Sadržaj
- Zašto postaviti sustav za otkrivanje provala?
- Instaliranje paketa Snort
- Dobivanje Oinkmasterovog koda
- Slijedite korake u nastavku za dobivanje vašeg Oinkmaster koda:
- Unos Oinkmaster koda u Snort
- Ručno ažuriranje pravila
- Dodavanje sučelja
- Konfiguriranje sučelja
- Odabir kategorija pravila
- Koja je svrha kategorija pravila?
- Kako mogu dobiti više informacija o kategorijama pravila?
- Popularne kategorije pravila hrkanja
- Postavke pretprocesora i protoka
- Pokretanje sučelja
- Ako Snort ne uspije započeti
- Provjera upozorenja
Sam radi kao mrežni analitičar u tvrtki za algoritamsko trgovanje. Diplomirao je informacijsku tehnologiju na UMKC-u.
Zašto postaviti sustav za otkrivanje provala?
Hakeri, virusi i druge prijetnje neprestano istražuju vašu mrežu i traže način da uđu. Potreban je samo jedan hakirani stroj da bi cijela mreža bila ugrožena. Iz tih razloga preporučujem postavljanje sustava za otkrivanje upada kako biste mogli zaštititi svoje sustave i nadgledati razne prijetnje na Internetu.
Snort je ID otvorenog koda koji se lako može instalirati na pfSense vatrozid kako bi zaštitio kućnu ili poslovnu mrežu od uljeza. Snort se također može konfigurirati da funkcionira kao sustav za sprječavanje upada (IPS), što ga čini vrlo fleksibilnim.
U ovom članku provest ću vas kroz postupak instaliranja i konfiguriranja Snorta na pfSense 2.0 kako biste mogli početi analizirati promet u stvarnom vremenu.
Instaliranje paketa Snort
Da biste započeli sa Snort, morat ćete instalirati paket pomoću upravitelja paketa pfSense. Upravitelj paketa nalazi se u sistemskom izborniku pfSense web GUI-a.
Pronađite Snort s popisa paketa, a zatim kliknite simbol plus s desne strane da biste započeli instalaciju.
Normalno je da snort-u treba nekoliko minuta da se instalira, ima nekoliko ovisnosti koje pfSense prvo mora preuzeti i instalirati.
Nakon završetka instalacije Snort će se pojaviti u izborniku usluga.
Snort se može instalirati pomoću upravitelja paketa pfSense.
Dobivanje Oinkmasterovog koda
Da bi Snort bio koristan, treba ga ažurirati najnovijim skupom pravila. Paket Snort može automatski ažurirati ova pravila za vas, ali prvo morate dobiti Oinkmaster kôd.
Dostupna su dva različita skupa pravila hrkanja:
- Skup izdanja za pretplatnike najsuvremeniji je skup dostupnih pravila. Za pristup tim pravilima u stvarnom vremenu potrebna je plaćena godišnja pretplata.
- Druga verzija pravila je izdanje za registrirane korisnike koje je potpuno besplatno za sve koji se registriraju na web mjestu Snort.org.
Glavna razlika između dva skupa pravila je ta da pravila u izdanju registriranog korisnika zaostaju 30 dana za pravilima pretplate. Ako želite najsuvremeniju zaštitu, trebali biste dobiti pretplatu.
Slijedite korake u nastavku za dobivanje vašeg Oinkmaster koda:
- Posjetite web stranicu Snort rules da biste preuzeli potrebnu verziju.
- Kliknite "Prijavi se za račun" i stvorite račun za hrkanje.
- Nakon što potvrdite svoj račun, prijavite se na Snort.org.
- Kliknite "Moj račun" na gornjoj traci s vezama.
- Kliknite karticu 'Pretplate i oinkcode'.
- Kliknite vezu Oinkcodes, a zatim kliknite "Generiraj kod".
Kôd će ostati pohranjen na vašem računu, tako da ga možete dobiti kasnije ako je potrebno. Ovaj će kôd trebati unijeti u postavke Snort u pfSense.
Za preuzimanje pravila sa Snort.org potreban je Oinkmaster kôd.
Unos Oinkmaster koda u Snort
Nakon dobivanja Oinkcode-a, mora se unijeti u postavke paketa Snort. Stranica s postavkama Snort pojavit će se u izborniku usluga web sučelja. Ako nije vidljiv, provjerite je li paket instaliran i po potrebi ga ponovo instalirajte.
Oinkcode se mora unijeti na stranici globalnih postavki postavki Snort. Također želim označiti okvir kako bih omogućio i pravila o nadolazećim prijetnjama. ET pravila održava zajednica otvorenog koda i mogu pružiti neka dodatna pravila koja se možda neće naći u skupu Snort.
Automatsko ažuriranje
Prema zadanim postavkama, paket Snort neće automatski ažurirati pravila. Preporučeni interval ažuriranja je jednom u 12 sati, ali to možete promijeniti u skladu sa svojim okruženjem.
Ne zaboravite kliknuti gumb "spremi" nakon što završite s promjenama.
Ručno ažuriranje pravila
Snort ne sadrži pravila, pa ćete ih morati ručno ažurirati prvi put. Da biste pokrenuli ručno ažuriranje, kliknite karticu ažuriranja, a zatim kliknite gumb pravila ažuriranja.
Paket će preuzeti najnovije skupove pravila sa Snort.org, kao i nove prijetnje ako ste odabrali tu opciju.
Nakon završetka ažuriranja, pravila će se izdvojiti i spremna su za upotrebu.
Pravila se moraju ručno preuzeti pri prvom postavljanju Snort-a.
Dodavanje sučelja
Prije nego što Snort počne funkcionirati kao sustav za otkrivanje upada, morate mu dodijeliti sučelja za nadzor. Tipična konfiguracija je da Snort nadgleda bilo koja WAN sučelja. Druga najčešća konfiguracija je da Snort nadgleda WAN i LAN sučelje.
Nadgledanje LAN sučelja može pružiti određenu vidljivost napada koji se događaju unutar vaše mreže. Nerijetko se dogodi da se računalo u LAN mreži zarazi zlonamjernim softverom i započne s napadima na sustave unutar i izvan mreže.
Da biste dodali sučelje, kliknite simbol plus koji se nalazi na kartici Snort interface.
Konfiguriranje sučelja
Nakon što kliknete gumb za dodavanje sučelja, vidjet ćete stranicu s postavkama sučelja.Stranica s postavkama sadrži puno opcija, ali postoji samo nekoliko oko kojih se stvarno trebate brinuti da biste pokrenuli stvari.
- Prvo označite potvrdni okvir na vrhu stranice.
- Zatim odaberite sučelje koje želite konfigurirati (u ovom primjeru prvo konfiguriram WAN).
- Postavite memorijske performanse na AC-BNFA.
- Označite okvir "Prijavite upozorenja da se frkne unified2 datoteka" kako bi barnyard2 funkcionirao.
- Kliknite Spremi.
Ako koristite a multi-wan usmjerivač, možete nastaviti i konfigurirati ostala WAN sučelja na vašem sustavu. Također preporučujem dodavanje LAN sučelja.
Prije nego započnete sučelja, postoji još nekoliko postavki koje je potrebno konfigurirati za svako sučelje. Da biste konfigurirali dodatne postavke, vratite se na karticu Snort sučelja i kliknite simbol 'E' na desnoj strani stranice pored sučelja. To će vas vratiti na stranicu s konfiguracijom za to određeno sučelje. Da biste odabrali kategorije pravila koja bi trebala biti omogućena za sučelje, kliknite karticu kategorija. Sva su pravila otkrivanja podijeljena u kategorije. Kategorije koje sadrže pravila iz prijetnji u nastajanju započet će s "u nastajanju", a pravila sa Snort.org počinju s "snort". Nakon odabira kategorija, kliknite gumb Spremi na dnu stranice. Podjelom pravila u kategorije možete omogućiti samo određene kategorije koje vas zanimaju. Preporučujem da omogućite neke općenitije kategorije. Ako na svojoj mreži izvodite određene usluge, poput weba ili poslužitelja baze podataka, trebali biste omogućiti i kategorije koje se odnose na njih. Važno je zapamtiti da će Snort zahtijevati više sistemskih resursa svaki put kad se uključi dodatna kategorija. To također može povećati broj lažno pozitivnih rezultata. Općenito, najbolje je uključiti samo one grupe koje su vam potrebne, ali slobodno eksperimentirajte s kategorijama i pogledajte što najbolje odgovara.Odabir kategorija pravila
Koja je svrha kategorija pravila?
Kako mogu dobiti više informacija o kategorijama pravila?
Ako želite saznati koja su pravila u kategoriji i naučiti više o tome što rade, tada možete kliknuti na kategoriju. To će vas izravno povezati s popisom svih pravila u kategoriji.
Popularne kategorije pravila hrkanja
ime kategorije | Opis |
---|---|
snort_botnet-cnc.rules | Cilja poznate botnet naredbene i upravljačke hostove. |
snort_ddos.rules | Otkriva napade uskraćivanja usluge. |
snort_scan.rules | Ta pravila otkrivaju skeniranje luka, Nessusove sonde i druge napade prikupljanja informacija. |
snort_virus.rules | Otkriva potpise poznatih trojanaca, virusa i crva. Preporučuje se upotreba ove kategorije. |
Postavke pretprocesora i protoka
Na stranici postavki pretprocesora postoji nekoliko postavki koje bi trebale biti omogućene. Mnoga pravila otkrivanja zahtijevaju omogućavanje HTTP pregleda kako bi mogli raditi.
- Pod postavkama HTTP inspekcije omogućite "Koristi HTTP inspekciju za normalizaciju / dekodiranje"
- U odjeljku općih postavki pretprocesora omogućite 'Otkrivanje portscan-a'
- Spremite postavke.
Pokretanje sučelja
Kada se novo sučelje doda u Snort, ono se neće automatski pokrenuti. Da biste ručno pokrenuli sučelja, kliknite zeleni gumb za reprodukciju na lijevoj strani svakog konfiguriranog sučelja.
Kada je Snort pokrenut, tekst iza naziva sučelja pojavit će se zeleno. Da biste zaustavili Snort, kliknite crveni gumb za zaustavljanje koji se nalazi na lijevoj strani sučelja.
Postoji nekoliko uobičajenih problema koji mogu spriječiti Snort da se pokrene.Ako Snort ne uspije započeti
Provjera upozorenja
Nakon što je Snort uspješno konfiguriran i pokrenut, trebali biste početi prikazivati upozorenja nakon što se otkrije promet koji se podudara s pravilima.
Ako ne vidite upozorenja, odvojite malo vremena, a zatim ponovno provjerite. Može proći neko vrijeme prije nego što vidite bilo kakva upozorenja, ovisno o količini prometa i pravilima koja su omogućena.
Ako upozorenja želite pregledati na daljinu, možete omogućiti postavku sučelja "Šalji upozorenja u glavne zapisnike sustava". Upozorenja koja se pojavljuju u sistemskim zapisnicima mogu biti pregledani na daljinu pomoću Sysloga.
Ovaj je članak točan i vjeran prema autorskom znanju. Sadržaj je samo u informativne ili zabavne svrhe i ne zamjenjuje osobne savjete ili profesionalne savjete u poslovnim, financijskim, pravnim ili tehničkim pitanjima.