Šňupat

Nainstalujte si Snort Intrusion Detection System Ubuntu

Nainstalujte si Snort Intrusion Detection System Ubuntu

Po nastavení libovolného serveru mezi první obvyklé kroky spojené se zabezpečením patří brána firewall, aktualizace a upgrady, klíče ssh, hardwarová zařízení. Ale většina sysadminů neskenuje své vlastní servery, aby objevili slabá místa, jak je vysvětleno v OpenVas nebo Nessus, ani nenastavují honeypoty nebo systém detekce narušení (IDS), který je vysvětlen níže.

Na trhu existuje několik IDS a nejlepší jsou zdarma, Snort je nejoblíbenější, znám pouze Snort a OSSEC a dávám přednost OSSEC před Snortem, protože jí méně zdrojů, ale myslím, že Snort je stále univerzální. Další možnosti jsou: Suricata, Bro IDS, Security Onion.

Nej oficiálnější výzkum efektivity IDS je docela starý, z roku 1998, téhož roku, kdy byl původně vyvinut Snort, a byl proveden DARPA, dospěl k závěru, že takové systémy byly před moderními útoky k ničemu. Po 2 desetiletích se IT vyvinuly s geometrickým vývojem, zabezpečení také a vše je téměř aktuální, přijetí IDS je užitečné pro každého správce.

Odfrknout IDS

Snort IDS funguje ve 3 různých režimech, jako sniffer, jako logger paketů a systém detekce vniknutí do sítě.  Poslední z nich je nejuniverzálnější, na který je tento článek zaměřen.

Instalace Snort

apt-get install libpcap-dev bison flex

Pak spustíme:

apt-get install snort

V mém případě je software již nainstalován, ale nebyl ve výchozím nastavení, tak byl nainstalován na Kali (Debian).


Začínáme s Snortovým režimem Sniffer

Režim čichače čte provoz v síti a zobrazuje překlad pro lidského diváka.
Chcete-li jej otestovat, zadejte:

# odfrknout -v

Tato možnost by neměla být používána normálně, zobrazení provozu vyžaduje příliš mnoho prostředků a je použita pouze pro zobrazení výstupu příkazu.


V terminálu vidíme záhlaví provozu detekované Snortem mezi PC, routerem a internetem. Snort také hlásí nedostatek zásad, které by reagovaly na zjištěný provoz.
Pokud chceme, aby Snort zobrazoval data příliš, zadejte:

# snort -vd

Chcete-li zobrazit běh záhlaví vrstvy 2:

# odfrknout -v -d -e

Stejně jako parametr „v“ představuje „e“ také plýtvání zdroji, jeho použití by se mělo při výrobě vyhnout.


Začínáme s režimem protokolování paketů Snort

Abychom mohli uložit Snortovy zprávy, musíme určit Snort adresář protokolu, pokud chceme, aby Snort zobrazoval pouze záhlaví a protokoloval provoz na typu disku:

# mkdir snortlogs
# snort -d -l snortlogs

Protokol bude uložen v adresáři snortlogs.

Chcete-li číst soubory protokolu, zadejte:

# snort -d -v -r logfilename.log.xxxxxxx


Začínáme s režimem NIDS (Sniper's Network Intrusion Detection System)

Pomocí následujícího příkazu Snort načte pravidla uvedená v souboru / etc / snort / snort.conf správně filtrovat provoz, vyhnout se přečtení celého provozu a zaměřit se na konkrétní události
odkazoval se na odfrknutí.conf prostřednictvím přizpůsobitelných pravidel.

Parametr „-A console“ instruuje snort, aby upozornil v terminálu.

# snort -d -l snortlog -h 10.0.0.0/24 -A konzole -c odfrknutí.konf

Děkujeme, že jste si přečetli tento úvodní text k používání Snort.

Hry Jak vyvíjet hru na Linuxu
Jak vyvíjet hru na Linuxu
Před deseti lety by jen málo uživatelů Linuxu předpovídalo, že jejich oblíbený operační systém bude jednoho dne populární herní platformou pro komerčn...
Hry Porty komerčních her s otevřeným zdrojovým kódem
Porty komerčních her s otevřeným zdrojovým kódem
Zdarma, s otevřeným zdrojovým kódem a multiplatformní herní enginy lze hrát staré i některé z poměrně nedávných herních titulů. Tento článek uvede sez...
Hry Nejlepší hry z příkazového řádku pro Linux
Nejlepší hry z příkazového řádku pro Linux
Příkazový řádek není při používání Linuxu jen vaším největším spojencem - může být také zdrojem zábavy, protože jej můžete použít k hraní mnoha zábavn...