Este artigo explica como instalar o Snort e como começar com alertas e regras do Snort para implementar com sucesso um sistema de detecção de intrusões.
Snort é um sistema de detecção de intrusão que analisa o tráfego e os pacotes para detectar anomalias, como tráfego malicioso, e relatar. Se você não estiver familiarizado com os sistemas de detecção de intrusões, convém começar a ler a conclusão final sobre eles. Se você quiser ir direto para instruções práticas, continue lendo.
Depois de ler este artigo, você poderá instalar o Snort nas distribuições Linux baseadas em Debian e Redhat, definir diferentes modos de bufo, definir alertas e regras. As instruções de uso do Snort neste tutorial são válidas para todas as distribuições Linux.
Todas as instruções deste documento contêm capturas de tela para facilitar para todos os usuários do Linux entender e aplicá -los.
Instalação do bufo
Você pode instalar o snort usando o apt Gerente de pacotes no Debian ou Ubuntu, como mostrado na captura de tela a seguir:
sudo apt install bufando
Durante o processo de instalação, você será solicitado a definir sua rede. Imprensa OK para continuar com o próximo passo.
Agora, digite seu endereço de rede em formato CIDR. Normalmente, o Snort Auto detecta -o com sucesso.
Então aperte OK ou DIGITAR. Não se preocupe com esta etapa; Esta configuração pode ser editada mais tarde.
Os usuários de distribuição Linux baseados em Red Hat podem baixar o pacote Snort de https: // www.bufo.Org/Downloads#Snort-downloads e depois instale-o executando o seguinte comando, onde <Versão> deve ser substituído pela versão atual que você baixou.
sudo yum bufo-<Versão>.RPM
Mantendo as regras do bufo atualizadas
O Snort contém dois tipos principais de regras: Regras da comunidade desenvolvidas pela comunidade Snort e regras oficiais. Você sempre pode atualizar as regras da comunidade por padrão. Mas, para atualizar as regras oficiais, você precisa de um código Oink - um código que permite baixar as regras mais recentes.
Para obter um código Oink, registre -se em https: // www.bufo.org/usuários/sinal_up.
Depois de se registrar, confirme a conta do seu e -mail e faça o login no site do Snort.
No menu do lado esquerdo do painel, pressione OinkCode e você verá seu código.
https: // www.bufo.org/regras/snortrules-snapshot-.alcatrão.gz?OinkCode =
No meu caso, usei o bufo 2.9.15.1 e o link a seguir para baixar as regras:
https: // www.bufo.org/regras/snortrules-snapshot-29151.alcatrão.gz?OinkCode =15E4F48AAB11B956BB27801172720F2BE9F3686D
Você pode criar um script cron para baixar e extrair as regras para o diretório adequado.
Configurando o bufo
O arquivo de configuração do Snort é/etc/snort/snort.conf. Antes de começar, os usuários do Debian devem seguir as etapas mencionadas no seguinte. Outros usuários de distro podem continuar lendo do/etc/snort/snort.EDIÇÃO DE ARQUIVO CONF.
Nota para usuários do Debian: Debian Linux substitui algumas configurações de rede no arquivo de configuração padrão do Snort. Sob o diretório /etc /snort, existe o /etc/bufo/bufo.Debian.conf Arquivo de onde as configurações da rede Debian são importadas.
Se você é um usuário do Debian, execute o seguinte código:
sudo nano/etc/snort/snort.Debian.conf
Verifique se todas as informações neste arquivo de configuração estão corretas, incluindo o endereço CIDR, o dispositivo de rede, etc.
Salve o arquivo. Vamos começar a configurar o bufo.
Para configurar o bufo, use qualquer editor de texto como mostrado no seguinte (usei o nano) para abrir o /etc/bufo/bufo.conf arquivo.
sudo nano/etc/snort/snort.conf
Verifique sua configuração de rede e role para baixo.
Defina as portas que você deseja ser monitorado.
Não feche o arquivo e continue lendo a próxima seção (mantenha o arquivo de configuração aberto).
Regras de bufo
As regras de bufo são ativadas ou desativadas comentando ou não.arquivo conf. Mas as regras são armazenadas no /etc/bufo/regras arquivo.
Para ativar ou desativar as regras, abra o /etc/bufo/bufo.conf com um editor de texto. As regras estão localizadas no final do arquivo.
Quando você chegar ao final do arquivo, você verá uma lista de regras para fins diferentes. Descompor as regras que você deseja ativar e comentar as regras que deseja desativar.
Por exemplo, para detectar o tráfego relacionado aos ataques de DOS, descomentar a regra do DOS. Ou descomamento A regra do FTP para monitorar as portas 21.
sudo nano/etc/snort/snort.conf
Depois de descomentar as regras, habilite, salve e saia do documento.
Os 7 modos de alerta de bufo
Snort inclui 7 modos de alerta diferentes a serem notificados sobre eventos ou incidentes. Os 7 modos são os seguintes:
Para encerrar este artigo, vamos tentar o modo completo executando o seguinte comando, onde -Um rápido indica uma varredura de modo rápido e -c Especifica o arquivo de configuração (/etc/snort/snort.conf).
sudo buçar.conf
Agora, inicie algumas varreduras de NMAP ou tente conectar -se através do SSH ou FTP ao seu computador e leia o /var/log/snort/snort.alerta.Last linhas rápidas para verificar como o tráfego é relatado. Como você pode ver, lancei uma varredura agressiva do NMAP e foi detectado como um tráfego malicioso.
cauda/var/log/snort/snort.alerta.rápido
Espero que este tutorial sirva como uma boa introdução ao bufo. Mas você deve continuar aprendendo lendo os alertas do bufo e os tutoriais de criação de regras do bufo para começar a começar com o Snort.
Sobre sistemas de detecção de intrusões
O pensamento geral é que, se um firewall está protegendo a rede, a rede é considerada segura. No entanto, isso não é totalmente verdadeiro. Os firewalls são um componente fundamental de uma rede, mas não podem proteger completamente a rede de entradas forçadas ou intenções hostis. Sistemas de detecção de intrusões são usados para avaliar os pacotes agressivos ou inesperados e gerar um alerta antes que esses programas possam prejudicar a rede. Um sistema de detecção de intrusões baseado em host é executado em todos os dispositivos em uma rede ou se conecta à rede interna de uma organização. Um sistema de detecção de intrusões baseado em rede é implantado em um determinado ponto ou grupo de pontos dos quais todo o tráfego de engate e saída pode ser monitorado. A vantagem de um sistema de detecção de intrusões baseado em hospedeiro é que ele também pode detectar anomalias ou tráfego malicioso que são gerados a partir do próprio host, como se o host for afetado por malware, etc. Sistemas de detecção de intrusões (IDs) Trabalhe monitorando e analisando o tráfego de rede e o compara com um conjunto de regras estabelecido para determinar o que deve ser tomado normalmente para a rede (para portas, larguras de banda, etc.) e o que dar uma olhada mais de perto.
Um sistema de detecção de intrusão pode ser implantado dependendo do tamanho da rede. Existem dezenas de IDs comerciais de qualidade, mas muitas empresas e pequenas empresas não podem pagar. O Snort é um sistema de detecção de intrusões flexível, leve e popular que pode ser implantado de acordo com as necessidades da rede, variando de pequenas a grandes redes, e fornece todos os recursos de um IDS pago. Snort não custa nada, mas isso não significa que não pode fornecer as mesmas funcionalidades que uma elite, IDs comerciais. O Snort é considerado um IDS passivo, o que significa que cheira os pacotes de rede, compara -se ao conjunto de regras e, no caso de detectar um tronco ou entrada maliciosa (detectando uma intrusão), ele gera um alerta ou coloca uma entrada em um log de log arquivo. Snort é usado para monitorar as operações e atividades de roteadores, firewalls e servidores. O Snort fornece uma interface amigável que contém uma cadeia de regras que podem ser muito úteis para uma pessoa que não está familiarizada com os IDs. O Snort gera um alarme em caso de intrusão (ataques de transbordamento de buffer, envenenamento por DNS, impressão digital do sistema operacional, digitalizações de portas e muito mais), dando a uma organização uma maior visibilidade do tráfego da rede e facilitando muito o atendimento dos regulamentos de segurança.
Agora, você é apresentado a IDs. Vamos agora começar a configurar o bufo.
Conclusão
Sistemas de detecção de intrusões como o Snort são usados para monitorar o tráfego de rede para detectar quando um ataque está sendo realizado por um usuário malicioso antes que possa prejudicar ou afetar a rede. Se um invasor executar uma tomografia computadorizada em uma rede, o ataque poderá ser detectado junto com o número de tentativas feitas, o endereço IP do atacante e outros detalhes. Snort é usado para detectar todos os tipos de anomalias. Ele vem com um grande número de regras que já estão configuradas, juntamente com a opção para o usuário escrever suas próprias regras de acordo com suas necessidades. Dependendo do tamanho da rede, o Snort pode ser facilmente configurado e usado sem gastar nada, em comparação com os outros sistemas de detecção de intrusões comerciais pagas. Os pacotes capturados podem ser analisados ainda mais usando um sniffer de pacotes como o Wireshark para analisar e quebrar o que está acontecendo na mente do atacante durante o ataque e os tipos de varreduras ou comandos executados. Snort é uma ferramenta gratuita, de código aberto e fácil de configurar. Pode ser uma ótima opção para proteger qualquer rede de tamanho médio de um ataque.