Snøfte

Installer Snort Intrusion Detection System Ubuntu

Installer Snort Intrusion Detection System Ubuntu

Efter opsætning af en hvilken som helst server blandt de første sædvanlige trin, der er knyttet til sikkerhed, er firewall, opdateringer og opgraderinger, ssh-nøgler, hardwareenheder. Men de fleste sysadminer scanner ikke deres egne servere for at opdage svage punkter som forklaret med OpenVas eller Nessus, og de opsætter heller ikke honningpotter eller et Intrusion Detection System (IDS), som forklares nedenfor.

Der er flere IDS på markedet, og de bedste er gratis, Snort er det mest populære, jeg kender kun Snort og OSSEC, og jeg foretrækker OSSEC frem for Snort, fordi det spiser færre ressourcer, men jeg synes Snort er stadig den universelle. Yderligere muligheder er: Suricata, Bro IDS, Security Onion.

Den mest officielle undersøgelse af IDS-effektivitet er ret gammel, fra 1998, samme år, hvor Snort oprindeligt blev udviklet, og blev udført af DARPA, konkluderede den, at sådanne systemer var ubrugelige før moderne angreb. Efter 2 årtier udviklede IT sig ved geometrisk progression, sikkerhed gjorde det også, og alt er næsten opdateret, vedtagelse af IDS er nyttigt for alle sysadmin.

Snort IDS

Snort IDS fungerer i 3 forskellige tilstande, som sniffer, som pakkelogger og netværksindtrængningssystem.  Den sidste er den mest alsidige, som denne artikel er fokuseret på.

Installation af Snort

apt-get install libpcap-dev bison flex

Så løber vi:

apt-get install snort

I mit tilfælde er softwaren allerede installeret, men det var ikke som standard, sådan blev den installeret på Kali (Debian).

Kom godt i gang med Snorts sniffer-tilstand

Sniffer-tilstand læser netværkets trafik og viser oversættelsen til en menneskelig seer.
For at teste den type:

# snort -v

Denne indstilling bør ikke bruges normalt, for at vise trafikken kræver for mange ressourcer, og den anvendes kun til at vise kommandoens output.

I terminalen kan vi se trafikoverskrifter registreret af Snort mellem pc, router og internet. Snort rapporterer også manglen på politikker til at reagere på den opdagede trafik.
Hvis vi vil have, at Snort også viser dataene, skal du skrive:

# snort -vd

Sådan viser du lag 2-overskrifter kører:

# snort -v -d -e

Ligesom “v” -parameteren repræsenterer “e” også spild af ressourcer, bør dets anvendelse undgås til produktion.

Kom godt i gang med Snorts Packet Logger-tilstand

For at gemme Snorts rapporter er vi nødt til at specificere for Snort en logbibliotek, hvis vi vil have, at Snort kun viser overskrifter og logger trafikken på disktypen:

# mkdir snortlogs
# snort -d -l snortlogs

Loggen gemmes i snortlogs-biblioteket.

Hvis du vil læse logfiltypen:

# snort -d -v -r logfilnavn.log.xxxxxxx

Kom godt i gang med Snorts Network Intrusion Detection System (NIDS) -tilstand

Med følgende kommando læser Snort de regler, der er angivet i filen / etc / snort / snort.conf for at filtrere trafikken korrekt, undgå at læse hele trafikken og fokusere på specifikke hændelser
henvist til i fnysen.conf gennem regler, der kan tilpasses.

Parameteren “-En konsol” instruerer snort til at advare i terminalen.

# snort -d -l snortlog -h 10.0.0.0/24 -En konsol -c snort.konf

Tak fordi du læste denne indledning til Snorts brug.

Mus Microsoft Sculpt Touch Wireless Mouse Review
Microsoft Sculpt Touch Wireless Mouse Review
Jeg har for nylig læst om Microsoft Sculpt Touch trådløs mus og besluttede at købe den. Efter at have brugt det et stykke tid besluttede jeg at dele m...
Mus AppyMouse pegefelt på skærmen og musemarkør til Windows-tablets
AppyMouse pegefelt på skærmen og musemarkør til Windows-tablets
Tabletbrugere savner ofte musemarkøren, især når de er vante til at bruge bærbare computere. Touchscreen-smartphones og tablets har mange fordele, og ...
Mus Midterste museknap fungerer ikke i Windows 10
Midterste museknap fungerer ikke i Windows 10
Det midterste museknap hjælper dig med at rulle gennem lange websider og skærme med en masse data. Hvis det stopper, vil du ende med at bruge tastatur...