Rilevamento di intrusioni con snort

Rilevamento di intrusioni con snort

Questo articolo spiega come installare Snort e come iniziare con gli avvisi e le regole Snort per implementare con successo un sistema di rilevamento delle intrusioni.

Snort è un sistema di rilevamento delle intrusioni che analizza il traffico e i pacchetti per rilevare anomalie, come il traffico dannoso, e segnalarli. Se non hai familiarità con i sistemi di rilevamento delle intrusioni, potresti voler iniziare a leggere la conclusione finale su di essi. Se vuoi andare direttamente alle istruzioni pratiche, continua a leggere.

Dopo aver letto questo articolo, sarai in grado di installare Snort su Distribuzioni Linux basate su Debian e Redhat, impostare diverse modalità Snort, definire avvisi e regole. Le istruzioni di utilizzo Snort in questo tutorial sono valide per tutte le distribuzioni Linux.

Tutte le istruzioni in questo documento contengono schermate per rendere facile per tutti gli utenti di Linux capirli e applicarli.

Installazione dello snort

È possibile installare Snort usando il Apt Packages Manager su Debian o Ubuntu come mostrato nella seguente screenshot:

sudo apt install snort

Durante il processo di installazione, ti verrà chiesto di definire la rete. Premere OK Per continuare con il passaggio successivo.

Ora, digita il tuo indirizzo di rete in formato CIDR. Normalmente, Snort Auto lo rileva con successo.

Quindi, premere OK O ACCEDERE. Non preoccuparti di questo passaggio; Questa configurazione può essere modificata in seguito.

Gli utenti di distribuzione Linux basati su Red Hat possono scaricare il pacchetto Snort da https: // www.sbuffo.org/download#snort-downloads e quindi installarlo eseguendo il comando seguente, dove <Versione> deve essere sostituito con la versione corrente che hai scaricato.

sudo yum snort-<Versione>.RPM

Mantenere aggiornate le regole di snort

Snort contiene due tipi principali di regole: regole della comunità sviluppate dalla comunità Snort e dalle regole ufficiali. Puoi sempre aggiornare le regole della comunità per impostazione predefinita. Ma per aggiornare le regole ufficiali, hai bisogno di un codice OINK - un codice che ti consente di scaricare le regole più recenti.

Per ottenere un codice OINK, registrati su https: // www.sbuffo.Org/Users/Sign_up.

Dopo la registrazione, conferma l'account dalla tua e -mail e accedi al sito Snort.

Nel menu del lato sinistro della dashboard, premere OinkCode e vedrai il tuo codice.

https: // www.sbuffo.Org/Regole/Snortules-Snapshot-.catrame.Gz?OinkCode =

Nel mio caso, ho usato lo snort 2.9.15.1 e il seguente link per scaricare le regole:

https: // www.sbuffo.Org/Regole/Snortules-Snapshot-29151.catrame.Gz?OinkCode =15e4f48aab11b956bb27801172720f2be9f3686d

È possibile creare uno script cron per scaricare ed estrarre le regole nella directory corretta.

Configurazione dello snort

Il file di configurazione Snort è/etc/snort/snort.conf. Prima di iniziare, gli utenti di Debian devono seguire i passaggi menzionati nei seguenti. Altri utenti di distro possono continuare a leggere da/etc/snort/snort.Conf File Edition.

Nota per gli utenti di Debian: Debian Linux sovrascrive alcune impostazioni di rete nel file di configurazione predefinito Snort. Sotto la directory /etc /snort, c'è il /etc/snort/snort.Debian.conf file da dove vengono importate le impostazioni di rete Debian.

Se sei un utente Debian, esegui il seguente codice:

sudo nano/etc/snort/snort.Debian.conf

Verificare che tutte le informazioni in questo file di configurazione siano corrette tra cui l'indirizzo CIDR, il dispositivo di rete, ecc.

Salva il file. Iniziamo a configurare lo snort.

Per configurare lo snort, utilizzare qualsiasi editor di testo come mostrato nel seguente (ho usato nano) per aprire il /etc/snort/snort.conf file.

sudo nano/etc/snort/snort.conf

Controlla la configurazione della tua rete e scorri verso il basso.

Definisci le porte che si desidera essere monitorate.

Non chiudere il file e continuare a leggere la sezione successiva (mantieni aperto il file di configurazione).

Regole di snort

Le regole di snort sono abilitate o disabilitate commentando le linee inquietanti in/etc/snort/snort.Conf File. Ma le regole sono archiviate in /etc/snort/regole file.

Per abilitare o disabilitare le regole, aprire il /etc/snort/snort.conf con un editor di testo. Le regole si trovano alla fine del file.

Quando raggiungi la fine del file, vedrai un elenco di regole per scopi diversi. Rimuovere le regole che si desidera abilitare e commentare le regole che si desidera disabilitare.

Ad esempio, per rilevare il traffico relativo agli attacchi DOS, rimborsare la regola DOS. O rompere la regola FTP per monitorare le porte 21.

sudo nano/etc/snort/snort.conf

Dopo aver insolito le regole, abilitare, salvare e uscire dal documento.

Le 7 modalità di avviso Snort

Snort include 7 diverse modalità di avviso da avvisare su eventi o incidenti. Le 7 modalità sono le seguenti:

  • Veloce: Gli avvisi di Snort includono il timestamp, l'invio di un messaggio di avviso, che mostra gli indirizzi e le porte dell'IP di origine e destinazione. Per implementare questa modalità, utilizzare il -Un digiuno
  • Pieno: Inoltre, nelle informazioni precedentemente riportate in modalità veloce, la modalità completa stampa anche le intestazioni TTL, lunghezza del datagramma e pacchetti, dimensioni della finestra, ACK e numero di sequenza. Per implementare questa modalità, utilizzare il -Un pieno
  • Console: Mostra gli avvisi in tempo reale nella console. Questa modalità è abilitata con il -Una console
  • CMG: Questa modalità è utile solo ai fini del test.
  • Unock: Questo viene utilizzato per esportare avvisi in prese unix.
  • Syslog: Questa modalità (protocollo di registrazione del sistema) indica lo snort di inviare un registro di avviso remoto. Per eseguire questa modalità, aggiungi -S
  • Nessuno: Nessun avviso.

Per terminare questo articolo, proviamo la modalità completa eseguendo il comando seguente, dove -Un digiuno indica una scansione in modalità rapida e -C Specifica il file di configurazione (/etc/snort/snort.conf).

sudo snort -a veloce -c/etc/snort/snort.conf

Ora avvia alcune scansioni NMAP o prova a connettersi tramite SSH o FTP al tuo computer e leggi il /var/log/snort/snort.mettere in guardia.Ultime righe veloci per verificare come viene segnalato il traffico. Come puoi vedere, ho lanciato una scansione aggressiva NMAP ed è stato rilevato come un traffico dannoso.

coda/var/log/snort/snort.mettere in guardia.veloce

Spero che questo tutorial funga da buona introduzione a Snort. Ma devi continuare a impararlo leggendo gli avvisi snort e le letture obbligatori di creazione di regole di snort per iniziare con Snort.

Sui sistemi di rilevamento delle intrusioni

Il pensiero generale è che se un firewall protegge la propria rete, la rete è considerata sicura. Tuttavia, ciò non è del tutto vero. I firewall sono un componente fondamentale di una rete, ma non possono proteggere completamente la rete da voci forzate o intenzioni ostili. Sistemi di rilevamento delle intrusioni vengono utilizzati per valutare i pacchetti aggressivi o inaspettati e generare un avviso prima che questi programmi possano danneggiare la rete. Un sistema di rilevamento delle intrusioni basato su host viene eseguito su tutti i dispositivi di una rete o si collega alla rete interna di un'organizzazione. Un sistema di rilevamento delle intrusioni basato sulla rete viene invece distribuito in un certo punto o gruppo di punti da cui è possibile monitorare tutto il traffico in ingresso e in uscita. Il vantaggio di un sistema di rilevamento delle intrusioni basato su host è che può anche rilevare anomalie o traffico dannoso che vengono generati dall'host stesso come se l'host è influenzato da malware, ecc. Sistemi di rilevamento delle intrusioni (IDS) Lavorare monitorando e analizzando il traffico di rete e lo confronta con un set di regole stabilito per determinare ciò che dovrebbe essere preso come normale per la rete (per porte, larghezze di banda, ecc.) e cosa dare un'occhiata più da vicino.

Un sistema di rilevamento delle intrusioni può essere distribuito in base alle dimensioni della rete. Ci sono dozzine di documenti commerciali di qualità, ma molte aziende e piccole imprese non possono permetterselo. Snort è un sistema di rilevamento di intrusioni flessibile, leggero e popolare che può essere distribuito in base alle esigenze della rete, che vanno dalle reti piccole a grandi e fornisce tutte le caratteristiche di un ID a pagamento. Snort non costa nulla, ma ciò non significa che non possa fornire le stesse funzionalità di un'élite, ID commerciali. Snort è considerato un ID passivo, il che significa che annusa i pacchetti di rete, confrontati con il set delle regole e, nel caso di rilevare un registro o una voce dannosa (rilevando un'intrusione), genera un avviso o inserisce una voce in un registro file. Snort viene utilizzato per monitorare le operazioni e le attività di router, firewall e server. Snort fornisce un'interfaccia intuitiva che contiene una catena di set di regole che può essere molto utile per una persona che non ha familiarità con gli ID. Snort genera un allarme in caso di intrusione (attacchi di overflow del buffer, avvelenamento DNS, impronte digitali del sistema operativo, scansioni di porte e molto altro), dando a un'organizzazione una maggiore visibilità del traffico di rete e rendendo molto più facile soddisfare le normative sulla sicurezza.

Ora ti viene presentato gli ID. Iniziamo ora a impostare lo snort.

Conclusione

I sistemi di rilevamento delle intrusioni come SNORT vengono utilizzati per monitorare il traffico di rete per rilevare quando un attacco viene effettuato da un utente dannoso prima che possa danneggiare o influire sulla rete. Se un utente malintenzionato esegue una scansione di porta su una rete, l'attacco può essere rilevato insieme al numero di tentativi effettuati, all'indirizzo IP dell'attaccante e ad altri dettagli. Snort viene utilizzato per rilevare tutti i tipi di anomalie. Viene fornito con un gran numero di regole già configurate, insieme all'opzione per l'utente di scrivere le proprie regole in base alle loro esigenze. A seconda delle dimensioni della rete, Snort può essere facilmente impostato e utilizzato senza spendere nulla, rispetto agli altri sistemi di rilevamento di intrusioni commerciali a pagamento. I pacchetti catturati possono essere analizzati ulteriormente usando uno sniffer di pacchetti come Wireshark per analizzare e abbattere ciò che sta accadendo nella mente dell'attaccante durante l'attacco e i tipi di scansioni o comandi eseguiti. Snort è uno strumento gratuito, open source e facile da configurare. Può essere un'ottima scelta per proteggere qualsiasi rete di medie dimensioni da un attacco.