Po nastavení libovolného serveru mezi první obvyklé kroky spojené se zabezpečením patří brána firewall, aktualizace a upgrady, klíče ssh, hardwarová zařízení. Ale většina sysadminů neskenuje své vlastní servery, aby objevili slabá místa, jak je vysvětleno v OpenVas nebo Nessus, ani nenastavují honeypoty nebo systém detekce narušení (IDS), který je vysvětlen níže.
Na trhu existuje několik IDS a nejlepší jsou zdarma, Snort je nejoblíbenější, znám pouze Snort a OSSEC a dávám přednost OSSEC před Snortem, protože jí méně zdrojů, ale myslím, že Snort je stále univerzální. Další možnosti jsou: Suricata, Bro IDS, Security Onion.
Nej oficiálnější výzkum efektivity IDS je docela starý, z roku 1998, téhož roku, kdy byl původně vyvinut Snort, a byl proveden DARPA, dospěl k závěru, že takové systémy byly před moderními útoky k ničemu. Po 2 desetiletích se IT vyvinuly s geometrickým vývojem, zabezpečení také a vše je téměř aktuální, přijetí IDS je užitečné pro každého správce.
Odfrknout IDS
Snort IDS funguje ve 3 různých režimech, jako sniffer, jako logger paketů a systém detekce vniknutí do sítě. Poslední z nich je nejuniverzálnější, na který je tento článek zaměřen.
Instalace Snort
apt-get install libpcap-dev bison flexPak spustíme:
apt-get install snortV mém případě je software již nainstalován, ale nebyl ve výchozím nastavení, tak byl nainstalován na Kali (Debian).
Začínáme s Snortovým režimem Sniffer
Režim čichače čte provoz v síti a zobrazuje překlad pro lidského diváka.
Chcete-li jej otestovat, zadejte:
Tato možnost by neměla být používána normálně, zobrazení provozu vyžaduje příliš mnoho prostředků a je použita pouze pro zobrazení výstupu příkazu.
V terminálu vidíme záhlaví provozu detekované Snortem mezi PC, routerem a internetem. Snort také hlásí nedostatek zásad, které by reagovaly na zjištěný provoz.
Pokud chceme, aby Snort zobrazoval data příliš, zadejte:
Chcete-li zobrazit běh záhlaví vrstvy 2:
# odfrknout -v -d -eStejně jako parametr „v“ představuje „e“ také plýtvání zdroji, jeho použití by se mělo při výrobě vyhnout.
Začínáme s režimem protokolování paketů Snort
Abychom mohli uložit Snortovy zprávy, musíme určit Snort adresář protokolu, pokud chceme, aby Snort zobrazoval pouze záhlaví a protokoloval provoz na typu disku:
# mkdir snortlogs# snort -d -l snortlogs
Protokol bude uložen v adresáři snortlogs.
Chcete-li číst soubory protokolu, zadejte:
# snort -d -v -r logfilename.log.xxxxxxx
Začínáme s režimem NIDS (Sniper's Network Intrusion Detection System)
Pomocí následujícího příkazu Snort načte pravidla uvedená v souboru / etc / snort / snort.conf správně filtrovat provoz, vyhnout se přečtení celého provozu a zaměřit se na konkrétní události
odkazoval se na odfrknutí.conf prostřednictvím přizpůsobitelných pravidel.
Parametr „-A console“ instruuje snort, aby upozornil v terminálu.
# snort -d -l snortlog -h 10.0.0.0/24 -A konzole -c odfrknutí.konf
Děkujeme, že jste si přečetli tento úvodní text k používání Snort.