Saturs
- Kāpēc jāizveido ielaušanās detektēšanas sistēma?
- Snort pakotnes instalēšana
- Oinkmaster koda iegūšana
- Lai iegūtu Oinkmaster kodu, rīkojieties šādi:
- Oinkmaster koda ievadīšana šņācienā
- Noteikumu manuāla atjaunināšana
- Saskarņu pievienošana
- Saskarnes konfigurēšana
- Kārtulu kategoriju atlase
- Kāds ir noteikumu kategoriju mērķis?
- Kā es varu iegūt vairāk informācijas par kārtulu kategorijām?
- Populāras krākšanas noteikumu kategorijas
- Priekšapstrādes un plūsmas iestatījumi
- Saskarņu startēšana
- Ja šņākšana neizdodas sākt
- Brīdinājumu pārbaude
Sems strādā kā tīkla analītiķis algoritmiskās tirdzniecības firmā. Bakalaura grādu informācijas tehnoloģijās viņš ieguvis UMKC.
Kāpēc jāizveido ielaušanās detektēšanas sistēma?
Hakeri, vīrusi un citi draudi pastāvīgi pārbauda jūsu tīklu, meklējot veidu, kā iekļūt. Lai viss tīkls tiktu apdraudēts, ir nepieciešama tikai viena uzlauzta mašīna. Šo iemeslu dēļ es iesaku izveidot ielaušanās noteikšanas sistēmu, lai jūs varētu saglabāt savu sistēmu drošību un uzraudzīt dažādos draudus internetā.
Snort ir atvērtā koda IDS, kuru var viegli instalēt pfSense ugunsmūrī, lai pasargātu mājas vai korporatīvo tīklu no iebrucējiem. Snort var arī konfigurēt darboties kā ielaušanās novēršanas sistēma (IPS), padarot to ļoti elastīgu.
Šajā rakstā es iepazīstināšu jūs ar Snort instalēšanas un konfigurēšanas procesu pfSense 2.0, lai jūs varētu sākt reāllaika datplūsmas analīzi.
Snort pakotnes instalēšana
Lai sāktu darbu ar Snort, pakete ir jāinstalē, izmantojot pakotņu pārvaldnieku pfSense. Pakotņu pārvaldnieks atrodas pfSense tīmekļa GUI sistēmas izvēlnē.
Pakotņu sarakstā atrodiet Snort un pēc tam noklikšķiniet uz pluszīmes labajā pusē, lai sāktu instalēšanu.
Tas ir normāli, ja šņākšana prasa dažas minūtes, lai to instalētu, tam ir vairākas atkarības, kuras pfSense vispirms ir jālejupielādē un jāinstalē.
Pēc instalēšanas pabeigšanas Snort parādīsies pakalpojumu izvēlnē.
Snort var instalēt, izmantojot pakotņu pārvaldnieku pfSense.
Oinkmaster koda iegūšana
Lai Snort būtu noderīgs, tas jāatjaunina ar jaunākajiem noteikumiem. Pakete Snort var automātiski atjaunināt šos noteikumus jūsu vietā, taču vispirms jums jāiegūst Oinkmaster kods.
Ir pieejami divi dažādi Snort noteikumu komplekti:
- Abonentu izlaišanas komplekts ir visjaunākais pieejamo noteikumu kopums. Lai reāllaikā piekļūtu šiem noteikumiem, ir nepieciešams apmaksāts gada abonements.
- Otra noteikumu versija ir reģistrēta lietotāja izlaišana, kas ir pilnīgi bez maksas ikvienam, kurš reģistrējas vietnē Snort.org.
Galvenā atšķirība starp abām kārtulu kopām ir tāda, ka reģistrētā lietotāja laidiena noteikumi atpaliek no abonēšanas noteikumiem 30 dienas. Ja vēlaties saņemt visjaunāko aizsardzību, jums jāiegūst abonements.
Lai iegūtu Oinkmaster kodu, rīkojieties šādi:
- Apmeklējiet Snort noteikumu vietni, lai lejupielādētu nepieciešamo versiju.
- Noklikšķiniet uz Reģistrēties kontam un izveidojiet Snort kontu.
- Pēc konta apstiprināšanas piesakieties vietnē Snort.org.
- Augšējā saišu joslā noklikšķiniet uz “Mans konts”.
- Noklikšķiniet uz cilnes Abonementi un Oinkods.
- Noklikšķiniet uz saites Oinkkodi un pēc tam noklikšķiniet uz Ģenerēt kodu.
Kods paliks saglabāts jūsu kontā, lai vajadzības gadījumā to varētu iegūt vēlāk. Šis kods būs jāievada pfSense snort iestatījumos.
Lai lejupielādētu kārtulas no Snort.org, nepieciešams Oinkmaster kods.
Oinkmaster koda ievadīšana šņācienā
Pēc Oink koda iegūšanas tas jāievada Snort paketes iestatījumos. Snort iestatījumu lapa tiks parādīta tīmekļa saskarnes pakalpojumu izvēlnē. Ja tas nav redzams, pārliecinieties, vai pakete ir instalēta, un, ja nepieciešams, atkārtoti instalējiet pakotni.
Oink kods jāievada Snort iestatījumu globālo iestatījumu lapā. Man patīk atzīmēt izvēles rūtiņu, lai iespējotu arī jauno draudu noteikumus. ET kārtulas uztur atvērtā pirmkoda kopiena, un tās var sniegt dažus papildu noteikumus, kas, iespējams, nav atrodami Snort komplektā.
Automātiski atjauninājumi
Pēc noklusējuma pakete Snort netiks automātiski atjaunināta. Ieteicamais atjaunināšanas intervāls ir reizi 12 stundās, taču to var mainīt atbilstoši savai videi.
Pēc izmaiņu veikšanas neaizmirstiet noklikšķināt uz pogas Saglabāt.
Noteikumu manuāla atjaunināšana
Snort nav nekādu noteikumu, tāpēc jums tie būs manuāli jāatjaunina pirmo reizi. Lai palaistu manuālo atjaunināšanu, noklikšķiniet uz cilnes Atjauninājumi un pēc tam noklikšķiniet uz pogas Atjaunināšanas kārtulas.
Pakete lejupielādēs jaunākās noteikumu kopas no Snort.org un arī jaunos draudus, ja esat atlasījis šo opciju.
Pēc atjauninājumu pabeigšanas kārtulas tiks izvilktas un pēc tam gatavas lietošanai.
Pirmajā reizē, kad tiek iestatīts Snort, kārtulas ir jālejupielādē manuāli.
Saskarņu pievienošana
Lai Snort varētu sākt darboties kā ielaušanās noteikšanas sistēma, jums jāpiešķir saskarnes, lai tā varētu uzraudzīt. Tipiska konfigurācija ir tāda, ka Snort kontrolē visas WAN saskarnes. Otra visizplatītākā konfigurācija ir Snort, lai uzraudzītu WAN un LAN saskarni.
LAN saskarnes uzraudzība var nodrošināt zināmu redzamību uzbrukumiem, kas notiek no jūsu tīkla. Nereti LAN tīklā esošais dators inficējas ar ļaunprātīgu programmatūru un sāk uzbrukumus sistēmām tīklā un ārpus tā.
Lai pievienotu saskarni, noklikšķiniet uz plusa simbola, kas atrodams Snort saskarnes cilnē.
Saskarnes konfigurēšana
Pēc noklikšķināšanas uz pogas Pievienot saskarni, jūs redzēsit saskarnes iestatījumu lapu.Iestatījumu lapā ir daudz iespēju, taču ir tikai dažas no tām, par kurām patiešām jāuztraucas, lai lietas sāktu darboties.
- Vispirms atzīmējiet iespējošanas lodziņu lapas augšdaļā.
- Pēc tam atlasiet interfeisu, kuru vēlaties konfigurēt (šajā piemērā vispirms konfigurēju WAN).
- Iestatiet atmiņas veiktspēju uz AC-BNFA.
- Atzīmējiet izvēles rūtiņu "Log Alerts to snort unified2 file", lai barnyard2 darbotos.
- Noklikšķiniet uz Saglabāt.
Ja jūs izmantojat a daudzkanālu maršrutētājs, varat turpināt un konfigurēt pārējās WAN saskarnes savā sistēmā. Es arī iesaku pievienot LAN saskarni.
Pirms sākat saskarnes, katram interfeisam ir jākonfigurē vēl daži iestatījumi. Lai konfigurētu papildu iestatījumus, atgriezieties cilnē Snort interface un noklikšķiniet uz simbola E, kas atrodas lapas labajā pusē blakus interfeisam. Tādējādi jūs atgriezīsities konkrētā interfeisa konfigurācijas lapā. Lai atlasītu kārtulu kategorijas, kuras būtu jāiespējo saskarnē, noklikšķiniet uz cilnes Kategorijas. Visi noteikšanas noteikumi ir sadalīti kategorijās. Kategorijas, kurās ietverti noteikumi no jaunajiem draudiem, sāksies ar “parādīšanās”, savukārt Snort.org likumi - ar “šņākšana”. Pēc kategoriju izvēles lapas apakšdaļā noklikšķiniet uz pogas Saglabāt. Sadalot kārtulas kategorijās, varat iespējot tikai konkrētās kategorijas, kuras jūs interesē. Es iesaku iespējot dažas vispārīgākas kategorijas. Ja savā tīklā izmantojat konkrētus pakalpojumus, piemēram, tīmekļa vai datu bāzes serveri, jāiespējo arī kategorijas, kas attiecas uz tiem. Ir svarīgi atcerēties, ka Snort prasīs vairāk sistēmas resursu katru reizi, kad tiek ieslēgta papildu kategorija. Tas var arī palielināt viltus pozitīvo rezultātu skaitu. Kopumā vislabāk ir ieslēgt tikai jums nepieciešamās grupas, taču jūtieties brīvi eksperimentēt ar kategorijām un redzēt, kas darbojas vislabāk.Kārtulu kategoriju atlase
Kāds ir noteikumu kategoriju mērķis?
Kā es varu iegūt vairāk informācijas par kārtulu kategorijām?
Ja vēlaties uzzināt, kādi noteikumi ir kategorijā, un uzzināt vairāk par to, ko viņi dara, varat noklikšķināt uz kategorijas. Tas jūs tieši saistīs ar visu kategoriju noteikumu sarakstu.
Populāras krākšanas noteikumu kategorijas
| Kategorijas nosaukums | Apraksts |
|---|---|
snort_botnet-cnc.rules | Mērķē zināmos robottīklu komandu un vadības resursdatorus. |
snort_ddos.rules | Atklāj pakalpojumu atteikuma uzbrukumus. |
snort_scan.noteikumi | Šie noteikumi atklāj ostu skenēšanu, Nessus zondes un citus informācijas vākšanas uzbrukumus. |
snort_virus.noteikumi | Atklāj zināmu Trojas zirgu, vīrusu un tārpu parakstus. Ir ļoti ieteicams izmantot šo kategoriju. |
Priekšapstrādes un plūsmas iestatījumi
Priekšapstrādātāju iestatījumu lapā ir daži iestatījumi, kas jāiespējo. Daudziem noteikšanas noteikumiem ir jāiespējo HTTP pārbaude, lai tie darbotos.
- Sadaļā HTTP pārbaudes iestatījumi iespējojiet opciju “Izmantot HTTP pārbaudi, lai normalizētu / atšifrētu”
- Sadaļā Vispārējie priekšapstrādātāja iestatījumi iespējojiet “Portscan Detection”
- Saglabājiet iestatījumus.
Saskarņu startēšana
Kad Snort tiek pievienots jauns interfeiss, tas automātiski nesāk darboties. Lai manuāli palaistu saskarnes, noklikšķiniet uz zaļās atskaņošanas pogas katras konfigurētās saskarnes kreisajā pusē.
Kad darbojas Snort, teksts aiz saskarnes nosaukuma parādīsies zaļā krāsā. Lai apturētu Snort, noklikšķiniet uz sarkanās apturēšanas pogas, kas atrodas interfeisa kreisajā pusē.
Ir pāris izplatītas problēmas, kas var kavēt Snort sākšanu.
Ja šņākšana neizdodas sākt
Brīdinājumu pārbaude
Pēc tam, kad Snort ir veiksmīgi konfigurēts un sākts, jums ir jāsāk redzēt brīdinājumus, tiklīdz ir konstatēta noteikumiem atbilstoša satiksme.
Ja neredzat brīdinājumus, dodiet tam mazliet laika un pēc tam pārbaudiet vēlreiz. Var paiet kāds laiks, līdz tiek parādīti brīdinājumi, atkarībā no trafika apjoma un iespējotajiem noteikumiem.
Ja vēlaties brīdinājumus skatīt attālināti, varat iespējot saskarnes iestatījumu "Sūtīt brīdinājumus galvenajiem sistēmas žurnāliem". Brīdinājumi, kas parādās sistēmas žurnālos, var būt skatīts attālināti, izmantojot Syslog.
Šis raksts ir precīzs un atbilst patiesam autora zināšanām. Saturs ir paredzēts tikai informatīviem vai izklaides nolūkiem, un tas neaizstāj personiskus vai profesionālus padomus uzņēmējdarbības, finanšu, juridiskos vai tehniskos jautājumos.
