Snøfte

Konfigurer Snort IDS og Opret regler

Konfigurer Snort IDS og Opret regler
Snort er et open source Intrusion Detection System, som du kan bruge på dine Linux-systemer.  Denne vejledning gennemgår grundlæggende konfiguration af Snort IDS og lærer dig, hvordan du opretter regler til at opdage forskellige typer aktiviteter på systemet.

Til denne tutorial er det netværk, vi bruger,: 10.0.0.0/24.  Rediger din / etc / snort / snort.conf-fil og og udskift "enhver" ud for $ HOME_NET med dine netværksoplysninger som vist i eksemplet på skærmbilledet nedenfor:

Alternativt kan du også definere specifikke IP-adresser, der skal overvåges adskilt med komma mellem [] som vist i dette skærmbillede:

Lad os nu komme i gang og køre denne kommando på kommandolinjen:

# snort -d -l / var / log / snort / -h 10.0.0.0/24 -En konsol -c / etc / snort / snort.konf

Hvor:
d = fortæller snort at vise data
l = bestemmer logbiblioteket
h = specificerer det netværk, der skal overvåges
A = instruerer snort til at udskrive alarmer i konsollen
c = specificerer Snort konfigurationsfilen

Lad os starte en hurtig scanning fra en anden enhed ved hjælp af nmap:

Og lad os se, hvad der sker i fnysekonsollen:

Snort opdagede scanningen, nu, også fra en anden enhed lader angribe med DoS ved hjælp af hping3

# hping3 -c 10000 -d 120 -S -w 64 -p 21 - oversvømmelse --rand-source 10.0.0.3

Enheden, der viser Snort, registrerer dårlig trafik som vist her:

Da vi instruerede Snort om at gemme logfiler, kan vi læse dem ved at køre:

# snort -r

Introduktion til snortregler

Snorts NIDS-tilstand fungerer baseret på regler, der er specificeret i / etc / snort / snort.conf-fil.

Inden for fnysen.conf-fil kan vi finde kommentarer og ikke-kommenterede regler, som du kan se nedenfor:

Regelstien er normalt / etc / snort / regler, der kan vi finde reglerne filer:

Lad os se reglerne mod bagdøre:

Der er flere regler for at forhindre bagdørangreb, overraskende er der en regel mod NetBus, en trojansk hest, der blev populær for et par årtier siden, lad os se på den, og jeg vil forklare dens dele, og hvordan den fungerer:

alarm tcp $ HOME_NET 20034 -> $ EXTERNAL_NET enhver (msg: "BACKDOOR NetBus Pro 2.0 forbindelse
etableret "; flow: fra_server, etableret;
flowbits: isset, bagdør.netbus_2.Opret forbindelse; indhold: "BN | 10 00 02 00 |"; dybde: 6; indhold: "|
05 00 | "; dybde: 2; forskydning: 8; classtype: misc-aktivitet; sid: 115; rev: 9;)

Denne regel instruerer snort til at advare om TCP-forbindelser på port 20034, der transmitterer til enhver kilde i et eksternt netværk.

-> = specificerer trafikretningen, i dette tilfælde fra vores beskyttede netværk til et eksternt

msg = Beder alarmen om at inkludere en bestemt besked, når den vises

indhold = søg efter specifikt indhold i pakken. Det kan omfatte tekst, hvis det er mellem ““ eller binære data, hvis mellem | |
dybde = Analyseintensitet, i ovenstående regel ser vi to forskellige parametre for to forskellige indhold
forskudt = fortæller Snort startbyten for hver pakke for at begynde at søge efter indholdet
classtype = fortæller, hvilken slags angreb Snort advarer om

sid: 115 = regel-id

Oprettelse af vores egen regel

Nu opretter vi en ny regel, der skal meddeles om indgående SSH-forbindelser.  Åben / etc / snort / regler / yourrule.regler, og indsæt følgende tekst indeni:

alarm tcp $ EXTERNAL_NET any -> $ HOME_NET 22 (msg: "SSH indkommende";
flow: statsløs; flag: S +; sid: 100006927; rev: 1;)

Vi beder Snort om at advare om enhver tcp-forbindelse fra en hvilken som helst ekstern kilde til vores ssh-port (i dette tilfælde standardporten) inklusive tekstmeddelelsen “SSH INCOMING”, hvor statsløs beder Snort om at ignorere forbindelsens tilstand.

Nu skal vi tilføje den regel, vi oprettede, til vores / etc / snort / snort.konf fil. Åbn konfigurationsfilen i en editor og søg efter # 7, hvilket er afsnittet med regler. Tilføj en ukommenteret regel som på billedet ovenfor ved at tilføje:

inkluderer $ RULE_PATH / yourrule.regler

I stedet for “yourrule.regler ”, indstil dit filnavn, i mit tilfælde var det test3.regler.

Når det er gjort, skal du køre Snort igen og se hvad der sker.

#snort -d -l / var / log / snort / -h 10.0.0.0/24 -En konsol -c / etc / snort / snort.konf

ssh til din enhed fra en anden enhed og se hvad der sker:

Du kan se, at SSH indgående blev registreret.

Med denne lektion håber jeg, du ved, hvordan man laver grundlæggende regler og bruger dem til at opdage aktivitet på et system.  Se også en tutorial om, hvordan Setup Snort og begynder at bruge det, og den samme tutorial tilgængelig på spansk på Linux.lat.

Mus Microsoft Sculpt Touch Wireless Mouse Review
Microsoft Sculpt Touch Wireless Mouse Review
Jeg har for nylig læst om Microsoft Sculpt Touch trådløs mus og besluttede at købe den. Efter at have brugt det et stykke tid besluttede jeg at dele m...
Mus AppyMouse pegefelt på skærmen og musemarkør til Windows-tablets
AppyMouse pegefelt på skærmen og musemarkør til Windows-tablets
Tabletbrugere savner ofte musemarkøren, især når de er vante til at bruge bærbare computere. Touchscreen-smartphones og tablets har mange fordele, og ...
Mus Midterste museknap fungerer ikke i Windows 10
Midterste museknap fungerer ikke i Windows 10
Det midterste museknap hjælper dig med at rulle gennem lange websider og skærme med en masse data. Hvis det stopper, vil du ende med at bruge tastatur...