Как установить и использовать Snort в Ubuntu |

Как установить и использовать Snort в Ubuntu

Мануал

До этого мы много рассматривали различные моменты по Snort.

Но так и не рассмотрели его установку с нуля.

Обнаружение вторжений в сети важно для обеспечения безопасности.

Система обнаружения вторжений, используемая для обнаружения незаконных и вредоносных попыток доступа в сети.

Snort – известная система обнаружения вторжений с открытым исходным кодом.

Веб-интерфейс (Snorby) можно использовать для более наглядного анализа алертов.

Snort может использоваться как система предотвращения вторжений с брандмауэром iptables / pf.

В этой статье мы будем устанавливать и настраивать snort-систему IDS с открытым исходным кодом.

Установка Snort

Необходимое условие

Библиотека сбора данных (DAQ) используется snort для захвата пакетов.

Она доступна на сайте snort. Процесс загрузки показан на следующем скриншоте:

Извлеките и запустите ./configure, команды make and make install  для установки DAQ.

Однако DAQ требовует других инструментов.

Скрипт .configure может вывести следующие ошибки.

 flex and bison error 

 libpcap error. Verstion not found 

Поэтому сначала установите flex / bison и libcap перед установкой DAQ

 apt-get install flex 
 aptitude install libcap-dev 

После установки необходимых инструментов снова запустите скрипт ./configure, который покажет следующий результат.

Результат выполнения команды make и make install будет показан на следующих скринах.

После успешной установки DAQ, теперь мы установим snort.

Загрузка с помощью wget показана на рисунке ниже.

Извлеките сжатый пакет, используя приведенную ниже команду.

 # tar -xvzf snort-2.9.7.3.tar.gz 

Создайте каталог установки и задайте параметр префикса в скрипте configure.

Также рекомендуется включить флаг sourcefire для контроля производительности пакетов (PPM).

 

# mkdir / usr / local / snort 
#. / configure --prefix = / usr / local / snort / --enable-sourcefire

 

Configure script генерирует ошибку из-за отсутствия библиотек libpcre-dev, libdumbnet-dev и zlib.

ошибка из-за отсутствия библиотеки libpcre

ошибка из-за отсутствия библиотеки dnet (libdumbnet).

ошибка из-за отсутствия библиотеки zlib.

Установка всех необходимых библиотек разработки показана далее

 # aptitude install libpcre3-dev 
 # aptitude install libdumbnet-dev 
 # aptitude install zlib1g-dev

После установки вышеуказанных требуемых библиотек для snort снова запустите скрипты configure без каких-либо ошибок.

Запустите make и make install для компиляции и установки snort в каталог / usr / local / snort.

 # make 
 # make install 

Наконец snort работает из каталога / usr / local / snort / bin.

В настоящее время он работает в режиме promisc (режим пакетной передачи) всего трафика на интерфейсе eth0.

Дамп трафика по интерфейсу snort показан на следующем рисунке.

Правила и настройка Snort

Установка Snort из исходников требует правил и настроек конфигурации, поэтому теперь мы скопируем правила и настройки в каталог / etc / snort.

Мы создали одиночный скрипт bash для правил и настроек конфигурации.

Он используются для следующих настроек snort.

Создание пользователя snort для snort IDS-сервиса на linux.
Создание каталогов и файлов в каталоге / etc для настройки snort.
Установка разрешений и копирование данных из каталога иконок snort.
Удалите # (знак комментария) из пути rules в файле snort.conf.

#!/bin/bash##PATH of source code of snort
snort_src="/home/test/Downloads/snort-2.9.7.3"
 echo "adding group and user for snort..."
 groupadd snort /dev/null
 useradd snort -r -s /sbin/nologin -d /var/log/snort -c snort_idps -g snort  /dev/null#snort configuration
 echo "Configuring snort..."mkdir -p /etc/snort
 mkdir -p /etc/snort/rules
 touch /etc/snort/rules/black_list.rules
 touch /etc/snort/rules/white_list.rules
 touch /etc/snort/rules/local.rules
 mkdir /etc/snort/preproc_rules
 mkdir /var/log/snort
 mkdir -p /usr/local/lib/snort_dynamicrules
 chmod -R 775 /etc/snort
 chmod -R 775 /var/log/snort
 chmod -R 775 /usr/local/lib/snort_dynamicrules
 chown -R snort:snort /etc/snort
 chown -R snort:snort /var/log/snort
 chown -R snort:snort /usr/local/lib/snort_dynamicrules###copy; configuration and rules from; etc directory under source code of snort
 echo "copying from snort source to /etc/snort ....."
 echo $snort_src
 echo "-------------"
 cp $snort_src/etc/*.conf* /etc/snort
 cp $snort_src/etc/*.map /etc/snort##enable rules
 sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf echo "---DONE---"

Измените исходный каталог snort в скрипте и запустите его.

Последующие результаты появляются в случае успешного запуска.

Файл конфигурации Snort очень сложный, однако вот необходимые изменения файла snort.conf для нормальной работы IDS.

 

 ipvar HOME_NET 192.168.1.0/24 # LAN-сторона</span>

ipvar EXTERNAL_NET! $ HOME_NET # Сторона WAN 

 

 

 

 var RULE_PATH / etc / snort / rules # путь подписи snort
var SO_RULE_PATH / etc / snort / so_rules #rules в разделяемых библиотеках
var PREPROC_RULE_PATH / etc / snort / preproc_rules # Предоставляет путь
var WHITE_LIST_PATH / etc / snort / rules # не сканировать
var BLACK_LIST_PATH / etc / snort / rules # Должен сканировать 

 

 

файл $ RULE_PATH / local.rules # для пользовательских правил

удалить знак комментария (#) из других правил, таких как ftp.rules, exploit.rules и т. д.

Теперь скачайте правила Snort и извлеките их в каталоге / etc / snort / rules.

Включить правила сообщества и возникающие угрозы в файле snort.conf.

Выполните следующую команду для проверки конфигурационного файла после вышеупомянутых изменений.

 <span class=""># snort -T -c /etc/snort/snort.conf 

 

В этой статье мы сосредоточили внимание на установке и настройке snort-системы с открытым исходным кодом IDPS на дистрибутив Ubuntu.

По умолчанию он используется для мониторинга событий, однако он может сконфигурировать встроенный режим защиты сети.

Правила Snort могут быть протестированы и проанализированы в автономном режиме с использованием файла захвата pcap.

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий