Nilalaman
- Bakit Mag-set up ng isang Intrusion Detection System?
- Pag-install ng Snort Package
- Pagkuha ng isang Oinkmaster Code
- Sundin ang mga hakbang sa ibaba upang makuha ang iyong Oinkmaster code:
- Pagpasok ng Oinkmaster Code sa Snort
- Mano-manong Pag-update ng Mga Panuntunan
- Pagdaragdag ng Mga Interface
- Pag-configure ng Interface
- Pagpili ng Mga Kategoryang Panuntunan
- Ano ang Pakay ng Mga Kategoryang Panuntunan?
- Paano Ako Makakakuha ng Maraming Impormasyon Tungkol sa Mga Kategoryang Panuntunan?
- Mga tanyag na Kategoryang Snort Rule
- Mga setting ng Preprocessor at Daloy
- Pagsisimula ng Mga Interface
- Kung Snort Nabigo upang Magsimula
- Sinusuri ang mga Alerto
Si Sam ay nagtatrabaho bilang isang analyst sa network para sa isang algorithmic trading firm. Nakuha niya ang kanyang bachelor's degree sa information technology mula sa UMKC.
Bakit Mag-set up ng isang Intrusion Detection System?
Ang mga hacker, virus, at iba pang mga banta ay patuloy na nagsisiyasat sa iyong network, na naghahanap ng isang paraan upang makapasok. Kailangan lamang ng isang na-hack na makina para sa isang buong network upang makompromiso. Para sa mga kadahilanang ito, inirerekumenda kong mag-set up ng isang panghihimasok na sistema ng pagtuklas upang mapanatili mong ligtas ang iyong mga system at subaybayan ang iba't ibang mga banta sa Internet.
Ang Snort ay isang bukas na mapagkukunang IDS na madaling mai-install sa isang pfSense firewall upang maprotektahan ang isang bahay o corporate network mula sa mga nanghihimasok. Ang Snort ay maaari ring mai-configure upang gumana bilang isang panghihimasok sa pag-iwas sa system (IPS), ginagawa itong napaka-kakayahang umangkop.
Sa artikulong ito, tatalakayin kita sa proseso ng pag-install at pag-configure ng Snort sa pfSense 2.0 upang masimulan mo ang pag-aralan ang trapiko sa real-time.
Pag-install ng Snort Package
Upang makapagsimula sa Snort kakailanganin mong i-install ang package gamit ang pfSense package manager. Ang manager ng package ay matatagpuan sa menu ng system ng pfSense web GUI.
Hanapin ang Snort mula sa listahan ng mga pakete at pagkatapos ay i-click ang simbolo ng plus sa kanang bahagi upang simulan ang pag-install.
Karaniwan para sa snort na tumagal ng ilang minuto upang mai-install, mayroon itong maraming mga dependency kung aling pfSense ang dapat unang mag-download at mag-install.
Matapos makumpleto ang pag-install Snort ay lilitaw sa menu ng mga serbisyo.
Maaaring mai-install ang snort gamit ang pfSense package manager.
Pagkuha ng isang Oinkmaster Code
Upang maging kapaki-pakinabang ang Snort, kailangan itong i-update sa pinakabagong hanay ng mga patakaran. Maaaring awtomatikong i-update ng package ng Snort ang mga panuntunang ito para sa iyo, ngunit kailangan mo munang kumuha ng isang Oinkmaster code.
Mayroong dalawang magkakaibang hanay ng mga panuntunan sa Snort na magagamit:
- Ang hanay ng paglabas ng subscriber ay ang pinakasariwang hanay ng mga panuntunang magagamit. Ang pag-access sa real-time sa mga patakarang ito ay nangangailangan ng isang bayad na taunang subscription.
- Ang iba pang bersyon ng mga patakaran ay ang nakarehistrong paglabas ng gumagamit na ganap na libre sa sinumang magparehistro sa site ng Snort.org.
Ang pangunahing pagkakaiba sa pagitan ng dalawang mga hanay ng panuntunan ay ang mga patakaran sa nakarehistrong paglabas ng gumagamit ay 30 araw sa likod ng mga panuntunan sa subscription. Kung nais mo ang pinaka-napapanahong proteksyon, dapat kang kumuha ng isang subscription.
Sundin ang mga hakbang sa ibaba upang makuha ang iyong Oinkmaster code:
- Bisitahin ang webpage ng mga panuntunan sa Snort upang i-download ang bersyon na kailangan mo.
- Mag-click sa 'Mag-sign Up para sa isang Account' at lumikha ng isang Snort account.
- Matapos mong makumpirma ang iyong account, mag-log in sa Snort.org.
- Mag-click sa 'Aking Account' sa itaas na link bar.
- Mag-click sa tab na 'Mga Subscription at Oinkcode'.
- Mag-click sa link na Oinkcodes at pagkatapos ay i-click ang 'Bumuo ng code'.
Mananatiling nakaimbak ang code sa loob ng iyong account upang makuha mo ito sa paglaon kung kinakailangan. Ang code na ito ay kailangang ipasok sa mga setting ng Snort sa pfSense.
Kinakailangan ang isang Oinkmaster code upang mag-download ng mga panuntunan mula sa Snort.org.
Pagpasok ng Oinkmaster Code sa Snort
Matapos makuha ang Oinkcode, dapat itong ipasok sa mga setting ng Snort package. Ang pahina ng mga setting ng Snort ay lilitaw sa menu ng mga serbisyo ng web interface. Kung hindi ito nakikita, tiyaking naka-install ang package at muling i-install ang package kung kinakailangan.
Dapat na ipasok ang Oinkcode sa pandaigdigang pahina ng mga setting ng mga setting ng Snort. Gusto ko ring suriin ang kahon upang paganahin din ang mga panuntunan sa Mga umuusbong na Banta, pati na rin. Ang mga patakaran ng ET ay pinapanatili ng isang open-source na komunidad at maaaring magbigay ng ilang mga karagdagang patakaran na maaaring hindi makita sa hanay ng Snort.
Mga Awtomatikong Pag-update
Bilang default, hindi awtomatikong maa-update ng package na Snort ang mga panuntunan. Ang inirekumendang agwat ng pag-update ay minsan bawat 12 na oras, ngunit maaari mo itong baguhin upang umangkop sa iyong kapaligiran.
Huwag kalimutang i-click ang pindutang 'i-save' sa sandaling natapos mo na ang mga pagbabago.
Mano-manong Pag-update ng Mga Panuntunan
Ang snort ay hindi nagmumula sa anumang mga panuntunan, kaya kailangan mong manu-manong i-update ang mga ito sa unang pagkakataon. Upang patakbuhin ang manu-manong pag-update, mag-click sa tab na mga update at pagkatapos ay i-click ang pindutan ng mga panuntunan sa pag-update.
I-download ng package ang pinakabagong mga hanay ng panuntunan mula sa Snort.org at pati na rin Mga umuusbong na Banta kung mayroon kang napiling pagpipilian.
Matapos ang mga pag-update ay natapos, ang mga patakaran ay aalisin at pagkatapos ay handa nang gamitin.
Ang mga patakaran ay dapat na manu-manong na-download sa unang pagkakataon na na-set up ang Snort.
Pagdaragdag ng Mga Interface
Bago magsimulang gumana ang Snort bilang isang sistema ng pagtuklas ng panghihimasok, dapat kang magtalaga ng mga interface para masubaybayan nito. Ang tipikal na pagsasaayos ay para sa Snort upang subaybayan ang anumang mga interface ng WAN. Ang iba pang pinaka-karaniwang pagsasaayos ay para masubaybayan ng Snort ang WAN at interface ng LAN.
Ang pagsubaybay sa interface ng LAN ay maaaring magbigay ng ilang kakayahang makita sa mga pag-atake na nangyayari mula sa loob ng iyong network. Hindi bihira para sa isang PC sa LAN network na mahawahan ng malware at magsimulang maglunsad ng mga pag-atake sa mga system sa loob at labas ng network.
Upang magdagdag ng isang interface, i-click ang simbolong plus na matatagpuan sa tab na Snort interface.
Pag-configure ng Interface
Pagkatapos ng pag-click sa pindutan ng magdagdag ng interface, makikita mo ang pahina ng mga setting ng interface.Naglalaman ang pahina ng mga setting ng maraming mga pagpipilian, ngunit iilan lamang ang talagang kailangan mong mag-alala tungkol sa mga bagay at paggana.
- Una, lagyan ng tsek ang kahon na paganahin sa tuktok ng pahina.
- Susunod, piliin ang interface na nais mong i-configure (sa halimbawang ito ay ina-configure ko muna ang WAN).
- Itakda ang pagganap ng memorya sa AC-BNFA.
- Lagyan ng check ang kahong "Mga Alerto sa Log upang snort pinag-isa2 file" upang gumana ang barnyard2.
- I-click ang i-save.
Kung tumatakbo ka a multi-wan router, maaari kang magpatuloy at i-configure ang iba pang mga interface ng WAN sa iyong system. Inirerekumenda ko rin ang pagdaragdag ng interface ng LAN.
Bago mo simulan ang mga interface, may ilan pang mga setting na kailangang mai-configure para sa bawat interface. Upang mai-configure ang mga karagdagang setting, bumalik sa tab na mga interface ng Snort at i-click ang simbolong 'E' sa kanang bahagi ng pahina sa tabi ng interface. Dadalhin ka nito pabalik sa pahina ng pagsasaayos para sa partikular na interface. Upang mapili ang mga kategorya ng panuntunan na dapat paganahin para sa interface, mag-click sa tab na mga kategorya. Ang lahat ng mga patakaran sa pagtuklas ay nahahati sa mga kategorya. Ang mga kategorya na naglalaman ng mga panuntunan mula sa Mga umuusbong na Banta ay magsisimula sa 'umuusbong,' at ang mga patakaran mula sa Snort.org ay magsisimula sa 'snort.' Matapos mapili ang mga kategorya, i-click ang pindutang i-save sa ilalim ng pahina. Sa pamamagitan ng paghahati ng mga patakaran sa mga kategorya, maaari mo lamang paganahin ang mga partikular na kategorya na interesado ka. Inirerekumenda kong paganahin ang ilan sa mga mas pangkalahatang kategorya. Kung nagpapatakbo ka ng mga tukoy na serbisyo sa iyong network tulad ng isang web o database server, dapat mong paganahin ang mga kategorya na nauugnay din sa kanila. Mahalagang tandaan na mangangailangan ang Snort ng mas maraming mapagkukunan ng system sa tuwing nakabukas ang isang karagdagang kategorya. Maaari din itong dagdagan ang bilang ng mga maling positibo, pati na rin. Sa pangkalahatan, pinakamahusay na i-on lamang ang mga pangkat na kailangan mo, ngunit huwag mag-atubiling mag-eksperimento sa mga kategorya at makita kung ano ang pinakamahusay na gumagana.Pagpili ng Mga Kategoryang Panuntunan
Ano ang Pakay ng Mga Kategoryang Panuntunan?
Paano Ako Makakakuha ng Maraming Impormasyon Tungkol sa Mga Kategoryang Panuntunan?
Kung nais mong malaman kung anong mga patakaran ang nasa isang kategorya at malaman ang higit pa tungkol sa kung ano ang ginagawa nila, maaari kang mag-click sa kategorya. Ili-link ka nito nang direkta sa listahan ng lahat ng mga patakaran sa loob ng kategorya.
Mga tanyag na Kategoryang Snort Rule
| Pangalan ng kategorya | Paglalarawan |
|---|---|
snort_botnet-cnc.rules | Mga target na kilalang botnet command at control host. |
snort_ddos.rules | Nakita ang pagtanggi ng mga atake sa serbisyo. |
snort_scan.rules | Ang mga patakarang ito ay nakakakita ng mga pag-scan sa port, mga pagsisiyasat ni Nessus, at iba pang mga pag-atake sa pangangalap ng impormasyon. |
snort_virus.rules | Nakakakita ng mga lagda ng mga kilalang trojan, virus, at bulate. Masidhing inirerekomenda na gamitin ang kategoryang ito. |
Mga setting ng Preprocessor at Daloy
Mayroong ilang mga setting sa pahina ng mga setting ng preprocessors na dapat paganahin. Marami sa mga patakaran sa pagtuklas ay nangangailangan ng HTTP na inspeksyon upang paganahin upang gumana ang mga ito.
- Sa ilalim ng mga setting ng HTTP siyasatin, paganahin ang 'Gumamit ng HTTP Inspect to Normalize / Decode'
- Sa pangkalahatang seksyon ng mga setting ng preprocessor, paganahin ang 'Portscan Detection'
- I-save ang mga setting.
Pagsisimula ng Mga Interface
Kapag ang isang bagong interface ay naidagdag sa Snort, hindi ito awtomatikong nagsisimulang tumakbo. Upang manu-manong simulan ang mga interface, mag-click sa berdeng pindutan ng pag-play sa kaliwang bahagi ng bawat interface na na-configure.
Kapag tumatakbo ang Snort, ang teksto sa likod ng pangalan ng interface ay lilitaw na berde. Upang ihinto ang Snort, mag-click sa pulang pindutan ng paghinto na matatagpuan sa kaliwang bahagi ng interface.
Mayroong isang pares ng mga karaniwang problema na maaaring maiwasan ang pagsisimula ng Snort.
Kung Snort Nabigo upang Magsimula
Sinusuri ang mga Alerto
Matapos ang Snort ay matagumpay na na-configure at nasimulan, dapat kang magsimulang makakita ng mga alerto kapag nakita ang trapiko na tumutugma sa mga panuntunan.
Kung wala kang makitang anumang mga alerto, bigyan ito ng kaunting oras at pagkatapos ay suriin muli. Maaari itong magtagal bago ka makakita ng anumang mga alerto, depende sa dami ng trapiko at mga patakaran na pinagana.
Kung nais mong tingnan ang mga alerto mula sa malayo, maaari mong paganahin ang setting ng interface na "Magpadala ng mga alerto sa pangunahing mga tala ng system." Ang mga alerto na lilitaw sa mga tala ng system ay maaaring tiningnan nang malayuan gamit ang Syslog.
Ang artikulong ito ay tumpak at totoo sa abot ng kaalaman ng may-akda. Ang nilalaman ay para lamang sa mga layuning pang-impormasyon o aliwan at hindi kapalit ng pansariling payo o payo sa propesyonal sa mga usapin sa negosyo, pampinansyal, ligal, o panteknikal.
