Configurare ID Snort e creare regole
Snort è un sistema di rilevamento di intrusioni (ID) per il monitoraggio della rete. Leggendo questo tutorial, imparerai come installare Snort sia su Debian che su CentOS e impostare una configurazione e regole di snort personalizzate.
Questo documento include il rilevamento degli attacchi di scenario reale.
Tutte le spiegazioni in questo tutorial includono screenshot di esempio di scenario reale, rendendo facile per qualsiasi utente Linux capire come Snort funziona in modo indipendente dal suo livello di competenza.
Installazione di Snort (Debian)
Questa sezione spiega come installare prima Snort sui sistemi basati su Debian; Dopo le istruzioni di installazione di Debian, troverai i passaggi per installarlo su CentOS.
Prima di installare Snort sulle distribuzioni Linux basate su Debian, aggiorna i repository di sistema eseguendo il seguente comando:
Sudo Apt-get Aggiornamento
Dopo aver aggiornato i repository, installare Snort utilizzando il comando seguente:
sudo apt install snort -y
Il processo di installazione ti informerà che la sintassi per definire gli indirizzi di rete nel file di configurazione è CIDR (routing inter-dominio senza classe). Premere ACCEDERE Per continuare con l'installazione.
Il programma di installazione rileverà automaticamente la struttura della rete. In questo passaggio, verificare se il rilevamento è corretto e risolverlo se necessario. Quindi, premere ACCEDERE.
Dopo aver premuto ACCEDERE, L'installazione concluderà.
Installazione dello snort (centOS)
Per installare Snort su CentOS, scarica l'ultimo snort RPM Pacchetto per CentOS su https: // www.sbuffo.org/download#snort-downloads.
Quindi, eseguire il seguente comando, dove <Versione> deve essere sostituito con la versione Snort che hai scaricato dal link precedente:
sudo yum snort-.RPM
Importante per gli utenti Debian
Debian Linux sovrascrive alcune opzioni relative alle impostazioni di rete nel file di configurazione predefinito SNORT. Le opzioni di riscrittura sono recuperate dal sistema operativo. Sotto le impostazioni della directory Snort, c'è il /etc/snort/snort.Debian.conf File in cui vengono importate le impostazioni di rete Debian.
Pertanto, se usi per primo Debian, apri il /etc/snort/snort.Debian.conf File per controllare il file di configurazione e modificarlo, se necessario, utilizzando il comando seguente:
sudo nano/etc/snort/snort.Debian.conf
Come puoi vedere, nel mio caso, la configurazione predefinita recuperata dal sistema operativo è corretta.
Nota: Se le impostazioni di rete non sono corrette nel tuo caso, eseguire sudo dpkg-reconfigure snort
Se le tue impostazioni sono corrette, premere Ctrl+Q abbandonare.
Configurazione dello snort
Questa sezione include le istruzioni per la configurazione Snort iniziale.
Per configurare Snort, aprire il /etc/snort/snort.conf Utilizzo di nano, vi o qualsiasi editor di testo.
sudo nano/etc/snort/snort.conf
All'interno del file di configurazione, trova la seguente riga:
ipvar home_net qualsiasi
Puoi aggiungere la tua rete o gli indirizzi IP specifici. Per aggiungere alla rete, sostituire la linea con quanto segue, dove x.X.X.x/x deve essere sostituito con un indirizzo CIDR:
ipvar home_net x.X.X.x/x
Nel mio caso, sostituisco quella linea con quanto segue:
ipvar home_net 192.168.0.0/16
Ma, se si desidera aggiungere indirizzi IP specifici, la sintassi è mostrata di seguito, dove 192.168.0.3, 10.0.0.4 e 192.168.1.3 deve essere sostituito con gli indirizzi IP da monitorare da Snort. Digitare tutti gli indirizzi IP separati da una virgola tra parentesi quadrate.
ipvar home_net [192.168.0.3, 10.0.0.4, 192.168.1.3]
Lasciare la riga ipvar esterno_net qualsiasi predefinito; Di seguito, puoi vedere la mia configurazione:
Se scendi, vedrai le opzioni per monitorare i servizi specifici e il rompere i servizi abilitati.
Quando finisci di modificare il file, chiudilo per salvare le modifiche. Se non hai servizi aperti, quindi chiudi semplicemente le modifiche al risparmio.
Test di configurazione di snort con attacchi reali
Ora, testariamo Snort eseguendo il comando mostrato di seguito. Sostituisci l'indirizzo IP o la rete con il tuo.
sudo snort -d -l/var/log/snort/-h 192.168.0.0/16 -a console -c/etc/snort/snort.conf
Dove significano flag di comando precedentemente eseguiti:
-d = dice a Snort di mostrare i dati
-l = determina la directory dei registri
-H = Specifica la rete da monitorare
-A = Induce a sbuffo di stampare avvisi nella console
-c = Specifica sbarcare il file di configurazione
Per testare Snort, mentre è in esecuzione, lanciare una scansione aggressiva di impronte digitali (XMAS) da un altro computer usando NMAP, come mostrato di seguito:
sudo nmap -v -st -o 192.168.0.103
Come puoi vedere nella seguente screenshot, Snort rileva il tentativo di impronta digitale:
Ora lanciamo un file Ddos Attacco usando NPING3 da un altro computer.
HPING3 -C 10000 -D 120 -S -W 64 -P 21 - -flood - -rand -source 10.0.0.3
Come puoi vedere di seguito, Snort rileva il traffico dannoso:
Ora che vediamo come funziona Snort, creiamo regole personalizzate.
Iniziare con le regole di snort
Snort Le regole disponibili predefinite sono archiviate in /etc/snort/regole directory. Per vedere quali regole sono abilitate o commentate, devi leggere il /etc/snort/snort.conf File in precedenza abbiamo modificato.
Esegui il comando seguente e scorri verso il basso per vedere le regole disabilitate e abilitate. Alcune regole sono disabilitate per gli utenti di Debian perché non sono disponibili nelle Regole Debian azionarie.
Meno/etc/snort/snort.conf
Come detto in precedenza, i file di regola sono archiviati nel /etc/snort/regole directory.
Controlliamo le regole per rilevare e segnalare il traffico.
sudo meno/etc/snort/regole/backdoor.regole
Come puoi vedere, ci sono diverse regole per prevenire gli attacchi backdoor. Sorprendentemente, c'è una regola da rilevare e riferire Netbus, un cavallo di Troia che è diventato popolare decenni fa. Spiegiamo come funziona questa regola.
Avviso TCP $ Home_NET 12345: 12346 -> $ esterno_net Any (msg: "backdoor netbus
attivo "; flusso: from_server, stabilito; contenuto:" netbus "; riferimento: arachnid
s, 401; classype: misc-attività; Sid: 109; Rev: 5;)
alert tcp $EXTERNAL_NET any -> $HOME_NET 12345:12346 (msg:"BACKDOOR netbus getinfo"; flow:to_server,established; content:"GetInfo|0D|"; reference:arachnids,403; classtype:misc-activity; sid: 110; rev: 4;)
Dove:
-> = Specifica la direzione del traffico, in questo caso dalla nostra rete protetta a una esterna
contenuto = Cerca contenuti specifici all'interno del pacchetto. Può includere testo se tra le virgolette ("") o i dati binari se tra (| |).
profondità = Analisi intensa; Nella regola sopra, vediamo due parametri diversi per due contenuti diversi.
offset = Induce a sbarcare il byte iniziale di ciascun pacchetto per iniziare a cercare il contenuto.
classype = Riferisce di che tipo di attacco snort sta avvisando.
Sid: 115 = Identificatore della regola.
Come creare la tua regola snort
Ora creeremo una nuova regola per avvisare le connessioni SSH in arrivo.
Crea A/etc/Snort/Regole/Yourrule.File di regole usando un editor di testo. Puoi nominare il file come vuoi. Questo è arbitrario, quindi rispetta il percorso.
sudo nano/etc/snort/regole/yourrule.regole
Incolla la seguente regola all'interno del file. Come puoi vedere, la regola notifica quando un dispositivo cerca di connettersi tramite SSH.
Avviso TCP $ esterno_net Any -> $ home_net 22 (msg: "ssh in entrata"; flusso: apolide; flags: s+; sid: 100006927; rev: 1;)
Chiudi e salva il file.
Ora, aggiungi la regola al file di configurazione Snort ed esegui il comando seguente:
sudo nano/etc/snort/snort.conf
Scorri verso il basso e nella sezione delle regole, aggiungi la riga seguente, dove “yourrule.regole "devono essere sostituite dal nome della regola personalizzata.
includi $ regola_path/yourrule.regole
Chiudere l'editor di testo; Pertanto, salvare i cambiamenti.
Ora, esegui Snort eseguendo il seguente comando come abbiamo fatto in precedenza; Se era già aperto, va bene:
sudo snort -d -l/var/log/snort/-h 192.168.0.1/16 -a console -c/etc/snort/snort.conf
Proverò a connettermi da un altro computer usando SSH.
SSH 192.168.0.103
Come puoi vedere nella seguente immagine, la regola che abbiamo creato riporta il tentativo di connessione.
Questo è tutto per questo tutorial. Se vuoi saperne di più sugli avvisi personalizzati Snort, ti consiglio questo tutorial https: // linuxhint.com/ snort_alerts/ per continuare a leggere sugli avvisi snort.
Conclusione
Come puoi vedere, la configurazione e la creazione di regole di snort è semplice. Ogni utente Linux può farlo comprendendo il contenuto precedentemente spiegato. È importante ricordare gli aspetti di configurazione esclusivi per gli utenti Debian precedentemente spiegati. Ci sono alcune alternative snort che potresti voler provare, come Ossec, ma Snort rimane il più popolare per gli utenti Linux. È anche importante che Snort lavori per tutti i sistemi operativi all'interno della rete.
Grazie per aver letto questo articolo che spiega come configurare gli ID Snort e come creare regole. Continua a seguire Linuxhint per tutorial Linux più professionali.