Internet

Si të konfiguroni zbulimin e ndërhyrjeve duke përdorur Snort në pfSense 2.0

Autor: Peter Berry
Data E Krijimit: 18 Korrik 2021
Datën E Azhurnimit: 10 Mund 2024
Anonim
Si të konfiguroni zbulimin e ndërhyrjeve duke përdorur Snort në pfSense 2.0 - Internet
Si të konfiguroni zbulimin e ndërhyrjeve duke përdorur Snort në pfSense 2.0 - Internet

Përmbajtje

Sam punon si një analist i rrjetit për një firmë tregtare algoritmike. Ai mori diplomën e tij bachelor në teknologji informacioni nga UMKC.

Pse të vendosni një sistem të zbulimit të ndërhyrjeve?

Hakerat, viruset dhe kërcënimet e tjera po hetojnë vazhdimisht rrjetin tuaj, duke kërkuar një mënyrë për t'u futur. Duhet vetëm një makinë e hakuar që një rrjet i tërë të komprometohet. Për këto arsye, unë rekomandoj që të vendosni një sistem të zbulimit të ndërhyrjeve në mënyrë që të mbani sistemet tuaja të sigurta dhe të monitoroni kërcënimet e ndryshme në Internet.

Snort është një IDS me burim të hapur që mund të instalohet lehtësisht në një firewall të pfSense për të mbrojtur një shtëpi ose rrjet të korporatës nga ndërhyrësit. Snort gjithashtu mund të konfigurohet të funksionojë si një sistem parandalimi i ndërhyrjeve (IPS), duke e bërë atë shumë fleksibël.


Në këtë artikull, unë do t'ju ndjek gjatë procesit të instalimit dhe konfigurimit të Snort në pfSense 2.0 në mënyrë që të filloni të analizoni trafikun në kohë reale.

Instalimi i Paketës Snort

Për të filluar me Snort do të duhet të instaloni paketën duke përdorur menaxherin e paketës pfSense. Menaxheri i paketës është i vendosur në menunë e sistemit të GUI të internetit pfSense.

Gjeni Snort nga lista e paketave dhe më pas klikoni në simbolin plus në anën e djathtë për të filluar instalimin.

Normalshtë normale që gërhitja të marrë disa minuta për t'u instaluar, ka disa varësi të cilat pfSense duhet së pari t'i shkarkojë dhe instalojë.

Pas përfundimit të instalimit, Snort do të shfaqet në menunë e shërbimeve.

Gërhitja mund të instalohet duke përdorur menaxherin e paketës pfSense.

Marrja e një Kodi Oinkmaster

Që Snort të jetë i dobishëm, duhet të azhurnohet me rregullat më të fundit. Paketa Snort mund të azhurnojë automatikisht këto rregulla për ju, por së pari duhet të merrni një kod të Oinkmaster.

Ekzistojnë dy grupe të ndryshme të rregullave të Snort:

  • Grupi i lëshimit të pajtimtarit është grupi më i azhurnuar i rregullave në dispozicion. Aksesi në kohë reale në këto rregulla kërkon një pajtim vjetor të paguar.
  • Versioni tjetër i rregullave është lëshimi i regjistruar i përdoruesit, i cili është plotësisht falas për këdo që regjistrohet në faqen e Snort.org.

Dallimi kryesor midis dy grupeve të rregullave është se rregullat në lëshimin e përdoruesit të regjistruar janë 30 ditë prapa rregullave të pajtimit. Nëse doni mbrojtjen më të azhurnuar, duhet të merrni një pajtim.

Ndiqni hapat më poshtë për të marrë kodin tuaj të Oinkmaster:

  1. Vizitoni faqen e rregullave Snort për të shkarkuar versionin që ju nevojitet.
  2. Klikoni në 'Regjistrohuni për një llogari' dhe krijoni një llogari Snort.
  3. Pasi të keni konfirmuar llogarinë tuaj, hyni në Snort.org.
  4. Klikoni në 'Llogaria ime' në shiritin e sipërm të lidhjes.
  5. Klikoni në skedën 'Abonimet dhe Oinkcode'.
  6. Klikoni në lidhjen Oinkcodes dhe pastaj klikoni 'Generate code'.

Kodi do të mbetet i ruajtur në llogarinë tuaj, kështu që mund ta merrni më vonë nëse është e nevojshme. Ky kod do të duhet të futet në cilësimet e Snort në pfSense.


Kërkohet një kod Oinkmaster për të shkarkuar rregullat nga Snort.org.

Hyrja në Kodin Oinkmaster në Snort

Pas marrjes së Kodit Oink, ai duhet të futet në cilësimet e paketës Snort. Faqja e cilësimeve të Snort do të shfaqet në menunë e shërbimeve të ndërfaqes në internet. Nëse nuk është e dukshme, sigurohuni që paketa është e instaluar dhe riinstaloni paketën nëse është e nevojshme.

Kodi Oink duhet të futet në faqen e cilësimeve globale të cilësimeve të Snort. Më pëlqen gjithashtu të zgjedh kutinë për të mundësuar rregullat e Kërcënimeve në zhvillim, gjithashtu. Rregullat e EE mirëmbahen nga një komunitet me burim të hapur dhe mund të ofrojnë disa rregulla shtesë që mund të mos gjenden në grupin Snort.

Përditësimet automatike

Si parazgjedhje, paketa Snort nuk do të azhurnojë rregullat automatikisht. Intervali i rekomanduar i azhurnimit është një herë në 12 orë, por ju mund ta ndryshoni këtë në përputhje me mjedisin tuaj.

Mos harroni të klikoni në butonin 'ruaj' pasi të keni mbaruar bërë ndryshimet.

Përditësimi manual i rregullave

Snort nuk ka ndonjë rregull, kështu që do të duhet t'i azhurnoni manualisht herën e parë. Për të ekzekutuar azhurnimin manual, klikoni në skedën më të reja dhe më pas klikoni në butonin e rregullave të azhurnimit.

Paketa do të shkarkojë rregullat më të fundit nga Snort.org dhe gjithashtu Emerging Threats nëse e keni të zgjedhur atë opsion.

Pasi të kenë mbaruar azhurnimet, rregullat do të nxirren dhe më pas janë gati për përdorim.

Rregullat duhet të shkarkohen manualisht herën e parë që vendoset Snort.

Shtimi i ndërfaqeve

Para se Snort të fillojë të funksionojë si një sistem i zbulimit të ndërhyrjeve, duhet të caktoni ndërfaqe që ai të monitorojë. Konfigurimi tipik është që Snort të monitorojë çdo ndërfaqe WAN. Konfigurimi tjetër më i zakonshëm është që Snort të monitorojë ndërfaqen WAN dhe LAN.

Monitorimi i ndërfaqes LAN mund të sigurojë një farë dukshmërie ndaj sulmeve që ndodhin nga brenda rrjetit tuaj. Nuk është e pazakontë që një PC në rrjetin LAN të infektohet me malware dhe të fillojë sulmet ndaj sistemeve brenda dhe jashtë rrjetit.

Për të shtuar një ndërfaqe, klikoni në simbolin plus që gjendet në skedën e ndërfaqes Snort.

Konfigurimi i ndërfaqes

Pasi të klikoni në butonin add interface, do të shihni faqen e cilësimeve të ndërfaqes.Faqja e cilësimeve përmban shumë opsione, por ka vetëm disa për të cilat duhet të shqetësoheni vërtet për të ngritur gjërat.

  1. Së pari, kontrolloni kutinë e aktivizimit në krye të faqes.
  2. Tjetra, zgjidhni ndërfaqen që dëshironi të konfiguroni (në këtë shembull unë jam duke konfiguruar WAN së pari).
  3. Vendosni performancën e kujtesës në AC-BNFA.
  4. Kontrolloni kutinë "Log Alerts për të gërhij skedarin unified2" kështu që barnyard2 do të funksionojë.
  5. Kliko ruaj.

Nëse jeni duke ekzekutuar një router multi-wan, mund të shkoni përpara dhe të konfiguroni ndërfaqet e tjera WAN në sistemin tuaj. Unë gjithashtu rekomandoj që të shtoni ndërfaqen LAN.

Përzgjedhja e kategorive të rregullave

Para se të filloni ndërfaqet, ka edhe disa cilësime të tjera që duhet të konfigurohen për secilën ndërfaqe. Për të konfiguruar cilësimet shtesë, kthehuni te skeda e ndërfaqeve Snort dhe klikoni në simbolin 'E' në anën e djathtë të faqes pranë ndërfaqes. Kjo do t'ju kthejë në faqen e konfigurimit për atë ndërfaqe të veçantë.

Për të zgjedhur kategoritë e rregullave që duhet të aktivizohen për ndërfaqen, klikoni në skedën e kategorive. Të gjithë rregullat e zbulimit ndahen në kategori. Kategoritë që përmbajnë rregulla nga Kërcënimet në Shfaqje do të fillojnë me 'shfaqje', dhe rregullat nga Snort.org fillojnë me 'gërhitje'.

Pasi të keni zgjedhur kategoritë, klikoni në butonin e ruajtjes në fund të faqes.

Cili është qëllimi i kategorive të rregullave?

Duke i ndarë rregullat në kategori, ju mund të aktivizoni vetëm kategoritë e veçanta për të cilat interesoheni. Unë rekomandoj të mundësoni disa nga kategoritë më të përgjithshme. Nëse po përdorni shërbime specifike në rrjetin tuaj siç është një server në internet ose bazë e të dhënave, atëherë duhet të aktivizoni kategori që u përkasin atyre gjithashtu.

Importantshtë e rëndësishme të mbani mend se Snort do të kërkojë më shumë burime të sistemit sa herë që aktivizohet një kategori shtesë. Kjo gjithashtu mund të rrisë numrin e pozitiveve false, gjithashtu. Në përgjithësi, është më mirë të aktivizoni vetëm grupet që ju nevojiten, por mos ngurroni të eksperimentoni me kategoritë dhe të shihni se çfarë funksionon më mirë.

Si mund të marr më shumë informacion rreth kategorive të rregullave?

Nëse doni të zbuloni se cilat rregulla janë në një kategori dhe të mësoni më shumë për atë që bëjnë, atëherë mund të klikoni në kategori. Kjo do t'ju lidhë drejtpërdrejt me listën e të gjitha rregullave brenda kategorisë.

Kategoritë popullore të rregullave të gërhitës

Këto janë disa nga kategoritë më të njohura të rregullave Snort që mund të dëshironi të aktivizoni.

Emri i kategorisëPërshkrim

snort_botnet-cnc.rregullat

Synon hostët e njohur të komandës dhe kontrollit botnet.

snort_ddos.rregullat

Detekton sulmet e mohimit të shërbimit.

snort_scan.rregulloret

Këto rregulla zbulojnë skanimet e porteve, sondat Nessus dhe sulme të tjera për mbledhjen e informacionit.

snort_virus.rregulloret

Detekton nënshkrimet e trojanëve të njohur, viruseve dhe krimbave. Rekomandohet shumë që të përdoret kjo kategori.

Paraprocesori dhe Cilësimet e Rrjedhës

Ka disa cilësime në faqen e cilësimeve të paraprocesorëve që duhet të aktivizohen. Shumë nga rregullat e zbulimit kërkojnë që HTTP inspektimi të jetë i aktivizuar në mënyrë që ato të funksionojnë.

  1. Nën cilësimet e inspektimit HTTP, aktivizoni 'Përdorni HTTP Inspect për Normalizimin / Dekodimin'
  2. Në seksionin e përgjithshëm të cilësimeve të paraprocesorit, aktivizoni 'Portscan Detection'
  3. Ruani cilësimet.

Fillimi i ndërfaqeve

Kur një ndërfaqe e re i shtohet Snort, ajo nuk fillon automatikisht të funksionojë. Për të filluar manualisht ndërfaqet, klikoni në butonin e gjelbër të lojës në anën e majtë të secilës ndërfaqe që është konfiguruar.

Kur Snort po ekzekutohet, teksti pas emrit të ndërfaqes do të shfaqet me jeshile. Për të ndaluar Snort, klikoni në butonin e kuq të ndaluar që ndodhet në anën e majtë të ndërfaqes.

Nëse Gërhitja Dështon të Fillojë

Ekzistojnë disa probleme të zakonshme që mund të parandalojnë fillimin e Snort.

  • Kontrolloni rregullat: Për të verifikuar instalimin e rregullave, klikoni në skedën më të reja dhe kërkoni një hash nën seksionin e vendosur të rregullave të nënshkrimit. Ju duhet të shihni diçka si SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70."
  • Cilësimet e paraprocesorit: Disa nga rregullat kërkojnë që opsioni i inspektimit HTTP të jetë i aktivizuar në cilësimet e paraprocesorit, prandaj sigurohuni që ta keni të aktivizuar këtë veçori.
  • Kontrolloni regjistrat e sistemit: Nëse Snort has një gabim, ju do të shihni mesazhin në regjistrat e sistemit. Regjistrat e sistemit mund të gjenden tek Statusi / Regjistrat e sistemit. Gabimi shpesh do t'ju tregojë saktësisht se cili është problemi.

Po kontrollon alarme

Pasi Snort të jetë konfiguruar dhe filluar me sukses, duhet të filloni të shihni alarme pasi të zbulohet trafiku që përputhet me rregullat.

Nëse nuk shihni ndonjë sinjalizim, jepini pak kohë dhe pastaj kontrolloni përsëri. Mund të duhet pak kohë para se të shihni ndonjë sinjalizim, në varësi të sasisë së trafikut dhe rregullave që janë aktivizuar.

Nëse dëshironi të shikoni sinjalizimet nga distanca, mund të aktivizoni vendosjen e ndërfaqes "Dërgoni alarme në regjistrat kryesorë të sistemit". Alertet që shfaqen në regjistrat e sistemit mund të jenë shikuar në distancë duke përdorur Syslog.

Ky artikull është i saktë dhe i vërtetë për sa i përket njohurive të autorit. Përmbajtja është vetëm për qëllime informuese ose argëtuese dhe nuk zëvendëson këshillën personale ose këshillën profesionale në çështje biznesi, financiare, ligjore ose teknike.

Artikulli I Mëparshëm

Si të formatoni spreadsheets në Microsoft Excel

Artikulli Tjetër

Udhëzues GIMP: Redaktimi i thjeshtë i fotove për idiotin e plotë

Publikime Interesante

Leximi Më I Madh

Rishikimi i altoparlantëve pa tel BlitzWolf BW-AS2 40W
 Kompjutera

Rishikimi i altoparlantëve pa tel BlitzWolf BW-AS2 40W

Theo ë htë një përdorue i teknologji ë që kërkon vazhdimi ht gjënë tjetër të madhe. ot do t'i hedhim një vë htrim Altoparlantit me ...
Moe Moe Kyun Kuptimi - Një Memak Otaku Shpjegohet
 Internet

Moe Moe Kyun Kuptimi - Një Memak Otaku Shpjegohet

imone kënaqet me pjekjen dhe gatimin. Ajo pëlqen të japë kë hilla e i të ruhen mbetjet.Në një vizitë të fundit në një kafene çupa h Ak...