Instale o sistema de detecção de intrusões do bufo ubuntu
Depois de configurar qualquer servidor entre as primeiras etapas usuais vinculadas à segurança estão o firewall, atualizações e atualizações, chaves ssh, dispositivos de hardware. Mas a maioria dos sysadmins não digitaliza seus próprios servidores para descobrir pontos fracos, conforme explicado com o Openvas ou Nessus, nem configuram honeypots ou um sistema de detecção de intrusões (IDs) que é explicado abaixo.
Existem vários IDs no mercado e os melhores são gratuitos, o snort é o mais popular, eu só sei snort e ossec e prefiro o assec sobre o bufo porque come menos recursos, mas acho. As opções adicionais são: Suricata, Bro IDs, cebola de segurança.
A pesquisa mais oficial sobre a efetividade do IDS é bastante antiga, a partir de 1998, no mesmo ano em que o Snort foi desenvolvido inicialmente e foi realizado pela DARPA, concluiu que esses sistemas eram inúteis antes dos ataques modernos. Depois de duas décadas, evoluiu na progressão geométrica, a segurança também e tudo está quase atualizado, a adoção de identificações é útil para todos os sysadmin.
Ids bufando
O Snort IDS funciona em 3 modos diferentes, como sniffer, como madrejão de pacotes e sistema de detecção de intrusões de rede. O último é o mais versátil para o qual este artigo está focado.
Instalação do bufo
instalação apt-get libpcap-dev bison flex
Então corremos:
instalação apt-get snort
No meu caso, o software já está instalado, mas não foi por padrão, foi assim que foi instalado no Kali (Debian).
Introdução ao modo Sniffer do Snort
O modo Sniffer lê o tráfego da rede e exibe a tradução para um espectador humano.
Para testá -lo do tipo:
# Snort -v
Esta opção não deve ser usada normalmente, exibir o tráfego requer muitos recursos e é aplicado apenas para mostrar a saída do comando.
No terminal, podemos ver cabeçalhos de tráfego detectados por bufo entre o PC, o roteador e a Internet. Snort também relata a falta de políticas para reagir ao tráfego detectado.
Se queremos que o Snort mostre os dados também digite:
# Snort -vd
Para mostrar os cabeçalhos da camada 2:
# Snort -v -d -e
Assim como o parâmetro "V", "e" representa um desperdício de recursos também, seu uso deve ser evitado para a produção.
Introdução ao modo de logger de pacotes do Snort
Para salvar os relatórios do Snort, precisamos especificar para cheirar um diretório de log, se queremos que o Snort mostre apenas cabeçalhos e registre o tráfego no tipo de disco:
# mkdir snortlogs
# bufo -d -l snortlogs
O log será salvo dentro do diretório Snortlogs.
Se você quiser ler o tipo de arquivos de log:
# snort -d -v -r LogFileName.registro.xxxxxxxx
Introdução ao modo de detecção de intrusões de rede do Snort (NIDS)
Com o seguinte comando bufando as regras especificadas no arquivo/etc/snort/snort.conf para filtrar o tráfego corretamente, evitando ler todo o tráfego e focar em incidentes específicos
Referido no bufo.Conf através de regras personalizáveis.
O parâmetro "-a console" instrui o assumido a alertar no terminal.
# Snort -D -l Snortlog -H 10.0.0.0/24 -um console -C bufando.conf
Obrigado por ler este texto introdutório para o uso de Snort.