Tartalom
- Miért kell behatolásjelző rendszert felállítani?
- A Snort csomag telepítése
- Oinkmaster kód megszerzése
- Kövesse az alábbi lépéseket az Oinkmaster kód megszerzéséhez:
- Az Oinkmaster kód megadása a Snortban
- A szabályok kézi frissítése
- Interfészek hozzáadása
- Az interfész konfigurálása
- Szabálykategóriák kiválasztása
- Mi a szabálykategóriák célja?
- Hogyan szerezhetek több információt a szabálykategóriákról?
- Népszerű horkolásszabály-kategóriák
- Előkészítő és áramlási beállítások
- Az interfészek elindítása
- Ha a horkolás nem indul el
- Figyelmeztetések keresése
Sam hálózati elemzőként dolgozik egy algoritmikus kereskedő cégnél. Informatikai alapképzését az UMKC-n szerezte.
Miért kell behatolásjelző rendszert felállítani?
Hackerek, vírusok és más fenyegetések folyamatosan vizsgálják a hálózatot, és keresik a bejutás módját. Csak egy feltört gépre van szükség ahhoz, hogy egy egész hálózat veszélybe kerüljön. Ezen okokból azt javaslom, hogy hozzanak létre behatolás-észlelő rendszert, hogy biztonságban tudja tartani rendszereit, és figyelemmel kísérhesse az interneten található különböző fenyegetéseket.
A Snort egy nyílt forráskódú IDS, amely könnyen telepíthető a pfSense tűzfalra, hogy megvédje az otthoni vagy a vállalati hálózatot a behatolóktól. A Snort úgy is konfigurálható, hogy behatolásmegelőző rendszerként (IPS) működjön, ezáltal nagyon rugalmas.
Ebben a cikkben bemutatom a Snort pfSense 2.0 telepítésének és konfigurálásának folyamatát, hogy valós időben elkezdhesse elemezni a forgalmat.
A Snort csomag telepítése
A Snort használatának megkezdéséhez telepítenie kell a csomagot a pfSense csomagkezelő segítségével. A csomagkezelő a pfSense webes GUI rendszermenüjében található.
Keresse meg a Snort elemet a csomagok listáján, majd kattintson a jobb oldalon található plusz szimbólumra a telepítés megkezdéséhez.
Normális, hogy a horkolás telepítése pár percet vesz igénybe, több függőséggel rendelkezik, amelyeket a pfSense-nek először le kell töltenie és telepítenie.
A telepítés befejezése után a Snort megjelenik a szolgáltatások menüben.
A Snort a pfSense csomagkezelővel telepíthető.
Oinkmaster kód megszerzése
Ahhoz, hogy a Snort hasznos legyen, frissíteni kell a legfrissebb szabályokkal. A Snort csomag automatikusan frissítheti ezeket a szabályokat az Ön számára, de először be kell szereznie egy Oinkmaster kódot.
Kétféle Snort-szabályzat áll rendelkezésre:
- Az előfizetői kiadási készlet a legfrissebb elérhető szabályrendszer. A szabályok valós idejű eléréséhez fizetett éves előfizetés szükséges.
- A szabályok másik verziója a regisztrált felhasználói kiadás, amely teljesen ingyenes mindenki számára, aki regisztrál a Snort.org webhelyre.
A két szabálykészlet közötti fő különbség az, hogy a regisztrált felhasználói kiadásban szereplő szabályok 30 nappal elmaradnak az előfizetés szabályaitól. Ha a legfrissebb védelmet akarja, szerezzen be egy előfizetést.
Kövesse az alábbi lépéseket az Oinkmaster kód megszerzéséhez:
- Látogasson el a Snort szabályok weboldalára a szükséges verzió letöltéséhez.
- Kattintson a "Regisztráció fiókhoz" gombra, és hozzon létre egy Snort fiókot.
- Miután megerősítette fiókját, jelentkezzen be a Snort.org webhelyre.
- Kattintson a "Saját fiók" elemre a felső hivatkozási sávon.
- Kattintson az "Előfizetések és Oinkkód" fülre.
- Kattintson az Oinkkódok linkre, majd a "Kód előállítása" gombra.
A kód továbbra is a fiókjában marad, így később szükség esetén megszerezheti. Ezt a kódot a pfSense Snort beállításaiba kell beírni.
A szabályok letöltéséhez a Snort.org oldalról Oinkmaster kód szükséges.
Az Oinkmaster kód megadása a Snortban
Az Oinkcode megszerzése után meg kell adni a Snort csomag beállításaiban. A Snort beállítások oldal megjelenik a webes felület szolgáltatások menüjében. Ha nem látható, ellenőrizze, hogy a csomag telepítve van-e, és szükség esetén telepítse újra.
Az Oink kódot a Snort beállítások globális beállításainak oldalán kell megadni. Szeretném bejelölni a jelölőnégyzetet az Emerging Threat szabályok engedélyezéséhez is. Az ET szabályokat egy nyílt forráskódú közösség tartja fenn, és további szabályokat adhat, amelyek nem feltétlenül találhatók meg a Snort készletben.
Automatikus frissítések
Alapértelmezés szerint a Snort csomag nem frissíti automatikusan a szabályokat. Az ajánlott frissítési intervallum 12 óránként egyszer van, de ezt a környezetének megfelelően módosíthatja.
A módosítások elvégzése után ne felejtse el rákattintani a „mentés” gombra.
A szabályok kézi frissítése
A Snort nem tartalmaz semmilyen szabályt, ezért először manuálisan kell frissítenie őket. A kézi frissítés futtatásához kattintson a frissítések fülre, majd a frissítési szabályok gombra.
A csomag letölti a legfrissebb szabálykészleteket a Snort.org oldalról, és az Emerging fenyegetéseket is, ha ezt a lehetőséget választotta.
A frissítések befejezése után a szabályokat kibontják, és használatra készek.
A Snort első beállításakor manuálisan kell letölteni a szabályokat.
Interfészek hozzáadása
Mielőtt a Snort megkezdené a behatolásérzékelő rendszer működését, hozzá kell rendelnie a felügyelethez szükséges interfészeket. A tipikus konfiguráció az, hogy a Snort figyeli az esetleges WAN-interfészeket. A másik leggyakoribb konfiguráció az, hogy a Snort figyeli a WAN és LAN interfészt.
A LAN-felület figyelése némi láthatóságot nyújthat a hálózaton belül zajló támadásoknak. Nem ritka, hogy a LAN hálózaton lévő PC rosszindulatú programokkal fertőződik meg, és támadásokat indítanak a hálózaton belül és kívül.
Felület hozzáadásához kattintson a Snort felület fülén található plusz szimbólumra.
Az interfész konfigurálása
Az interfész hozzáadása gombra kattintás után megjelenik a felület beállításai oldal.A beállítási oldal rengeteg lehetőséget tartalmaz, de csak néhány dolog miatt kell aggódnia, hogy a dolgok működésbe léphessenek.
- Először jelölje be az engedélyezés négyzetet az oldal tetején.
- Ezután válassza ki a konfigurálni kívánt felületet (ebben a példában először a WAN-t konfigurálom).
- Állítsa a memória teljesítményét AC-BNFA értékre.
- Jelölje be a "Riasztások naplózása az egységesített fájl horkolásához" jelölőnégyzetet, így a barnyard2 működni fog.
- Kattintson a mentés gombra.
Ha fut a multi-wan router, folytathatja és konfigurálhatja a rendszer többi WAN interfészét. Javaslom a LAN interfész hozzáadását is.
Az interfészek elindítása előtt még néhány beállítást kell konfigurálni az egyes interfészekhez. A további beállítások konfigurálásához menjen vissza a Snort interfészek fülre, és kattintson a felület jobb oldalán található „E” szimbólumra. Ez visszaviszi az adott felület konfigurációs oldalára. A felülethez engedélyezendő szabálykategóriák kiválasztásához kattintson a kategóriák fülre. Az összes észlelési szabály kategóriákra oszlik. A feltörekvő fenyegetések szabályait tartalmazó kategóriák „feltöréssel”, a Snort.org szabályai pedig „horkolással” kezdődnek. A kategóriák kiválasztása után kattintson az oldal alján található Mentés gombra. A szabályok kategóriákra bontásával csak azokat a kategóriákat engedélyezheti, amelyek érdeklik. Javaslom néhány általánosabb kategória engedélyezését. Ha meghatározott szolgáltatásokat futtat a hálózatán, például web- vagy adatbázis-kiszolgálót, akkor engedélyeznie kell a hozzájuk tartozó kategóriákat is. Fontos megjegyezni, hogy a Snort minden rendszer bekapcsolásakor több rendszererőforrást igényel. Ez szintén növelheti a hamis pozitív eredmények számát. Általában a legjobb, ha csak a szükséges csoportokat kapcsolja be, de bátran kísérletezzen a kategóriákkal, és nézze meg, mi működik a legjobban.Szabálykategóriák kiválasztása
Mi a szabálykategóriák célja?
Hogyan szerezhetek több információt a szabálykategóriákról?
Ha meg szeretné tudni, hogy egy adott kategória mely szabályai vannak, és többet szeretne megtudni arról, hogy mit csinálnak, akkor kattintson a kategóriára. Ez közvetlenül a kategória összes szabályának listájához kapcsolja.
Népszerű horkolásszabály-kategóriák
| kategória név | Leírás |
|---|---|
snort_botnet-cnc.rules | Az ismert botnet parancs- és vezérlő gazdagépeket célozza meg. |
snort_ddos.szabályok | Szolgáltatásmegtagadási támadásokat észlel. |
snort_scan.szabályok | Ezek a szabályok észlelik a portellenőrzéseket, a Nessus-szondákat és más információgyűjtő támadásokat. |
snort_vírus.szabályok | Felismeri az ismert trójaiak, vírusok és férgek aláírását. Nagyon ajánlott ennek a kategóriának a használata. |
Előkészítő és áramlási beállítások
Az előfeldolgozók beállításainak oldalán van néhány beállítás, amelyet engedélyezni kell. Sok észlelési szabály megköveteli a HTTP-ellenőrzés engedélyezését a működésükhöz.
- A HTTP-ellenőrzési beállítások alatt engedélyezze a „HTTP-ellenőrzés használata a normalizáláshoz / dekódoláshoz” lehetőséget.
- Az általános előfeldolgozó beállításai részben engedélyezze a „Portkeresés észlelése” lehetőséget
- Mentse a beállításokat.
Az interfészek elindítása
Ha új felületet ad a Snorthoz, akkor az nem indul el automatikusan. Az interfészek kézi indításához kattintson a konfigurált interfészek bal oldalán található zöld lejátszás gombra.
Amikor a Snort fut, a felület neve mögött zöld színnel jelenik meg a szöveg. A Snort leállításához kattintson a kezelőfelület bal oldalán található piros stop gombra.
Van néhány közös probléma, amely megakadályozhatja a Snort elindulását.
Ha a horkolás nem indul el
Figyelmeztetések keresése
A Snort sikeres konfigurálása és elindítása után el kell kezdenie látni a riasztásokat, miután a szabályoknak megfelelő forgalmat észlelték.
Ha nem lát riasztásokat, adjon neki egy kis időt, majd ellenőrizze újra. A forgalom mennyiségétől és az engedélyezett szabályoktól függően eltarthat egy ideig, mire riasztásokat lát.
Ha távolról szeretné megtekinteni a riasztásokat, engedélyezheti az "Értesítések küldése a fő rendszernaplókba" felület beállítást. A rendszernaplókban megjelenő riasztások lehetnek távolról megtekinthető a Syslog használatával.
Ez a cikk pontos és a szerző legjobb tudása szerint hű. A tartalom csak tájékoztató vagy szórakoztató célokat szolgál, és nem helyettesíti a személyes vagy üzleti tanácsokat üzleti, pénzügyi, jogi vagy technikai kérdésekben.
