SNORT

 

Povezava: http://www.snort.org/

 

Snort je odprtokodni omrežni paket za zaznavo in preprečevanje vdorov (IDS/IPS). Uporablja se za zaznavo vseh vrst napadov in poskusov, kot so buffer overflows, stealth port scans, CGI napade, SMB poskuse, OS fingerprints in veliko več. Omogoča real-time sporočanje alarmov, lahko ga uporabimo tudi kot sniferja (tcpdump), packet logger ali kot omrežni sistem za preprečevanje vdorov. S pisanjem lastnih pravil, lahko sistem prilagajamo svojim potrebam in željam.

 

 

Namestitev na Debian

 

1. Prvo namestimo Debiana …opisano tukaj.

 

2. Naložimo mysql strežnik ” apt-get install mysq-server”.

 

3. Nastavimo mysql root geslo.

 

4. Naložimo Apache strežnik z ukazom “apt-get install apache2

5. Ko imamo mysql in apache naložen, dodamo še php z ukazom “apt-get install php5”.

6. Sedaj začnemo z nalaganjem snorta. Ukaz “apt-get install snort-mysql”. Prvo nastavimo subnet (primer: 192.168.198.0/24)

7. Skripta nas opozori, da Snort nima ustvarjene baze. Ker bomo bazo naredili kasneje lahko nadaljujemo z “Ok”.

8. Začnemo konfiguracijo baze.

9. Pojavi se opozorilo, da bomo morali bazo skreirati sami. Počakate, da se Snort naloži in potrdite opozorilo z “Ok”.

10. Za kreiranje tabel Snort baze, imamo prednaloženo skripto, ki se nahaja v “/usr/share/doc/snort-mysql/create_mysql.gz”.

11. Sedaj bomo najprej kreirali bazo “snort” in potem z uporabo skripte tudi tabele v bazi. Mysql strežnik smo že postavili, tako, da se sedaj lahko prijavimo vanj z ukazom “mysql -u ime_uporabnika -h localhost -p”. Za začetek pregledamo obstoječe baze na strežniku z ukazom “show databases;” . Sedaj naredimo novo bazo za snort z ukazom “create DATABASE snort;”. Tako, sedaj imamo ustvarjeno bazo.

12. Sedaj dodamo uporabnika, ki bo ime dostop do baze “snort”. To storimo z ukazom “create user ‘snort’@’localhost’ identified by ‘snortgeslo’;”. Localhost pomeni, da se bo uporabnik lahko prijavil le iz strežnika na katerem je naložen mysql. V našem primeru smo uporabniku dodali geslo “snortgeslo”.

Sedaj snort@locahost dodamo še pravice za zapis in urejanje baze “snort”. To storimo z ukazom “grant all privileges on snort.* to ‘snort’@localhost’;” . Z ukazom “grant all” smo dodali vse možne pravice na bazi.

 

13. Sedaj bazi “snort” dodamo tabele. Postavimo se v direktorij “/usr/doc/snort-mysql/” in izvršimo ukaz “zcat create_mysql.gz | mysql -u snort -h localhost -p snort”.

14. Če se želite prepričati, da so tabele ustvarjene izvršite naslednji ukaz da se prijavite v strežnik “mysql -u root -h localhost -p”. Postavimo se v bazo “snort” z ukazom “use snort;”. Sedaj lahko pregledamo še tabele z ukazom “show tables;”. Kot lahko vidimo so tabele uspešno narejene.

DO SEDAJ SMO NAREDILI BAZO “SNORT”, SKREIRALI UPORABNIKA “SNORT@LOCALHOST” IN MU DODALI PRAVICE NA BAZI, TER SKREIRALI TABELE.

 

15. Ker želimo pregledovati dogodke preko brskalnika, dodamo še paket “acidbase” z ukazom “apt-get install acidbase”

16. Skripta nas opozori, da je bila spremenjena lokacija libphp-adodb v /usr/share/php/adodb. Nadaljujete z potrditvijo.

17. Tudi acidbase bo treba konfigurirati ročno preko brskalnika na naslovu “http://localhost/acidbase”. Nadaljujete z namestitvijo.

18. Naš tip baze je “mysql”, zato izberemo njo.

19. Sedaj se preko naslova “”http://localhost/acidbase” prijavimo v spletni vmesnik BASE. Ker konfiguracija še ni dokončana, kliknemo na “Setup page”.

20. V naslednjem koraku izberemo “Create BASE AG”.

21. Tabele Base so bile uspešno dodane v mysql strežnik.

22. Če se sedaj prijavite na “http://localhost/acidbase/base_main.php”, lahko vidite BASE vmesnik za pregled dogodkov. Ker snorta še nismo zagnali tudi alarmov ni. Sedaj bomo uredili še snorta.

 

23. Nastavimo shranjevanje dogodkov v bazo “snort”. To nastavimo v datoteki “/etc/snort/database.conf”.

Na koncu datoteke dodamo naslednji zapis : “output database: log, mysql, user=snort password=snortgeslo dbname=snort host=localhost”.

 

24. Sedaj nastavimo še LAN in WAN spremenljivke. Datoteka za nastavitev je “/etc/snort/snort.conf”.

Z pravilno konfiguracij zmanjšamo lažne alarme. Za LAN vpišemo ” var HOME_NET $eth0_ADDRESS” in za WAN “var EXTERNAL_NET  !$HOME_NET”. Klicaj (!) pomeni NE.

NA VOLJO IMATE ŠE OSTALE SPREMNLJIVKE ZA DNS, SSH, PREPROCESORJE ITD.., KI BA JIH BOMO OPISALI V DRUGIH PRISPEVKIH.

25.Snorta zaženemo z ukazom “snort -v -i eth0 -c /etc/snort/snort.conf”. Možnosti -v (vrebose), -i (ime mrežne kartice), -c(lokacija konfiguracijske datoteke).

26. Za test lahko probate ping iz drugega računalnika.

27. Tudi v BASE imamo že stanje dogodkov.

28. Podrobnejša analiza TCP paketov.

29. Alarme nastavljamo z pravili, ki so shranjena v “/etc/snort/rules/” . Lahko dodajamo svoja in tako optimiziramo sistem za svojo dejavnost.

Pfsense požarni zid ima možnost dodatnega paketa “Snort” in tako požarnemu zidu dodamo funkcijonalnost IDS/IPS-ja.

2 Responses to Snort

Leave a Reply

Your email address will not be published. Required fields are marked *

VNESITE ŠTEVILO V PRAZNO POLJE !!! *

Internetna zaščita

Copyright © 2013. All Rights Reserved.