Sisältö
- Miksi perustaa tunkeutumisen havaitsemisjärjestelmä?
- Snort-paketin asentaminen
- Oinkmaster-koodin hankkiminen
- Noudata alla olevia vaiheita saadaksesi Oinkmaster-koodisi:
- Oinkmaster-koodin syöttäminen Snortissa
- Sääntöjen päivittäminen manuaalisesti
- Liitäntöjen lisääminen
- Liitännän määrittäminen
- Sääntöluokkien valitseminen
- Mikä on säännöluokkien tarkoitus?
- Kuinka saan lisätietoja sääntöjen luokista?
- Suositut snort-sääntöjen luokat
- Esiprosessori ja virtausasetukset
- Liitäntöjen käynnistäminen
- Jos Snort ei käynnisty
- Tarkistetaan ilmoituksia
Sam toimii verkkoanalyytikkona algoritmisessa kauppayhtiössä. Hän hankki kandidaatin tutkinnon tietotekniikasta UMKC: ltä.
Miksi perustaa tunkeutumisen havaitsemisjärjestelmä?
Hakkerit, virukset ja muut uhat tutkivat jatkuvasti verkkoasi etsimällä tapaa päästä sisään. Koko verkkoon vaarantuminen vaatii vain yhden hakkeroidun koneen. Näistä syistä suosittelen tunkeutumisen havaitsemisjärjestelmän perustamista, jotta voit pitää järjestelmät turvassa ja seurata Internetin eri uhkia.
Snort on avoimen lähdekoodin IDS, joka voidaan helposti asentaa pfSense-palomuuriin suojaamaan koti- tai yritysverkkoa tunkeilijoilta. Snort voidaan myös konfiguroida toimimaan tunkeutumisen estojärjestelmänä (IPS), mikä tekee siitä erittäin joustavan.
Tässä artikkelissa käyn läpi Snortin asentamisen ja määrittämisen pfSense 2.0: lla, jotta voit aloittaa liikenteen analysoinnin reaaliajassa.
Snort-paketin asentaminen
Snortin käytön aloittamiseksi sinun on asennettava paketti pfSense-paketinhallinnan avulla. Paketinhallinta sijaitsee pfSense-web-käyttöliittymän järjestelmävalikossa.
Etsi Snort pakettiluettelosta ja napsauta sitten plusmerkkiä oikealla puolella aloittaaksesi asennuksen.
On normaalia, että snortti kestää muutaman minuutin asennuksen, sillä on useita riippuvuuksia, jotka pfSense on ensin ladattava ja asennettava.
Kun asennus on valmis, Snort näkyy palveluvalikossa.
Snort voidaan asentaa pfSense-paketinhallinnalla.
Oinkmaster-koodin hankkiminen
Jotta Snortista olisi hyötyä, se on päivitettävä uusimmilla säännöillä. Snort-paketti voi päivittää nämä säännöt automaattisesti puolestasi, mutta ensin sinun on hankittava Oinkmaster-koodi.
Snort-sääntöjä on kaksi erilaista:
- Tilaajajulkaisusarja on ajantasaisin käytettävissä oleva sääntöjoukko. Reaaliaikainen pääsy näihin sääntöihin edellyttää maksettua vuosimaksua.
- Sääntöjen toinen versio on rekisteröity käyttäjän julkaisu, joka on täysin ilmainen kaikille, jotka rekisteröityvät Snort.org-sivustoon.
Suurin ero näiden kahden sääntöjoukon välillä on se, että rekisteröidyn käyttäjän julkaisun säännöt ovat 30 päivää jäljessä tilaussäännöistä. Jos haluat uusimman suojan, hanki tilaus.
Noudata alla olevia vaiheita saadaksesi Oinkmaster-koodisi:
- Lataa tarvitsemasi versio käymällä Snort-sääntöjen verkkosivulla.
- Napsauta 'Luo tili' ja luo Snort-tili.
- Kun olet vahvistanut tilisi, kirjaudu sisään Snort.org-sivustoon.
- Napsauta yläosassa olevaa linkkipalkkia Oma tili.
- Napsauta Tilaukset ja Oinkcode -välilehteä.
- Napsauta Oinkcodes-linkkiä ja napsauta sitten Luo koodi.
Koodi säilyy tililläsi, joten voit hankkia sen myöhemmin tarvittaessa. Tämä koodi on syötettävä Snf-asetuksiin pfSense-sovelluksessa.
Sääntöjen lataaminen Snort.org-sivustolta edellyttää Oinkmaster-koodia.
Oinkmaster-koodin syöttäminen Snortissa
Saatuaan Oinkcode-koodin, se on syötettävä Snort-paketin asetuksiin. Snort-asetussivu tulee näkyviin verkkoliittymän palveluvalikkoon. Jos se ei ole näkyvissä, varmista, että paketti on asennettu, ja asenna paketti tarvittaessa uudelleen.
Oinkkoodi on syötettävä Snort-asetusten globaaleille asetussivulle. Haluan myös valita valintaruudun, jotta myös uudet uhkat -säännöt voidaan ottaa käyttöön. ET-sääntöjä ylläpitää avoimen lähdekoodin yhteisö, ja ne voivat tarjota joitain lisäsääntöjä, joita ei välttämättä löydy Snort-joukosta.
Automaattiset päivitykset
Oletuksena Snort-paketti ei päivitä sääntöjä automaattisesti. Suositeltu päivitysväli on kerran 12 tunnissa, mutta voit muuttaa sen ympäristösi mukaan.
Muista napsauttaa Tallenna-painiketta, kun olet tehnyt muutokset.
Sääntöjen päivittäminen manuaalisesti
Snortilla ei ole sääntöjä, joten sinun on päivitettävä ne manuaalisesti ensimmäisen kerran. Suorita manuaalinen päivitys napsauttamalla päivitykset-välilehteä ja napsauttamalla sitten päivityssäännöt-painiketta.
Paketti lataa uusimmat sääntöjoukot Snort.org -sivustolta ja myös Emerging Threats, jos tämä vaihtoehto on valittuna.
Kun päivitykset ovat valmiit, säännöt puretaan ja ovat sitten valmiita käyttöön.
Säännöt on ladattava manuaalisesti, kun Snort asennetaan ensimmäisen kerran.
Liitäntöjen lisääminen
Ennen kuin Snort voi alkaa toimia tunkeutumisen havaitsemisjärjestelmänä, sinun on määritettävä käyttöliittymät sen valvomiseen. Tyypillinen konfiguraatio on, että Snort seuraa kaikkia WAN-liitäntöjä. Toinen yleisin kokoonpano on, että Snort seuraa WAN- ja LAN-liitäntöjä.
LAN-käyttöliittymän valvonta voi tarjota jonkin verran näkyvyyttä verkon sisällä tapahtuville hyökkäyksille. Ei ole harvinaista, että lähiverkossa oleva tietokone tarttuu haittaohjelmiin ja aloittaa hyökkäyksiä verkon sisä- ja ulkopuolella oleviin järjestelmiin.
Voit lisätä käyttöliittymän napsauttamalla Snort-käyttöliittymän välilehdessä olevaa plusmerkkiä.
Liitännän määrittäminen
Kun olet napsauttanut Lisää käyttöliittymä -painiketta, näet käyttöliittymän asetussivun.Asetussivulla on paljon vaihtoehtoja, mutta on vain muutama, joista sinun on todella huolehdittava, jotta asiat saadaan toimimaan.
- Valitse ensin sivun yläosassa oleva valintaruutu.
- Valitse seuraavaksi liitäntä, jonka haluat määrittää (tässä esimerkissä määritän ensin WAN: n).
- Aseta muistin suorituskyvyksi AC-BNFA.
- Valitse ruutu "Log Alerts to snort unified2 file", jotta barnyard2 toimii.
- Napsauta Tallenna.
Jos sinulla on a usean wanin reititin, voit mennä eteenpäin ja määrittää muut järjestelmän WAN-liitännät. Suosittelen myös LAN-liitännän lisäämistä.
Ennen liitäntöjen aloittamista on vielä muutama asetus, jotka on määritettävä kullekin käyttöliittymälle. Jos haluat määrittää lisäasetukset, palaa Snort-käyttöliittymät-välilehteen ja napsauta E-symbolia sivun oikealla puolella käyttöliittymän vieressä. Tämä vie sinut takaisin kyseisen käyttöliittymän määrityssivulle. Valitse käyttöliittymälle sallitut sääntöluokat napsauttamalla Luokat-välilehteä. Kaikki tunnistussäännöt on jaettu luokkiin. Luokat, jotka sisältävät Emerging Threats -sääntöjä, alkavat sanalla 'emerging' ja Snort.org -sivuston säännöt 'snortilla'. Kun olet valinnut luokat, napsauta sivun alaosassa olevaa Tallenna-painiketta. Jakamalla säännöt luokkiin, voit ottaa käyttöön vain tietyt sinua kiinnostavat luokat. Suosittelen ottamaan käyttöön joitain yleisempiä luokkia. Jos verkossasi on tiettyjä palveluita, kuten verkko- tai tietokantapalvelin, sinun tulisi ottaa käyttöön myös niihin liittyvät luokat. On tärkeää muistaa, että Snort vaatii enemmän järjestelmäresursseja joka kerta, kun uusi luokka otetaan käyttöön. Tämä voi myös lisätä väärien positiivisten lukumäärää. Yleensä on parasta ottaa käyttöön vain tarvitsemasi ryhmät, mutta kokeile vapaasti luokkia ja katso, mikä toimii parhaiten.Sääntöluokkien valitseminen
Mikä on säännöluokkien tarkoitus?
Kuinka saan lisätietoja sääntöjen luokista?
Jos haluat selvittää, mitkä säännöt ovat luokassa, ja oppia lisää siitä, mitä ne tekevät, voit napsauttaa luokkaa. Tämä linkittää sinut suoraan luokan kaikkien sääntöjen luetteloon.
Suositut snort-sääntöjen luokat
| Kategorian nimi | Kuvaus |
|---|---|
snort_botnet-cnc.rules | Kohdistaa tunnetut botnet-komento- ja ohjausisännät. |
snort_ddos.säännöt | Tunnistaa palvelunestohyökkäykset. |
snort_scan.säännöt | Nämä säännöt havaitsevat porttiskannaukset, Nessus-koettimet ja muut tiedonkeruuhyökkäykset. |
snort_virus.säännöt | Tunnistaa tunnettujen troijalaisten, virusten ja matojen allekirjoitukset. On erittäin suositeltavaa käyttää tätä luokkaa. |
Esiprosessori ja virtausasetukset
Esiprosessorin asetussivulla on muutama asetus, joka tulisi ottaa käyttöön. Monet tunnistussäännöt edellyttävät, että HTTP-tarkastus on käytössä, jotta ne toimisivat.
- Ota HTTP-tarkastusasetukset -kohdassa käyttöön '' Käytä HTTP-tarkastusta normalisointiin / dekoodaamiseen ''
- Ota esiprosessorin yleiset asetukset -osiossa käyttöön Portscan-tunnistus
- Tallenna asetukset.
Liitäntöjen käynnistäminen
Kun Snortiin lisätään uusi käyttöliittymä, se ei käynnisty automaattisesti. Käynnistä liitännät manuaalisesti napsauttamalla vihreää toistopainiketta jokaisen määritetyn käyttöliittymän vasemmalla puolella.
Kun Snort on käynnissä, käyttöliittymän nimen takana oleva teksti näkyy vihreänä. Lopeta Snort napsauttamalla punaista pysäytyspainiketta, joka sijaitsee käyttöliittymän vasemmalla puolella.
On olemassa pari yleistä ongelmaa, jotka voivat estää Snortin käynnistymisen.
Jos Snort ei käynnisty
Tarkistetaan ilmoituksia
Kun Snort on konfiguroitu ja käynnistetty, sinun tulisi alkaa nähdä ilmoituksia, kun sääntöjä vastaava liikenne on havaittu.
Jos et näe ilmoituksia, anna sille vähän aikaa ja tarkista sitten uudelleen. Voi kestää jonkin aikaa, ennen kuin näet ilmoituksia, riippuen käytössä olevasta liikenteen määrästä ja säännöistä.
Jos haluat tarkastella ilmoituksia etänä, voit ottaa käyttöön käyttöliittymän asetuksen "Lähetä hälytykset pääjärjestelmälokeihin". Järjestelmälokeissa näkyvät ilmoitukset voivat olla katsottu etänä käyttämällä Syslogia.
Tämä artikkeli on kirjoittajan parhaiden tietojen mukaan tarkka ja todenmukainen. Sisältö on tarkoitettu vain tiedotus- tai ajanvietetarkoituksiin, eikä se korvaa henkilökohtaista tai ammatillista neuvontaa liike-, rahoitus-, laki- tai teknisissä asioissa.
