Installing en gebruik van Snort Intrusion Detection System om servers en netwerken te beschermen

Na het opzetten van een server zijn de eerste gebruikelijke stappen in verband met beveiliging de firewall, updates en upgrades, ssh keys, hardware apparaten. Maar de meeste sysadmins scannen hun eigen servers niet om zwakke plekken te ontdekken zoals uitgelegd met OpenVas of Nessus, en ze zetten ook geen honeypots op of een Intrusion Detection System (IDS) zoals hieronder wordt uitgelegd.

Er zijn verschillende IDS op de markt en de beste zijn gratis, Snort is de populairste, ik ken alleen Snort en OSSEC en ik verkies OSSEC boven Snort omdat het minder resources vreet maar ik denk dat Snort nog steeds de universele is. Extra opties zijn: Suricata , Bro IDS, Security Onion.

Het meest officiële onderzoek naar IDS-effectiviteit is vrij oud, uit 1998, hetzelfde jaar waarin Snort in eerste instantie werd ontwikkeld, en werd uitgevoerd door DARPA, het concludeerde dat dergelijke systemen nutteloos waren voor moderne aanvallen. Na 2 decennia, IT evolueerde met geometrische progressie, beveiliging ook en alles is bijna up to date, het adopteren van IDS is nuttig voor elke systeembeheerder.

Snort IDS

Snort IDS werkt in 3 verschillende modi, als sniffer, als packet logger en netwerk intrusion detection system. De laatste is de meest veelzijdige waarop dit artikel is gericht.

Installeren van Snort

apt-get install libpcap-dev bison flex

Dan draaien we:

apt-get install snort

In mijn geval is de software al geïnstalleerd, maar standaard was dat niet het geval, zo is het op Kali (Debian) geïnstalleerd.

Aan de slag met Snort’s sniffer mode

De sniffer mode leest het netwerkverkeer en geeft de vertaling weer voor een menselijke kijker.
Om het te testen typt u:

# snort -v

Deze optie moet normaal gesproken niet worden gebruikt, het weergeven van het verkeer vereist te veel bronnen, en het wordt alleen toegepast om de uitvoer van het commando te laten zien.

In de terminal kunnen we de headers zien van het verkeer dat door Snort is gedetecteerd tussen de pc, de router en internet. Snort rapporteert ook het gebrek aan beleid om te reageren op het gedetecteerde verkeer.
Als we willen dat Snort ook de gegevens laat zien typ dan:

# snort -vd

Om de laag 2 headers te laten zien voer je uit:

# snort -v -d -e

Net als de “v”-parameter is ook “e” een verspilling van middelen, het gebruik ervan moet worden vermeden voor productie.

Aan de slag met Snort’s Packet Logger modus

Om Snort’s rapporten op te slaan moeten we aan Snort een log directory opgeven, als we willen dat Snort alleen headers laat zien en het verkeer op de schijf logt type:

# mkdir snortlogs
# snort -d -l snortlogs

Het log zal worden opgeslagen in de snortlogs directory.

Als u de logbestanden wilt lezen, typt u:

# snort -d -v -r logfilename.log.xxxxxxx

Aan de slag met Snort’s Network Intrusion Detection System (NIDS) modus

Met het volgende commando leest Snort de regels die zijn gespecificeerd in het bestand /etc/snort/snort.conf om het verkeer goed te filteren, waarbij het hele verkeer niet wordt gelezen en de aandacht wordt gericht op specifieke incidenten
die in de snort.conf zijn aangegeven door middel van aanpasbare regels.

De parameter “-A console” instrueert snort om te waarschuwen in de terminal.

# snort -d -l snortlog -h 10.0.0.0/24 -A console -c snort.conf

Bedankt voor het lezen van deze inleidende tekst over het gebruik van Snort.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.