Obsah
- Proč nastavit systém detekce narušení?
- Instalace balíčku Snort
- Získání kódu Oinkmaster
- Postupujte podle pokynů níže a získejte svůj kód Oinkmaster:
- Zadání kódu Oinkmaster do Snort
- Ruční aktualizace pravidel
- Přidávání rozhraní
- Konfigurace rozhraní
- Výběr kategorií pravidel
- Jaký je účel kategorií pravidel?
- Jak mohu získat více informací o kategoriích pravidel?
- Populární kategorie pravidel snort
- Nastavení předprocesoru a toku
- Spuštění rozhraní
- Pokud se Snort nespustí
- Kontrola upozornění
Sam pracuje jako síťový analytik pro algoritmickou obchodní společnost. Bakalářský titul v oboru informačních technologií získal na UMKC.
Proč nastavit systém detekce narušení?
Hackeři, viry a další hrozby neustále zkoumají vaši síť a hledají způsob, jak se dostat dovnitř. Ke kompromitování celé sítě stačí pouze jeden hacknutý počítač. Z těchto důvodů doporučuji nastavit systém detekce narušení, abyste mohli své systémy zabezpečit a sledovat různé hrozby na internetu.
Snort je open source IDS, který lze snadno nainstalovat na bránu firewall pfSense k ochraně domácí nebo podnikové sítě před vetřelci. Snort lze také nakonfigurovat tak, aby fungoval jako systém prevence narušení (IPS), což je velmi flexibilní.
V tomto článku vás provedu procesem instalace a konfigurace Snort na pfSense 2.0, abyste mohli začít analyzovat provoz v reálném čase.
Instalace balíčku Snort
Abyste mohli začít s Snortem, musíte balíček nainstalovat pomocí správce balíků pfSense. Správce balíčků se nachází v systémové nabídce webového grafického uživatelského rozhraní pfSense.
Vyhledejte Snort ze seznamu balíčků a poté kliknutím na symbol plus na pravé straně spusťte instalaci.
Je normální, že instalace snortu trvá několik minut, má několik závislostí, které musí pfSense nejprve stáhnout a nainstalovat.
Po dokončení instalace se v nabídce služeb zobrazí Snort.
Snort lze nainstalovat pomocí správce balíků pfSense.
Získání kódu Oinkmaster
Aby Snort byl užitečný, je třeba jej aktualizovat pomocí nejnovější sady pravidel. Balíček Snort může tato pravidla automaticky aktualizovat, ale nejprve musíte získat kód Oinkmaster.
K dispozici jsou dvě různé sady pravidel Snort:
- Sada vydání předplatitele je nejaktuálnější sada pravidel, která jsou k dispozici. Přístup k těmto pravidlům v reálném čase vyžaduje placené roční předplatné.
- Druhou verzí pravidel je verze pro registrované uživatele, která je zcela zdarma pro každého, kdo se zaregistruje na webu Snort.org.
Hlavní rozdíl mezi těmito dvěma sadami pravidel spočívá v tom, že pravidla ve verzi registrovaného uživatele jsou o 30 dní pozadu za pravidly předplatného. Pokud chcete nejaktuálnější ochranu, měli byste získat předplatné.
Postupujte podle pokynů níže a získejte svůj kód Oinkmaster:
- Navštivte webovou stránku Snort rules a stáhněte si verzi, kterou potřebujete.
- Klikněte na „Zaregistrovat účet“ a vytvořte účet Snort.
- Jakmile svůj účet potvrdíte, přihlaste se na Snort.org.
- Na horním panelu odkazů klikněte na „Můj účet“.
- Klikněte na kartu „Předplatné a Oinkcode“.
- Klikněte na odkaz Oinkcodes a poté klikněte na „Generovat kód“.
Kód zůstane uložen ve vašem účtu, takže jej v případě potřeby můžete později získat. Tento kód bude nutné zadat do nastavení Snort v pfSense.
Ke stažení pravidel ze stránky Snort.org je vyžadován kód Oinkmaster.
Zadání kódu Oinkmaster do Snort
Po získání Oinkcode je nutné jej zadat v nastavení balíčku Snort. V nabídce služeb webového rozhraní se zobrazí stránka nastavení Snort. Pokud to není viditelné, zkontrolujte, zda je balíček nainstalován, a v případě potřeby jej znovu nainstalujte.
Oinkcode musí být zadán na stránce globálního nastavení v nastavení Snort. Také bych rád zaškrtnutím políčka povolil pravidla pro vznikající hrozby. Pravidla ET jsou udržována komunitou open-source a mohou poskytnout některá další pravidla, která nemusí být nalezena v sadě Snort.
Automatické aktualizace
Ve výchozím nastavení balíček Snort nebude automaticky aktualizovat pravidla. Doporučený interval aktualizace je jednou za 12 hodin, ale můžete jej změnit podle svého prostředí.
Po dokončení změn nezapomeňte kliknout na tlačítko „uložit“.
Ruční aktualizace pravidel
Snort nepřichází s žádnými pravidly, takže je budete muset poprvé ručně aktualizovat. Chcete-li spustit ruční aktualizaci, klikněte na kartu aktualizace a poté klikněte na tlačítko pravidla aktualizace.
Balíček stáhne nejnovější sady pravidel z webu Snort.org a také Emerging Threats, pokud máte vybranou tuto možnost.
Po dokončení aktualizací budou pravidla extrahována a poté připravena k použití.
Pravidla musí být stažena ručně při prvním nastavení Snort.
Přidávání rozhraní
Než Snort může začít fungovat jako systém detekce narušení, musíte mu přiřadit rozhraní pro monitorování. Typickou konfigurací je, aby Snort sledoval veškerá rozhraní WAN. Druhou nejběžnější konfigurací je Snort pro monitorování rozhraní WAN a LAN.
Monitorování rozhraní LAN může poskytnout určitou viditelnost útokům probíhajícím z vaší sítě. Není neobvyklé, že se počítač v síti LAN nakazí malwarem a začne útočit na systémy uvnitř i vně sítě.
Chcete-li přidat rozhraní, klikněte na symbol plus na kartě Snort interface.
Konfigurace rozhraní
Po kliknutí na tlačítko Přidat rozhraní se zobrazí stránka nastavení rozhraní.Stránka nastavení obsahuje spoustu možností, ale existuje jen několik, se kterými se musíte opravdu starat, abyste mohli věci zprovoznit.
- Nejprve zaškrtněte políčko v horní části stránky.
- Dále vyberte rozhraní, které chcete konfigurovat (v tomto příkladu nejprve konfiguruji WAN).
- Nastavte výkon paměti na AC-BNFA.
- Zaškrtněte políčko „Log Alerts to snort unified2 file“, aby barnyard2 fungoval.
- Klikněte na Uložit.
Pokud používáte a multi-wan router, můžete pokračovat a nakonfigurovat další rozhraní WAN ve vašem systému. Také doporučuji přidat LAN rozhraní.
Před spuštěním rozhraní existuje několik dalších nastavení, která je třeba nakonfigurovat pro každé rozhraní. Chcete-li nakonfigurovat další nastavení, vraťte se na kartu Snort interfaces a klikněte na symbol „E“ na pravé straně stránky vedle rozhraní. Tím se vrátíte zpět na konfigurační stránku pro dané konkrétní rozhraní. Chcete-li vybrat kategorie pravidel, které by měly být pro rozhraní povoleny, klikněte na kartu kategorie. Všechna pravidla detekce jsou rozdělena do kategorií. Kategorie obsahující pravidla od Emerging Threats budou začínat slovy „emerging“ a pravidla ze stránky Snort.org začínají slovy „snort“. Po výběru kategorií klikněte na tlačítko Uložit v dolní části stránky. Rozdělením pravidel do kategorií můžete povolit pouze konkrétní kategorie, které vás zajímají. Doporučuji povolit některé z obecnějších kategorií. Pokud v síti provozujete konkrétní služby, například webový nebo databázový server, měli byste také povolit kategorie, které se jich týkají. Je důležité si uvědomit, že Snort bude vyžadovat více systémových prostředků při každém zapnutí další kategorie. To může také zvýšit počet falešných poplachů. Obecně je nejlepší zapnout pouze skupiny, které potřebujete, ale můžete experimentovat s kategoriemi a zjistit, co funguje nejlépe.Výběr kategorií pravidel
Jaký je účel kategorií pravidel?
Jak mohu získat více informací o kategoriích pravidel?
Pokud chcete zjistit, jaká pravidla jsou v kategorii, a dozvědět se více o tom, co dělají, můžete kliknout na příslušnou kategorii. Tím se přímo odkážete na seznam všech pravidel v dané kategorii.
Populární kategorie pravidel snort
| Název Kategorie | Popis |
|---|---|
pravidla snort_botnet-cnc. | Zacílí na známé hostitele příkazů a řízení botnetů. |
snort_ddos.rules | Detekuje útoky odmítnutí služby. |
snort_scan.rules | Tato pravidla detekují skenování portů, sondy Nessus a další útoky shromažďující informace. |
snort_virus.rules | Detekuje podpisy známých trojských koní, virů a červů. Tuto kategorii se velmi doporučuje používat. |
Nastavení předprocesoru a toku
Na stránce nastavení preprocesorů je třeba povolit několik nastavení. Mnoho z pravidel detekce vyžaduje, aby byla povolena kontrola HTTP, aby fungovala.
- V části Nastavení kontroly HTTP povolte možnost „Použít kontrolu protokolu HTTP k normalizaci / dekódování“
- V části s obecnými nastaveními preprocesoru povolte možnost „Detekce portů“
- Uložte nastavení.
Spuštění rozhraní
Když je do Snort přidáno nové rozhraní, automaticky se nespustí. Chcete-li ručně spustit rozhraní, klikněte na zelené tlačítko přehrávání na levé straně každého nakonfigurovaného rozhraní.
Když je Snort spuštěný, text za názvem rozhraní se zobrazí zeleně. Chcete-li zastavit Snort, klikněte na červené tlačítko stop umístěné na levé straně rozhraní.
Existuje několik běžných problémů, které mohou zabránit Snortovi ve spuštění.
Pokud se Snort nespustí
Kontrola upozornění
Jakmile bude Snort úspěšně nakonfigurován a spuštěn, měli byste začít vidět výstrahy, jakmile bude detekován provoz odpovídající pravidlům.
Pokud nevidíte žádné výstrahy, věnujte jim trochu času a poté je znovu zkontrolujte. Než se zobrazí výstrahy, může to chvíli trvat, v závislosti na objemu provozu a povolených pravidlech.
Pokud chcete výstrahy zobrazit na dálku, můžete povolit nastavení rozhraní „Odesílat výstrahy do hlavních systémových protokolů“. Výstrahy, které se zobrazují v systémových protokolech, mohou být prohlížet vzdáleně pomocí Syslog.
Tento článek je přesný a pravdivý podle nejlepších znalostí autora. Obsah slouží pouze k informačním nebo zábavním účelům a nenahrazuje osobní rady ani odborné rady v obchodních, finančních, právních nebo technických záležitostech.
