Instalarea și utilizarea sistemului de detectare a intruziunilor Snort pentru a proteja serverele și rețelele

După configurarea oricărui server, printre primii pași obișnuiți legați de securitate se numără firewall-ul, actualizările și upgrade-urile, cheile ssh, dispozitivele hardware. Dar majoritatea administratorilor de sistem nu-și scanează propriile servere pentru a descoperi punctele slabe, așa cum se explică cu OpenVas sau Nessus, și nici nu instalează honeypots sau un sistem de detectare a intruziunilor (IDS), care este explicat mai jos.

Există mai multe IDS pe piață și cele mai bune sunt gratuite, Snort este cel mai popular, eu cunosc doar Snort și OSSEC și prefer OSSEC în locul lui Snort pentru că mănâncă mai puține resurse, dar cred că Snort este în continuare cel universal. Opțiunile suplimentare sunt: Suricata , Bro IDS, Security Onion.

Cele mai oficiale cercetări privind eficiența IDS sunt destul de vechi, din 1998, același an în care Snort a fost dezvoltat inițial, și au fost efectuate de DARPA, și au concluzionat că astfel de sisteme sunt inutile în fața atacurilor moderne. După 2 decenii, IT-ul a evoluat în progresie geometrică, securitatea a făcut la fel și ea și totul este aproape la zi, adoptarea IDS este utilă pentru orice administrator de sistem.

Snort IDS

Snort IDS funcționează în 3 moduri diferite, ca sniffer, ca logger de pachete și ca sistem de detectare a intruziunilor în rețea. Ultimul este cel mai versatil, pentru care se concentrează acest articol.

Instalarea Snort

apt-get install libpcap-dev bison flex

Apoi rulăm:

apt-get install snort

În cazul meu software-ul este deja instalat, dar nu era implicit, așa a fost instalat pe Kali (Debian).

Începem cu modul sniffer al lui Snort

Modul sniffer citește traficul din rețea și afișează traducerea pentru un observator uman.
Pentru a-l testa tastați:

# snort -v

Această opțiune nu trebuie folosită în mod normal, afișarea traficului necesită prea multe resurse și se aplică doar pentru a arăta ieșirea comenzii.

În terminal putem vedea anteturile traficului detectat de Snort între pc, router și internet. Snort raportează, de asemenea, lipsa politicilor de reacție la traficul detectat.
Dacă vrem ca Snort să afișeze și datele, tastați:

# snort -vd

Pentru a afișa antetele de nivel 2 rulați:

# snort -v -d -e

La fel ca parametrul „v”, și „e” reprezintă o risipă de resurse, utilizarea lui trebuie evitată pentru producție.

Începem cu modul Packet Logger al lui Snort

Pentru a salva rapoartele Snort trebuie să îi specificăm lui Snort un director de jurnal, dacă dorim ca Snort să afișeze doar antetele și să înregistreze traficul pe tipul de disc:

# mkdir snortlogs
# snort -d -l snortlogs

Registrul va fi salvat în interiorul directorului snortlogs.

Dacă doriți să citiți fișierele jurnal tastați:

# snort -d -v -r logfilename.log.xxxxxxx

Începând cu modul NIDS (Network Intrusion Detection System) al lui Snort

Cu următoarea comandă Snort citește regulile specificate în fișierul /etc/snort/snort.conf pentru a filtra traficul în mod corespunzător, evitând citirea întregului trafic și concentrându-se pe incidente specifice
referite în snort.conf prin intermediul unor reguli personalizabile.

Parametrul „-A console” instruiește snort să alerteze în terminal.

# snort -d -l snortlog -h 10.0.0.0.0/24 -A console -c snort.conf

Mulțumim că ați citit acest text introductiv la utilizarea lui Snort.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.