Vsebina
- Zakaj postaviti sistem za odkrivanje vdorov?
- Namestitev paketa Snort
- Pridobivanje kode Oinkmaster
- Za pridobitev kode Oinkmaster sledite spodnjim korakom:
- Vnos kode Oinkmaster v Snort
- Ročno posodabljanje pravil
- Dodajanje vmesnikov
- Konfiguriranje vmesnika
- Izbira kategorij pravil
- Kaj je namen kategorij pravil?
- Kako lahko dobim več informacij o kategorijah pravil?
- Priljubljene kategorije pravil za smrčanje
- Nastavitve predprocesorja in pretoka
- Zagon vmesnikov
- Če se smrčanje ne zažene
- Preverjanje opozoril
Sam dela kot mrežni analitik pri podjetju za algoritmično trgovanje. Na UMKC je diplomiral iz informacijske tehnologije.
Zakaj postaviti sistem za odkrivanje vdorov?
Hekerji, virusi in druge grožnje nenehno preiskujejo vaše omrežje in iščejo način, kako vanj vstopiti. Potrebujete le en vdrti stroj, da postane celotno omrežje ogroženo. Iz teh razlogov priporočam, da nastavite sistem za odkrivanje vdorov, da boste lahko svoje sisteme varovali in spremljali različne grožnje v internetu.
Snort je odprtokodni IDS, ki ga je mogoče enostavno namestiti na požarni zid pfSense za zaščito domačega ali poslovnega omrežja pred vsiljivci. Snort lahko nastavite tudi tako, da deluje kot sistem za preprečevanje vdorov (IPS), zaradi česar je zelo prilagodljiv.
V tem članku vam bom predstavil postopek namestitve in konfiguriranja Snort v pfSense 2.0, da boste lahko začeli analizirati promet v realnem času.
Namestitev paketa Snort
Če želite začeti uporabljati Snort, morate paket namestiti z upraviteljem paketov pfSense. Upravitelj paketov se nahaja v sistemskem meniju spletnega uporabniškega vmesnika pfSense.
Na seznamu paketov poiščite Snort in nato kliknite simbol plus na desni, da začnete namestitev.
Običajno snort traja nekaj minut, da se namesti, ima več odvisnosti, ki jih mora pfSense najprej prenesti in namestiti.
Po končani namestitvi se Snort prikaže v meniju storitev.
Snort lahko namestite z upraviteljem paketov pfSense.
Pridobivanje kode Oinkmaster
Da bo Snort koristen, ga je treba posodobiti z najnovejšimi pravili. Paket Snort lahko samodejno posodobi ta pravila za vas, vendar morate najprej pridobiti kodo Oinkmaster.
Na voljo sta dva različna sklopa pravil za smrčanje:
- Naročniški izpust je najsodobnejši nabor pravil, ki so na voljo. Za dostop do teh pravil v realnem času je potrebna plačana letna naročnina.
- Druga različica pravil je izdaja za registrirane uporabnike, ki je popolnoma brezplačna za vse, ki se registrirajo na spletnem mestu Snort.org.
Glavna razlika med obema naboroma pravil je v tem, da pravila v izdaji registriranega uporabnika za 30 dni zaostajajo za naročniškimi pravili. Če želite najnovejšo zaščito, si zagotovite naročnino.
Za pridobitev kode Oinkmaster sledite spodnjim korakom:
- Obiščite spletno stran Snort rules, da prenesete želeno različico.
- Kliknite "Prijavite se za račun" in ustvarite račun Snort.
- Ko potrdite svoj račun, se prijavite na Snort.org.
- V zgornji vrstici s povezavami kliknite »Moj račun«.
- Kliknite zavihek »Naročnine in koda kode«.
- Kliknite povezavo Oinkcodes in nato kliknite »Ustvari kodo«.
Koda bo ostala shranjena v vašem računu, tako da jo boste pozneje lahko dobili po potrebi. To kodo bo treba vnesti v nastavitve Snort v pfSense.
Za prenos pravil s spletnega mesta Snort.org je potrebna koda Oinkmaster.
Vnos kode Oinkmaster v Snort
Po pridobitvi kode Oink jo morate vnesti v nastavitve paketa Snort. V nastavitvenem meniju spletnega vmesnika se prikaže stran Nastavitve smrčanja. Če ni viden, preverite, ali je paket nameščen, in ga po potrebi znova namestite.
Kodo oink morate vnesti na strani s splošnimi nastavitvami nastavitev Snort. Prav tako rad potrdim polje, da omogočim tudi pravila za nastajajoče grožnje. Pravila ET vzdržuje odprtokodna skupnost in lahko vsebujejo nekatera dodatna pravila, ki jih ni mogoče najti v naboru Snort.
Samodejne posodobitve
Privzeto paket Snort ne bo samodejno posodobil pravil. Priporočen interval posodabljanja je enkrat na 12 ur, vendar ga lahko spremenite glede na vaše okolje.
Ko končate s spremembami, ne pozabite klikniti gumba »shrani«.
Ročno posodabljanje pravil
Snort ne vsebuje nobenih pravil, zato jih boste morali prvič ročno posodobiti. Če želite zagnati ročno posodobitev, kliknite zavihek posodobitve in nato gumb pravila posodobitve.
Paket bo prenesel najnovejše sklope pravil s spletnega mesta Snort.org in tudi nastajajoče nevarnosti, če imate izbrano to možnost.
Po končanih posodobitvah bodo pravila izvlečena in pripravljena za uporabo.
Pravila je treba ročno prenesti ob prvi nastavitvi Snort.
Dodajanje vmesnikov
Preden lahko Snort začne delovati kot sistem za odkrivanje vdorov, mu morate dodeliti vmesnike za spremljanje. Tipična konfiguracija je, da Snort nadzira vse vmesnike WAN. Druga najpogostejša konfiguracija je, da Snort nadzira vmesnik WAN in LAN.
Spremljanje vmesnika LAN lahko zagotovi določeno vidnost napadov, ki se dogajajo znotraj vašega omrežja. Redko se zgodi, da se osebni računalnik v omrežju LAN okuži z zlonamerno programsko opremo in začne napadati sisteme znotraj in zunaj omrežja.
Če želite dodati vmesnik, kliknite simbol plus, ki ga najdete na zavihku vmesnika Snort.
Konfiguriranje vmesnika
Po kliku gumba za dodajanje vmesnika boste videli stran z nastavitvami vmesnika.Na strani z nastavitvami je veliko možnosti, vendar je le nekaj, za katere morate resnično skrbeti, da začnete delovati.
- Najprej potrdite polje za omogočanje na vrhu strani.
- Nato izberite vmesnik, ki ga želite konfigurirati (v tem primeru najprej konfiguriram WAN).
- Nastavite zmogljivost pomnilnika na AC-BNFA.
- Označite polje »Dnevnik opozoril za smrčanje datoteke unified2«, tako da bo barnyard2 deloval.
- Kliknite shrani.
Če uporabljate a multi-wan usmerjevalnik, lahko nadaljujete in konfigurirate druge vmesnike WAN v vašem sistemu. Priporočam tudi dodajanje vmesnika LAN.
Preden začnete z vmesniki, je za vsak vmesnik treba nastaviti še nekaj nastavitev. Če želite konfigurirati dodatne nastavitve, se vrnite na zavihek Snort vmesniki in kliknite simbol 'E' na desni strani strani ob vmesniku. To vas bo vrnilo na stran s konfiguracijo za ta vmesnik. Če želite izbrati kategorije pravil, ki naj bodo omogočene za vmesnik, kliknite zavihek kategorij. Vsa pravila za odkrivanje so razdeljena na kategorije. Kategorije, ki vsebujejo pravila iz nastajajočih groženj, se začnejo z »nastajajoče«, pravila s spletnega mesta Snort.org pa se začnejo z »snort«. Po izbiri kategorij kliknite gumb za shranjevanje na dnu strani. Z razdelitvijo pravil v kategorije lahko omogočite samo določene kategorije, ki vas zanimajo. Priporočam, da omogočite nekatere splošnejše kategorije. Če v svojem omrežju izvajate določene storitve, na primer splet ali strežnik baz podatkov, morate omogočiti tudi kategorije, ki se nanašajo nanje. Pomembno je vedeti, da bo Snort vsakič, ko vklopite dodatno kategorijo, potreboval več sistemskih virov. To lahko poveča tudi število lažno pozitivnih rezultatov. Na splošno je najbolje, da vklopite samo tiste skupine, ki jih potrebujete, vendar lahko preizkusite kategorije in preverite, kaj najbolje deluje.Izbira kategorij pravil
Kaj je namen kategorij pravil?
Kako lahko dobim več informacij o kategorijah pravil?
Če želite izvedeti, katera pravila so v kategoriji in izvedeti več o tem, kaj počnejo, lahko kliknete na kategorijo. To vas bo neposredno povezalo s seznamom vseh pravil v kategoriji.
Priljubljene kategorije pravil za smrčanje
| Ime kategorije | Opis |
|---|---|
snort_botnet-cnc.rules | Cilja na znane gostiteljske ukaze in nadzor botnet. |
snort_ddos.rules | Zazna napade zavrnitve storitve. |
snort_scan.rules | Ta pravila zaznajo skeniranje vrat, sonde Nessus in druge napade na zbiranje informacij. |
snort_virus.rules | Zazna podpise znanih trojanskih virusov in virusov. Zelo priporočljivo je uporabljati to kategorijo. |
Nastavitve predprocesorja in pretoka
Na strani z nastavitvami predprocesorjev je nekaj nastavitev, ki jih je treba omogočiti. Številna pravila za odkrivanje zahtevajo omogočen pregled HTTP, da lahko delujejo.
- V razdelku Nastavitve pregleda HTTP omogočite možnost »Uporabi pregled HTTP za normalizacijo / dekodiranje«
- V razdelku s splošnimi nastavitvami predprocesorja omogočite 'Portscan Detection'
- Shranite nastavitve.
Zagon vmesnikov
Ko je nov vmesnik dodan Snort, se ta ne začne samodejno izvajati. Če želite ročno zagnati vmesnike, kliknite zeleni gumb za predvajanje na levi strani vsakega konfiguriranega vmesnika.
Ko se zažene Snort, bo besedilo za imenom vmesnika prikazano zeleno. Če želite ustaviti Snort, kliknite rdeči gumb za zaustavitev na levi strani vmesnika.
Obstaja nekaj pogostih težav, ki lahko preprečijo zagon podjetja Snort.
Če se smrčanje ne zažene
Preverjanje opozoril
Ko je Snort uspešno konfiguriran in zagnan, bi morali zaznati opozorila, ko zazna promet, ki ustreza pravilom.
Če ne vidite nobenega opozorila, mu vzemite malo časa in nato znova preverite. Odvisno od količine prometa in pravil, ki so omogočena, lahko traja nekaj časa, preden se prikažejo opozorila.
Če si želite ogledati opozorila na daljavo, lahko omogočite nastavitev vmesnika "Pošlji opozorila v glavne sistemske dnevnike." Opozorila, ki se pojavijo v sistemskih dnevnikih, so lahko ogledal na daljavo s sistemom Syslog.
Ta članek je natančen in v skladu z avtorjevim znanjem. Vsebina je samo v informativne ali zabavne namene in ne nadomešča osebnih nasvetov ali strokovnih nasvetov v poslovnih, finančnih, pravnih ali tehničnih zadevah.
