Nach der Einrichtung eines Servers gehören zu den ersten üblichen Schritten im Zusammenhang mit der Sicherheit die Firewall, Updates und Upgrades, SSH-Schlüssel, Hardwaregeräte. Aber die meisten Systemadministratoren scannen ihre eigenen Server nicht, um Schwachstellen zu entdecken, wie es mit OpenVas oder Nessus erklärt wird, noch richten sie Honeypots oder ein Intrusion Detection System (IDS) ein, was weiter unten erklärt wird.
Es gibt mehrere IDS auf dem Markt und die besten sind kostenlos, Snort ist das beliebteste, ich kenne nur Snort und OSSEC und ich bevorzuge OSSEC gegenüber Snort, weil es weniger Ressourcen verbraucht, aber ich denke, Snort ist immer noch das universelle System. Weitere Optionen sind: Suricata , Bro IDS, Security Onion.
Die offiziellste Studie über die Effektivität von IDS ist schon ziemlich alt, sie stammt aus dem Jahr 1998, demselben Jahr, in dem Snort ursprünglich entwickelt wurde, und wurde von der DARPA durchgeführt; sie kam zu dem Schluss, dass solche Systeme vor modernen Angriffen nutzlos sind. Nach 2 Jahrzehnten hat sich die IT mit geometrischer Progression weiterentwickelt, die Sicherheit auch, und alles ist fast auf dem neuesten Stand, die Einführung von IDS ist für jeden Systemadministrator hilfreich.
Snort IDS
Snort IDS arbeitet in 3 verschiedenen Modi, als Sniffer, als Packet Logger und als Network Intrusion Detection System. Die letzte ist die vielseitigste, auf die sich dieser Artikel konzentriert.
Snort installieren
Dann führen wir aus:
In meinem Fall ist die Software bereits installiert, war es aber standardmäßig nicht, so wurde es auf Kali (Debian) installiert.
Einstieg in den Sniffer-Modus von Snort
Der Sniffer-Modus liest den Datenverkehr im Netzwerk und zeigt die Übersetzung für einen menschlichen Betrachter an.
Um ihn zu testen, geben Sie ein:
Diese Option sollte normalerweise nicht verwendet werden, da die Anzeige des Datenverkehrs zu viele Ressourcen erfordert, und sie wird nur verwendet, um die Ausgabe des Befehls anzuzeigen.
Im Terminal können wir die Header des von Snort erkannten Datenverkehrs zwischen dem PC, dem Router und dem Internet sehen. Snort meldet auch das Fehlen von Richtlinien, um auf den erkannten Verkehr zu reagieren.
Wenn Snort auch die Daten anzeigen soll, geben Sie Folgendes ein:
Um die Layer-2-Header anzuzeigen, führen Sie aus:
Gleich wie der Parameter „v“ stellt auch „e“ eine Ressourcenverschwendung dar, seine Verwendung sollte in der Produktion vermieden werden.
Einstieg in den Packet Logger Modus von Snort
Um die Berichte von Snort zu speichern, müssen wir Snort ein Log-Verzeichnis angeben, wenn wir wollen, dass Snort nur Header anzeigt und den Datenverkehr auf der Festplatte protokolliert:
# snort -d -l snortlogs
Das Protokoll wird im Verzeichnis snortlogs gespeichert.
Wenn Sie die Protokolldateien lesen möchten, geben Sie Folgendes ein:
Einstieg in den NIDS-Modus (Network Intrusion Detection System) von Snort
Mit dem folgenden Befehl liest Snort die Regeln, die in der Datei /etc/snort/snort.conf angegebenen Regeln, um den Datenverkehr richtig zu filtern. Dabei wird das Lesen des gesamten Datenverkehrs vermieden und der Fokus auf bestimmte Vorfälle
gelegt, die in der snort.conf durch anpassbare Regeln festgelegt sind.
Der Parameter „-A console“ weist snort an, im Terminal zu alarmieren.
Danke für die Lektüre dieses einführenden Textes zur Verwendung von Snort.