snuiven

Snort IDS configureren en regels maken

Snort IDS configureren en regels maken
Snort is een open source inbraakdetectiesysteem dat u op uw Linux-systemen kunt gebruiken.  Deze tutorial gaat over de basisconfiguratie van Snort IDS en leert je hoe je regels kunt maken om verschillende soorten activiteiten op het systeem te detecteren.

Voor deze tutorial is het netwerk dat we zullen gebruiken: 10.0.0.0/24.  Bewerk je /etc/snort/snort.conf en vervang de "any" naast $HOME_NET door uw netwerkinformatie zoals weergegeven in de voorbeeldschermafbeelding hieronder:

Als alternatief kunt u ook specifieke IP-adressen definiëren om te bewaken, gescheiden door een komma tussen [ ], zoals weergegeven in deze schermafbeelding:

Laten we nu aan de slag gaan en deze opdracht uitvoeren op de opdrachtregel:

# snort -d -l /var/log/snort/ -h 10.0.0.0/24 -A console -c /etc/snort/snort.conf

Waar:
d= vertelt snuiven om gegevens te tonen
l= bepaalt de logboekmap
h= specificeert het te bewaken netwerk
A= instrueert snort om waarschuwingen in de console af te drukken
c= specificeert Snort het configuratiebestand

Laten we een snelle scan starten vanaf een ander apparaat met nmap:

En laten we eens kijken wat er gebeurt in de snort-console:

Snort heeft de scan gedetecteerd, nu ook vanaf een ander apparaat laat aanvallen met DoS met hping3

# hping3 -c 10000 -d 120 -S -w 64 -p 21 --flood --rand-source 10.0.0.3

Het apparaat dat Snort weergeeft, detecteert slecht verkeer, zoals hier wordt weergegeven:

Omdat we Snort opdracht hebben gegeven om logs op te slaan, kunnen we ze lezen door het volgende uit te voeren:

# snuiven -r

Inleiding tot Snort-regels

De NIDS-modus van Snort werkt op basis van regels die zijn gespecificeerd in de /etc/snort/snort.conf bestand.

Binnen het gesnuif.conf-bestand kunnen we regels met en zonder commentaar vinden, zoals je hieronder kunt zien:

Het regelpad is normaal gesproken /etc/snort/rules , daar kunnen we de regelbestanden vinden:

Laten we eens kijken naar de regels tegen achterdeurtjes:

Er zijn verschillende regels om achterdeuraanvallen te voorkomen, verrassend genoeg is er een regel tegen NetBus, een trojaans paard dat een paar decennia geleden populair werd, laten we ernaar kijken en ik zal de onderdelen uitleggen en hoe het werkt:

waarschuwing tcp $HOME_NET 20034 -> $EXTERNAL_NET elk (bericht:"BACKDOOR NetBus Pro 2.0 verbinding
vastgesteld"; flow:from_server,gevestigd;
flowbits:isset,achterdeur.netbus_2.aansluiten; inhoud:"BN|10 00 02 00|"; diepte:6; inhoud:"|
05 00|"; depth:2; offset:8; classtype:misc-activity; sid:115; rev:9;)

Deze regel instrueert snort om te waarschuwen voor TCP-verbindingen op poort 20034 die naar elke bron in een extern netwerk verzenden.

-> = specificeert de verkeersrichting, in dit geval van ons beveiligde netwerk naar een extern netwerk

bericht =  geeft de waarschuwing de opdracht om een ​​specifiek bericht op te nemen bij weergave

inhoud = zoeken naar specifieke inhoud binnen het pakket. Het kan tekst bevatten indien tussen “ “ of binaire gegevens indien tussen | |
diepte = Analyse-intensiteit, in de bovenstaande regel zien we twee verschillende parameters voor twee verschillende inhoud
offset = vertelt Snort de startbyte van elk pakket om te beginnen met zoeken naar de inhoud
klassetype = vertelt over wat voor soort aanval Snort waarschuwt

sid: 115 = regel-ID

Onze eigen regel maken

Nu gaan we een nieuwe regel maken om te informeren over inkomende SSH-verbindingen.  Open /etc/snort/rules/yourrule.reglement, en binnen plak de volgende tekst:

waarschuwing tcp $EXTERNAL_NET willekeurig -> $HOME_NET 22 (bericht:"SSH inkomend";
stroom:staatloos; vlaggen:S+; sid:100006927; rev:1 ;)

We vertellen Snort om te waarschuwen voor elke tcp-verbinding van een externe bron naar onze ssh-poort (in dit geval de standaardpoort) inclusief het sms-bericht "SSH INCOMING", waarbij stateless Snort instrueert om de status van de verbinding te negeren.

Nu moeten we de regel die we hebben gemaakt toevoegen aan onze /etc/snuiven/snuiven.conf het dossier. Open het configuratiebestand in een editor en zoek naar #7, wat is de sectie met regels. Voeg een regel zonder commentaar toe zoals in de afbeelding hierboven door toe te voegen:

inclusief $RULE_PATH/jouwregel.reglement

In plaats van "jouw regel".regels", stel je bestandsnaam in, in mijn geval was het test3.reglement.

Als het klaar is, voer je Snort opnieuw uit en kijk je wat er gebeurt.

#snort -d -l /var/log/snort/ -h 10.0.0.0/24 -A console -c /etc/snort/snort.conf

ssh naar uw apparaat vanaf een ander apparaat en kijk wat er gebeurt:

U kunt zien dat SSH-inkomende is gedetecteerd.

Met deze les hoop ik dat je weet hoe je basisregels kunt maken en deze kunt gebruiken voor het detecteren van activiteit op een systeem.  Zie ook een tutorial over hoe Setup Snort en ermee aan de slag gaat en dezelfde tutorial die beschikbaar is in het Spaans bij Linux.latijns.

Spellen Installeer de nieuwste Dolphin Emulator voor Gamecube & Wii op Linux
Installeer de nieuwste Dolphin Emulator voor Gamecube & Wii op Linux
Met de Dolphin Emulator kun je de door jou gekozen Gamecube- en Wii-spellen spelen op Linux Personal Computers (pc). Omdat het een vrij beschikbare e...
Spellen Hoe de GameConqueror Cheat Engine in Linux te gebruiken
Hoe de GameConqueror Cheat Engine in Linux te gebruiken
Het artikel bevat een handleiding over het gebruik van de GameConqueror cheat-engine in Linux. Veel gebruikers die games op Windows spelen, gebruiken ...
Spellen Beste gameconsole-emulators voor Linux
Beste gameconsole-emulators voor Linux
Dit artikel bevat een lijst van populaire emulatiesoftware voor gameconsoles die beschikbaar is voor Linux. Emulatie is een softwarecompatibiliteitsla...