Efter opsætning af en server er firewall, opdateringer og opgraderinger, ssh-nøgler, hardwareenheder blandt de første sædvanlige skridt i forbindelse med sikkerhed. Men de fleste sysadmins scanner ikke deres egne servere for at opdage svage punkter som forklaret med OpenVas eller Nessus, og de opsætter heller ikke honeypots eller et Intrusion Detection System (IDS) som forklares nedenfor.
Der er flere IDS på markedet og de bedste er gratis, Snort er det mest populære, jeg kender kun Snort og OSSEC og jeg foretrækker OSSEC frem for Snort, fordi det æder færre ressourcer, men jeg tror stadig Snort er det universelle. Yderligere muligheder er: Suricata , Bro IDS, Security Onion.
Den mest officielle forskning om IDS effektivitet er temmelig gammel, fra 1998, samme år som Snort oprindeligt blev udviklet, og blev udført af DARPA, og den konkluderede at sådanne systemer var ubrugelige før moderne angreb. Efter 2 årtier udviklede IT sig med geometrisk progression, og det gjorde sikkerheden også, og alt er næsten opdateret, hvilket gør det nyttigt for enhver systemadministrator at indføre IDS.
Snort IDS
Snort IDS fungerer i 3 forskellige tilstande, som sniffer, som pakkelogger og netværksindtrængningsdetektionssystem. Den sidste er den mest alsidige, som denne artikel er fokuseret på.
Installation af Snort
Så kører vi:
I mit tilfælde er softwaren allerede installeret, men det var den ikke som standard, det var sådan, den blev installeret på Kali (Debian).
Gå i gang med Snorts sniffertilstand
Sniffertilstanden læser netværkets trafik og viser oversættelsen for en menneskelig beskuer.
For at teste den skal du skrive:
Denne indstilling bør ikke bruges normalt, visning af trafikken kræver for mange ressourcer, og den anvendes kun for at vise kommandoens output.
I terminalen kan vi se headere af trafikken, der er registreret af Snort mellem pc’en, routeren og internettet. Snort rapporterer også, at der mangler politikker til at reagere på den registrerede trafik.
Hvis vi ønsker, at Snort også skal vise dataene, skal du skrive:
For at vise lag 2-headerne skal du køre:
Ligesom parameteren “v” repræsenterer “e” også et spild af ressourcer, og brugen af den bør undgås i produktionen.
Kom i gang med Snorts Packet Logger-tilstand
For at gemme Snorts rapporter skal vi angive til Snort en logmappe, hvis vi ønsker, at Snort kun skal vise headere og logge trafikken på disk typen:
# snort -d -l snortlogs
Loggen vil blive gemt inde i mappen snortlogs.
Hvis du vil læse logfilerne, skal du skrive:
Gå i gang med Snorts Network Intrusion Detection System (NIDS)-tilstand
Med følgende kommando læser Snort de regler, der er angivet i filen /etc/snort/snort.conf for at filtrere trafikken korrekt, idet man undgår at læse hele trafikken og fokuserer på specifikke hændelser
, der henvises til i snort.conf via tilpassede regler.
Parameteren “-A console” instruerer snort om at advare i terminalen.
Tak for at du har læst denne introduktionstekst til brugen af Snort.