sendo o mais popular para usuários do Linux. Também é importante que o Snort funcione para todos os sistemas operacionais dentro da rede.
Obrigado por ler este artigo explicando como configurar os IDs do Snort e como criar regras. Continue seguindo Linuxhint para mais tutoriais profissionais do Linux.