Phenquestions
След настройването на който и да е сървър сред първите обичайни стъпки, свързани със сигурността, са защитната стена, актуализациите и надстройките, ssh ключовете, хардуерните устройства. Но повечето системни администратори не сканират собствените си сървъри, за да открият слаби места, както е обяснено с OpenVas или Nessus, нито пък настройват медни точки или система за откриване на проникване (IDS), което е обяснено по-долу.
На пазара има няколко IDS и най-добрите са безплатни, Snort е най-популярният, познавам само Snort и OSSEC и предпочитам OSSEC пред Snort, защото той изяжда по-малко ресурси, но мисля, че Snort все още е универсален. Допълнителни опции са: Suricata, Bro IDS, Security Onion.
Най-официалното изследване на ефективността на IDS е доста старо, от 1998 г., същата година, в която първоначално е разработен Snort, и е извършено от DARPA, заключава, че такива системи са безполезни преди съвременните атаки. След 2 десетилетия ИТ се разви при геометрична прогресия, сигурността също, и всичко е почти актуално, приемането на IDS е полезно за всеки системен администратор.
Изсумте IDS
Snort IDS работи в 3 различни режима, като sniffer, като регистратор на пакети и система за откриване на проникване в мрежата. Последният е най-универсалният, към който е насочена тази статия.
Инсталиране на Snort
apt-get инсталиране libpcap-dev bison flexСлед това изпълняваме:
apt-get инсталирайте snortВ моя случай софтуерът вече е инсталиран, но не беше по подразбиране, така беше инсталиран на Kali (Debian).
Първи стъпки с режима на sniffer на Snort
Режимът sniffer чете трафика на мрежата и показва превода за човешки преглед.
За да го тествате, напишете:
Тази опция не трябва да се използва нормално, показването на трафика изисква твърде много ресурси и се прилага само за показване на изхода на командата.
В терминала можем да видим заглавия на трафик, открити от Snort между компютъра, рутера и интернет. Snort също съобщава за липсата на политики за реагиране на открития трафик.
Ако искаме Snort да показва данните също тип:
За да покажете изпълнението на заглавките на слой 2:
# snort -v -d -eПодобно на параметъра "v", "e" също представлява загуба на ресурси, използването му трябва да се избягва за производство.
Първи стъпки с режима за регистриране на пакети на Snort
За да запазим отчетите на Snort, трябва да посочим Snort log directory, ако искаме Snort да показва само заглавки и да регистрира трафика от типа на диска:
# mkdir snortlogs# snort -d -l snortlogs
Дневникът ще бъде запазен в директорията на snortlogs.
Ако искате да прочетете регистрационните файлове, напишете:
# snort -d -v -r logfilename.дневник.ххххххх
Първи стъпки с режима на система за откриване на проникване в мрежата (NIDS) на Snort
Със следната команда Snort чете правилата, посочени във файла / etc / snort / snort.conf за правилно филтриране на трафика, като се избягва четенето на целия трафик и се фокусира върху конкретни инциденти
посочени в хъркането.conf чрез адаптивни правила.
Параметърът „-A console“ инструктира snort да предупреждава в терминала.
# snort -d -l snortlog -h 10.0.0.0/24 -А конзола -c хъркане.конф
Благодарим ви, че прочетохте този уводен текст за използването на Snort.
