Snort-haittaohjelmien havaitsemisjärjestelmän asentaminen ja käyttäminen palvelinten ja verkkojen suojaamiseen

Minkä tahansa palvelimen perustamisen jälkeen ensimmäisiä tavallisia tietoturvaan liittyviä vaiheita ovat palomuuri, päivitykset ja päivitykset, ssh-avaimet ja laitteistot. Useimmat järjestelmänvalvojat eivät kuitenkaan skannaa omia palvelimiaan löytääkseen heikkoja kohtia, kuten OpenVas tai Nessus selitetään, eivätkä myöskään aseta honeypoteja tai tunkeutumisen havaitsemisjärjestelmää (Intrusion Detection System, IDS), joka selitetään alla.

Markkinoilla on useita IDS-järjestelmiä, ja parhaat ovat ilmaisia, Snort on suosituin, tunnen vain Snortin ja OSSEC:n, ja pidän enemmän OSSEC:stä kuin Snort:ista, koska se syö vähemmän resursseja, mutta uskon Snort:in olevan silti yleinen. Muita vaihtoehtoja ovat:

Virallisin tutkimus IDS:n tehokkuudesta on melko vanha, vuodelta 1998, samana vuonna kun Snort alun perin kehitettiin, ja sen teki DARPA, ja siinä todettiin, että tällaiset järjestelmät olivat hyödyttömiä ennen nykyaikaisia hyökkäyksiä. Kahden vuosikymmenen jälkeen tietotekniikka on kehittynyt geometrisesti, samoin tietoturva, ja kaikki on lähes ajan tasalla, joten IDS:n käyttöönotto on hyödyllistä jokaiselle järjestelmänvalvojalle.

Snort IDS

Snort IDS toimii kolmessa eri toimintatilassa, haistelijana, pakettien kirjaajana ja verkon tunkeutumisen havaitsemisjärjestelmänä. Jälkimmäinen on monipuolisin, johon tässä artikkelissa keskitytään.

Snortin asentaminen

apt-get install libpcap-dev bison flex

Sitten ajetaan:

apt-get install snort

Minun tapauksessani ohjelmisto on jo valmiiksi asennettu, mutta ei ollut oletuksena, näin se asennettiin Kaliin (Debian).

Snortin sniffer-tilan käyttöönotto

Sniffer-tila lukee verkon liikennettä ja näyttää käännöksen ihmiskatsojalle.
Testausta varten kirjoitetaan:

# snort -v

Tätä optiota ei kannata käyttää normaalisti, liikenteen näyttäminen vaatii liikaa resursseja, ja sitä käytetään vain komennon ulostulon näyttämiseksi.

Terminaalissa näemme Snortin havaitseman pc:n, reitittimen ja internetin välillä tapahtuvan liikenteen otsikot. Snort ilmoittaa myös, että havaittuun liikenteeseen ei ole reagoitu käytäntöjä.
Jos haluamme Snortin näyttävän myös tiedot, kirjoita:

# snort -vd

Kerroksen 2 otsikoiden näyttämiseksi suorita:

# snort -v -d -e

Aivan kuten ”v”-parametri, myös ”e” edustaa resurssien tuhlausta, sen käyttöä tulisi välttää tuotannossa.

Aloittaminen Snortin pakettilokitilassa

Snortin raporttien tallentamiseksi meidän on määritettävä Snortille lokihakemisto, jos haluamme Snortin näyttävän vain otsikot ja kirjaavan liikenteen levytyyppisesti:

# mkdir snortlogs
# snort -d -l snortlogs

Loki tallennetaan snortlogs-hakemistoon.

Jos haluat lukea lokitiedostot, kirjoita:

# snort -d -v -r lokinimi.log.log.xxxxxxx

Aloittaminen Snortin verkko-intruusionhavaitsemisjärjestelmän (Network Intrusion Detection System, NIDS) tilassa

Snortin seuraavalla komennolla Snort lukee tiedostossa /etc/snort/snort määritetyt säännöt.conf suodattaa liikennettä oikein, välttäen koko liikenteen lukemista ja keskittyen tiettyihin tapahtumiin
, joihin snort.conf-tiedostossa viitataan mukautettavien sääntöjen avulla.

Parametri ”-A console” ohjaa snortia hälyttämään terminaalissa.

# snort -d -l snortlog -h 10.0.0.0/24 -A console -c snort.conf

Kiitos, että luit tämän johdantotekstin Snortin käyttöön.

Vastaa

Sähköpostiosoitettasi ei julkaista.