Instalowanie i używanie systemu wykrywania włamań Snort do ochrony serwerów i sieci

Po skonfigurowaniu dowolnego serwera wśród pierwszych zwykłych kroków związanych z bezpieczeństwem znajdują się firewall, aktualizacje i uaktualnienia, klucze ssh, urządzenia sprzętowe. Ale większość sysadminów nie skanuje swoich serwerów w celu odkrycia słabych punktów, jak to jest wyjaśnione z OpenVas lub Nessus, ani nie ustawia honeypotów lub Intrusion Detection System (IDS), co jest wyjaśnione poniżej.

Na rynku jest kilka IDS i najlepsze są darmowe, Snort jest najbardziej popularny, znam tylko Snort i OSSEC i wolę OSSEC niż Snort, ponieważ zużywa mniej zasobów, ale myślę, że Snort jest nadal uniwersalny. Dodatkowe opcje to: Suricata , Bro IDS, Security Onion.

Najbardziej oficjalne badania nad skutecznością IDS są dość stare, z 1998 roku, tego samego w którym powstał Snort i były prowadzone przez DARPA, stwierdzały one, że takie systemy są bezużyteczne przed nowoczesnymi atakami. Po dwóch dekadach IT ewoluowało w postępie geometrycznym, bezpieczeństwo również i wszystko jest prawie na czasie, przyjęcie IDS jest pomocne dla każdego administratora.

Snort IDS

Snort IDS działa w 3 różnych trybach, jako sniffer, jako rejestrator pakietów i sieciowy system wykrywania włamań. Ostatni z nich jest najbardziej uniwersalny, na którym skupimy się w tym artykule.

Instalacja Snorta

apt-get install libpcap-dev bison flex

Następnie uruchamiamy:

apt-get install snort

W moim przypadku oprogramowanie jest już zainstalowane, ale nie było domyślnie, tak było zainstalowane na Kali (Debian).

Rozpoczęcie pracy z trybem snifferowym Snorta

Tryb snifferowy odczytuje ruch w sieci i wyświetla tłumaczenie dla człowieka.
W celu przetestowania go wpisz:

# snort -v

Opcja ta nie powinna być używana normalnie, wyświetlanie ruchu wymaga zbyt dużo zasobów, a stosuje się ją tylko w celu pokazania wyjścia komendy.

W terminalu możemy zobaczyć nagłówki ruchu wykrytego przez Snorta pomiędzy komputerem, routerem i internetem. Snort informuje również o braku polityk reagujących na wykryty ruch.
Jeśli chcemy aby Snort pokazywał również dane wpisz:

# snort -vd

Aby pokazać nagłówki warstwy 2 uruchom:

# snort -v -d -e

Tak jak parametr „v”, „e” również reprezentuje marnowanie zasobów, jego użycie powinno być unikane w przypadku produkcji.

Rozpoczęcie pracy z trybem Packet Logger

Aby zapisać raporty Snorta musimy wskazać mu katalog logów, jeżeli chcemy aby Snort pokazywał tylko nagłówki i logował ruch na dysku typu:

# mkdir snortlogs
# snort -d -l snortlogs

Log będzie zapisywany wewnątrz katalogu snortlogs.

Jeśli chcesz odczytać pliki dziennika, wpisz:

# snort -d -v -r logfilename.log.xxxxx

Rozpoczęcie pracy z trybem NIDS (Network Intrusion Detection System)

Za pomocą poniższego polecenia Snort odczytuje reguły określone w pliku /etc/snort/snort.conf, aby odpowiednio filtrować ruch, unikając czytania całego ruchu i skupiając się na konkretnych incydentach
wskazanych w snort.conf poprzez dostosowywane reguły.

Parametr „-A console” instruuje snorta, aby alarmował w terminalu.

# snort -d -l snortlog -h 10.0.0.0/24 -A console -c snort.conf

Dziękuję za przeczytanie tego tekstu wprowadzającego do użytkowania Snorta.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.