Artikel ini menjelaskan cara menginstal Snort dan cara memulai peringatan dan aturan Snort agar berhasil menerapkan sistem deteksi intrusi.
Snort adalah sistem deteksi intrusi yang menganalisis lalu lintas dan paket untuk mendeteksi dan melaporkan anomali seperti lalu lintas berbahaya. Jika Anda tidak terbiasa dengan sistem deteksi intrusi, Anda dapat mulai membaca kesimpulan akhir tentangnya. Jika Anda ingin langsung masuk ke petunjuk praktis, teruslah membaca.
Setelah membaca artikel ini, Anda akan dapat menginstal Snort pada distribusi Linux berbasis Debian dan RedHat, mengonfigurasi berbagai mode Snort, mengatur peringatan dan aturan. Petunjuk penggunaan Snort dalam tutorial ini berlaku untuk semua distribusi Linux.
Semua petunjuk dalam dokumen ini berisi tangkapan layar untuk memudahkan semua pengguna Linux memahami dan menerapkannya.
Menginstal Mendengus
Anda dapat menginstal Snort menggunakan TIDAK manajer paket di Debian atau Ubuntu seperti yang ditunjukkan pada tangkapan layar berikut:
Selama proses instalasi, Anda akan diminta untuk menentukan jaringan Anda. Tekan Oke lanjutkan ke langkah berikutnya.
Sekarang masukkan alamat jaringan Anda dalam format CIDR. Biasanya, Snort otomatis berhasil mendeteksinya.
Lalu klik Oke atau MEMASUKI. Jangan khawatir tentang langkah ini. konfigurasi ini dapat diedit nanti.
Pengguna distribusi Linux berbasis Red Hat dapat mengunduh paket Snort dari https://www.snort.org/downloads#snort-downloads dan kemudian menginstalnya dengan menjalankan perintah berikut, di manaVersi: kapan:> harus diganti dengan versi saat ini yang Anda unduh.
sudo mencicipi serak<:mereka:>:Versi: kapan:mereka:>>:.rpm:
Menjaga agar aturan Snort selalu terbarui
Snort berisi dua jenis aturan utama: aturan komunitas yang dikembangkan oleh komunitas Snort dan aturan resmi. Anda selalu dapat memperbarui aturan komunitas default. Namun, memperbarui aturan resmi memerlukan Kode Oink – kode yang memungkinkan Anda mengunduh aturan terbaru.
Daftar di https://www.snort.org/users/sign_up untuk mendapatkan kode Oink.
Setelah pendaftaran, verifikasi akun dari email Anda dan masuk ke situs web Snort.
Klik OinkCode di menu di sisi kiri dasbor dan Anda akan melihat kode Anda.
https://www.snort.org/rules/snorrules-snapshot-<Տարբերակ>.tar.gz?oinkcode=:
Dalam kasus saya, saya menggunakan Snort 2.9.15.1 dan tautan berikut untuk mengunduh peraturan:
https://www.snort.org/rules/snorrules-snapshot-29151.tar.gz?oinkcode=:15e4f48aab11b956bb27801172720f2be9f3686d
Anda dapat membuat skrip cron untuk mengunduh aturan dan mengekstraknya ke direktori yang sesuai.
Mengkonfigurasi Snort
File konfigurasi Snort adalah /etc/snort/snort.conf. Sebelum memulai, pengguna Debian harus mengikuti langkah-langkah di bawah ini. Pengguna distribusi lainnya dapat melanjutkan membaca dari edisi file /etc/snort/snort.conf.
Catatan untuk pengguna Debian: Debian Linux menimpa beberapa pengaturan jaringan di file konfigurasi Snort default. di bawah direktori /etc/snort /etc/snort/snort.debian.conf file dari mana pengaturan jaringan Debian diimpor.
Jika Anda adalah pengguna Debian, jalankan kode berikut:
sudo nano /dll./bergumam/snort.debian.conf:
Pastikan semua informasi dalam file konfigurasi ini benar, termasuk alamat CIDR, perangkat jaringan, dll.
Simpan file. Mari mulai mengkonfigurasi Snort.
Untuk mengonfigurasi Snort, gunakan editor teks seperti yang ditunjukkan di bawah ini (saya menggunakan nano) untuk membuka /etc/snort/snort.conf mengajukan.
sudo nano /dll./bergumam/serak.conf:
Periksa konfigurasi jaringan Anda dan gulir ke bawah.
Tentukan port yang ingin Anda pantau.
Jangan tutup file dan lanjutkan membaca bagian selanjutnya (lewati file konfigurasi).
Aturan mendengkur
Aturan snort diaktifkan atau dinonaktifkan dengan mengomentari atau menghapus baris komentar di file /etc/snort/snort.conf. Tapi aturan tetap dipertahankan /etc/snort/rules mengajukan.
Buka untuk mengaktifkan atau menonaktifkan aturan /etc/snort/snort.conf dengan editor teks. Aturannya ada di akhir file.
Saat Anda mencapai akhir file, Anda akan melihat daftar aturan untuk berbagai tujuan. Nonaktifkan aturan yang ingin Anda aktifkan dan komentari aturan yang ingin Anda nonaktifkan.
Misalnya, untuk mendeteksi lalu lintas yang terkait dengan serangan DOS, hapus aturan DOS. Atau batalkan komentar pada aturan FTP untuk mengontrol port 21.
sudo nano /dll./bergumam/serak.conf:
Setelah menghapus komentar aturan, aktifkan, simpan, dan keluar dari dokumen.
7 mode alarm mendengkur
Snort menyertakan 7 mode alarm berbeda untuk melaporkan peristiwa atau insiden. Adapun 7 mode tersebut adalah sebagai berikut:
- Cepat. Notifikasi snort mencakup stempel waktu, mengirim pesan peringatan, menampilkan alamat IP dan port sumber dan tujuan. Untuk menjalankan mode ini, gunakan – Puasa
- Lee. Selain itu, mode penuh juga mencetak TTL, panjang datagram dan header paket, ukuran jendela, ACK, dan nomor urut di antara informasi yang dilaporkan sebelumnya dalam mode cepat. Untuk menjalankan mode ini, gunakan – Penuh
- Dengan panel. Ini menunjukkan sinyal waktu nyata di dasbor. Mode ini diaktifkan – Dengan panel
- cmg Mode ini hanya berguna untuk tujuan pengujian.
- Lepaskan kaus kaki. Ini digunakan untuk mengekspor notifikasi ke soket Unix.
- Log sistem: Mode ini (System Logging Protocol) menginstruksikan Snort untuk mengirim log peringatan jarak jauh. Tambahkan untuk memulai mode ini -S
- Bukan siapa-siapa: Tidak ada peringatan.
Untuk menyelesaikan artikel ini, mari kita coba full mode dengan menjalankan perintah berikut di mana – Puasa menunjukkan pemindaian mode cepat dan -C: menentukan file konfigurasi (/etc/snort/snort.conf).
sudo bergumam -A dengan cepat -C: /dll./bergumam/serak.conf:
Sekarang jalankan beberapa pemindaian Nmap atau coba sambungkan melalui SSH atau FTP ke komputer Anda dan baca /var/log/snort/snort.alert.mempercepat baris terakhir untuk memeriksa bagaimana lalu lintas dilaporkan. Seperti yang Anda lihat, saya menjalankan pemindaian Nmap yang agresif dan terdeteksi sebagai lalu lintas berbahaya.
ekor /var:/catatan/bergumam/serak.waspada.cepat
Saya harap tutorial ini berfungsi sebagai pengantar yang baik untuk Snort. Tetapi Anda harus terus mempelajarinya dengan membaca Snort Alerts dan Snort Rules Creation Instructions, yang wajib untuk memulai dengan Snort.
Tentang sistem deteksi intrusi
Konsensus umum adalah jika firewall melindungi jaringan seseorang, maka jaringan tersebut dianggap aman. Namun, ini tidak sepenuhnya benar. Firewall adalah komponen fundamental dari jaringan, tetapi mereka tidak dapat sepenuhnya melindungi jaringan dari intrusi paksa atau niat bermusuhan. Sistem deteksi intrusi digunakan untuk mengevaluasi paket agresif atau tak terduga dan menghasilkan peringatan sebelum program ini dapat merusak jaringan. Sistem Deteksi Intrusi berbasis host berjalan di semua perangkat di jaringan atau terhubung ke jaringan internal organisasi. Sebagai gantinya, sistem deteksi intrusi berbasis jaringan digunakan pada titik atau kelompok titik tertentu dari mana semua lalu lintas masuk dan keluar dapat dipantau. Keuntungan dari sistem deteksi intrusi berbasis hosting adalah juga dapat mendeteksi anomali atau lalu lintas berbahaya yang berasal dari host itu sendiri, seperti jika host terinfeksi malware, dll. Sistem Deteksi Intrusi (IDS) bekerja dengan memantau dan menganalisis lalu lintas jaringan dan membandingkannya dengan aturan yang ditetapkan untuk menentukan apa yang harus diterima sebagai normal untuk jaringan (untuk port, bandwidth, dll.) dan apa yang harus diperhatikan lebih dekat.
Sistem deteksi intrusi dapat diinstal tergantung pada ukuran jaringan. Ada lusinan IDS komersial berkualitas, tetapi banyak perusahaan dan usaha kecil tidak mampu membelinya. Snort adalah sistem deteksi intrusi yang fleksibel, ringan, dan populer yang dapat digunakan sesuai dengan kebutuhan jaringan, dari jaringan kecil hingga besar, dan menyediakan semua fitur IDS berbayar. Snort tidak memerlukan biaya apa pun, tetapi itu tidak berarti tidak dapat memberikan fungsionalitas yang sama dengan IDS komersial elit. Snort dianggap sebagai IDS pasif, yang berarti mengendus paket jaringan, membandingkannya dengan aturan, dan ketika mendeteksi log atau entri berbahaya (jika intrusi terdeteksi), ia menghasilkan peringatan atau mencatat entri. mengajukan Snort digunakan untuk memantau tindakan dan aktivitas router, firewall, dan server. Snort menyediakan antarmuka yang ramah pengguna yang berisi rantai aturan yang bisa sangat berguna bagi seseorang yang baru mengenal IDS. Snort menghasilkan peringatan tentang intrusi (serangan serangan buffer, keracunan DNS, sidik jari OS, pemindaian port, dan banyak lagi), memberi organisasi lebih banyak visibilitas ke dalam lalu lintas jaringan dan membuatnya lebih mudah untuk menegakkan aturan keamanan.
Anda sekarang telah diperkenalkan ke IDS. Sekarang mari kita mulai mengkonfigurasi Snort.
Kesimpulan
Sistem deteksi intrusi seperti Snort digunakan untuk memantau lalu lintas jaringan untuk mendeteksi ketika serangan diluncurkan oleh pengguna jahat sebelum dapat merusak atau memengaruhi jaringan. Jika penyerang melakukan pemindaian port pada jaringan, serangan dapat dideteksi bersama dengan jumlah upaya yang dilakukan, alamat IP penyerang, dan detail lainnya. Snort digunakan untuk mendeteksi semua jenis anomali. Muncul dengan sejumlah besar aturan yang sudah dikonfigurasi serta opsi bagi pengguna untuk menulis aturan mereka sendiri sesuai dengan kebutuhan mereka. Bergantung pada ukuran jaringan, Snort dapat dengan mudah dikonfigurasi dan digunakan tanpa mengeluarkan biaya apa pun dibandingkan dengan sistem deteksi intrusi komersial berbayar lainnya. Paket yang ditangkap dapat dianalisis lebih lanjut menggunakan packet sniffer seperti Wireshark untuk menganalisis dan menguraikan apa yang terjadi di benak penyerang selama serangan dan jenis pemindaian atau perintah yang dijalankan. Snort adalah alat gratis, open source, dan mudah dikonfigurasi. Ini bisa menjadi pilihan yang sangat baik untuk melindungi jaringan berukuran sedang dari serangan.