Tutorial ini menjelaskan cara menginstal dan memulai Snort IDS (Intrusion Detection System) pada distribusi Linux berbasis Debian, termasuk Ubuntu.
Langkah-langkah keamanan umum pertama setelah penginstalan server mencakup firewall, pembaruan dan peningkatan, kunci SSH (Secure Shell), dan perangkat keras bebas kerentanan (seperti router tanpa dukungan PIN).
Tetapi kebanyakan sysadmin tidak memindai server mereka sendiri untuk mencari lubang keamanan, juga tidak memasang honeypots atau Sistem Deteksi Intrusi (IDS) seperti yang dijelaskan sepenuhnya dalam panduan ini.
Dokumen ini menjelaskan langkah demi langkah cara memulai Snort, IDS paling populer. Semua langkah yang dijelaskan mencakup tangkapan layar yang sebenarnya, sehingga memudahkan pembaca untuk mengikutinya.
Catatan: Instalasi untuk distribusi Linux berbasis Debian dan RedHat dijelaskan di https://linuzhint.com/intrusion_detection_snort_tutorial/.
IDS Singkat dan Deskripsi Snort
Sistem deteksi intrusi adalah perangkat lunak analisis lalu lintas dan paket untuk mendeteksi anomali seperti lalu lintas berbahaya (pemindaian ofensif, upaya untuk terhubung ke port yang masuk akal, dll.). IDS mendeteksi perilaku mencurigakan dan melaporkannya ke administrator sistem.
IDS memungkinkan administrator sistem untuk menentukan aturan yang menentukan pelaporan paket yang mencurigakan atau terlarang.
Snort adalah IDS paling populer, mungkin yang terbaik. Ini memungkinkan Anda untuk menerapkan aturan yang telah ditentukan sebelumnya dari repositori saat ini atau membuat aturan khusus. Snort juga memungkinkan Anda memilih dari tujuh mode peringatan, yang dijelaskan secara mendalam di artikel ini.
Bagaimana memulai dengan Snort
Pertama-tama, pengguna harus mendaftar di https://www.snort.org/users/sign_up, yang merupakan situs resmi Snort.
Isi semua informasi yang diperlukan, setujui persyaratan lisensi Snort, validasi captcha dan klik tombol “Daftar”.
Setelah pendaftaran, pengguna harus memeriksa email konfirmasi. Setelah disetujui, masuk. Klik tombol “Oinkcode” di menu sebelah kiri untuk mengakses apa yang disebut Oinkcode yang ditunjukkan pada tangkapan layar berikut, yang berguna untuk memperbarui Snort. Pengguna hanya perlu menyimpan Oinkcode atau memasukkannya saat diperlukan seperti penjelasan di bawah ini.
Setelah pendaftaran (atau sebelumnya, tidak masalah), Snort dapat diinstal menggunakan apt package manager, seperti yang ditunjukkan berikut ini:
sudo TIDAK Install keruh -y:
Selama proses instalasi, Snort menunjukkan kepada Anda bagaimana menentukan jaringan pada langkah selanjutnya (CIDR). Konfigurasi ini dapat diedit dan disimpan /etc/snort.conf: file seperti yang dijelaskan di bagian selanjutnya dari tutorial ini.
Tekan tombol TAB untuk memilih untuk melanjutkan penginstalan <Լավ> tombol. Kemudian tekan tombol ENTER.
Tentukan jaringan Anda dalam format CIDR seperti yang disebutkan di langkah sebelumnya. Biasanya, Snort secara otomatis mendeteksi jaringan dengan benar. Jika Anda ingin menentukan kisi tambahan, gunakan koma.
Snort akan menyelesaikan proses instalasi. Langkah pertama yang disarankan adalah memperbarui aturan menggunakan Oinkcode yang diperoleh di langkah kedua tutorial Snort ini.
Oinkcode diimplementasikan dengan versi Snort yang diinstal dalam format URL berikut, di manaVersi: kapan:> harus diganti dengan versi yang diinstal (tanpa titik) danKode Oink:> harus diganti dengan Oinkcode.
https://www.snort.org/rules/snorrules-snapshot-
Dalam contoh berikut, versi Snort yang terinstal adalah 2.9.151 dan Oinkcode adalah d606c9a064edc39523d77f8762f0fe881c3001c4.
Jalankan yang berikut untuk mengunduh aturan yang diperbarui:
https://www.snort.org/rules/snorrules-snapshot-29151.tar.gz?oinkcode=d606c9a0edc393d77f8762f0fe881c3001c4
URL yang dieksekusi mengunduh file aturan terkompresi.
Isi file “tar.gz” harus diekstrak ke direktori /etc/snort/rules. Anda dapat menggunakan perintah “xzf” dan flag -C untuk menentukan tujuan dari file yang diekstraksi, seperti yang ditunjukkan pada tangkapan layar berikut:
sudo ter xzf snorrules-snapshot-29151.tar.gz: – C: /dll./keruh/aturan
Setelah mengikuti semua instruksi sebelumnya, pengguna dapat berasumsi bahwa Snort terinstal dengan benar, termasuk aturan terbaru. Namun, beberapa parameter perlu dikonfigurasi seperti yang dijelaskan di bagian berikut.
Mengkonfigurasi Snort di Ubuntu (File Snort.conf)
File konfigurasi Snort adalah /etc/snort/snort.conf. Ini adalah file pertama yang harus ditangani pengguna setelah instalasi.
Catatan: Untuk pengguna Debian, file konfigurasi Snort adalah /etc/snort/snort.debian.conf.
Untuk memulai, buka file /etc/snort.conf menggunakan editor teks seperti yang ditunjukkan di bawah ini (gunakan hak istimewa):
sudo nano /dll./bergumam/serak.conf:
Pada gambar berikut Anda dapat melihat tampilan file “snort.conf”:
Dengan menggulir ke bawah, pengguna akan melihat pengaturan terkait jaringan. Seperti yang Anda lihat, pengaturan default untuk jaringan lokal adalah “any”, yang memberitahu Snort untuk memantau semua subnet yang ditemukan.
Fungsi pertama pengaturan jaringan Snort adalah:
- ipvar HOME_NET: Di sini pengguna menentukan jaringan lokal dalam format CIDR. Opsi default (apa saja) memeriksa semua jaringan lokal.
- ipvar EXTERNAL_NET: Di sini pengguna dapat menentukan jaringan eksternal.
- ipvar:
$HOME_NET: Pengguna akan melihat daftar layanan dalam format ini, di mana <ԾԱՌԱՅՈՒԹՅՈՒՆ> harus diganti dengan layanan yang dipantau seperti HTTPS, FTP, SSH, dll.
Gulir ke bawah untuk opsi layanan dan port tambahan seperti:
Lanjutkan menggulir ke bawah dan pastikan direktori aturan ditentukan dengan benar seperti yang ditunjukkan pada gambar berikut (/etc/snort/snort.conf).
Pada gambar berikut Anda dapat melihat aturan yang dikomentari (diaktifkan) atau tidak dikomentari (dinonaktifkan). Seperti yang Anda lihat, aturan disimpan di direktori /etc/snort/rules dan dikelola dari file “snort.conf”.
Pada tangkapan layar berikut, respons serangan, lalu lintas buruk, DDOS, backhaul, aturan terkait dll diaktifkan.
Semua aturan dapat ditemukan di direktori /etc/snort/rules.
Pengguna tidak hanya dapat mengunduh aturan tambahan, tetapi mereka juga dapat membuatnya sendiri. Untuk mempelajari cara membuat aturan Snort khusus, ikuti tautan ini.
Sinyal mendengkur
Mode peringatan adalah serangkaian mekanisme pelaporan yang tersedia untuk pemilihan pengguna.
Snort IDS mendukung tujuh mode peringatan, termasuk mode peringatan pengujian dan mode peringatan umum.
Lee. Mode peringatan penuh, seperti namanya, mengembalikan laporan terlengkap, termasuk informasi bagan data mendetail. Full mode didefinisikan dengan menambahkan -A full flag.
Cepat. Mode cepat, diimplementasikan dengan flag -A fast, lebih mudah digunakan daripada mode penuh.
Dengan panel. Opsi -A console mencetak notifikasi real-time ke terminal Linux.
Log sistem: System Logging Protocol mengirimkan log alarm dari jarak jauh. Terapkan mode ini menggunakan flag -s.
Lepaskan kaus kaki. Snort dapat mengekspor peringatan ke soket Unix.
Bukan siapa-siapa: Lewati notifikasi.
cmg Mode CMG hanya digunakan untuk tujuan pengujian.
Catatan: Aturan Snort dan peringatan Snort layak mendapatkan tutorial khusus, yang dapat Anda akses di https://linuzhint.com/snort_alerts/ .
Dalam contoh berikut, flag -h menentukan host atau jaringan. Snort diimplementasikan dengan flag -A, yang mengimplementasikan mode console snorting. Bendera -c dicetak di file konfigurasi Snort.
sudo bergumam D: – H: 192.168.0.0/24:00 -A kenyamanan -C: /dll./bergumam/serak.conf:
Contoh berikut melakukan pemindaian cepat.
sudo bergumam -A dengan cepat -C: /dll./bergumam/serak.conf:
Secara default, output Snort disimpan di direktori /var/log/snort, seperti yang ditunjukkan pada tangkapan layar berikut:
Kesimpulan
Pengintai seperti IDS adalah alat yang sangat baik untuk mendeteksi perilaku jahat dalam jaringan. Itu dapat mendeteksi metode pemindaian yang ditentukan dan melaporkan data sumber. Tapi Snort dapat dikonfigurasi terhadap semua jenis lalu lintas yang mencurigakan. Snort menyertakan sumber aturan komprehensif yang mudah dikonfigurasi dan diperbarui. Pengguna dapat menulis aturan khusus dan memilih mode peringatan yang berbeda.
Menerapkan IDS adalah persyaratan dasar untuk mengamankan jaringan yang termasuk dalam daftar pengerasan keamanan Linux.
Snort adalah sumber terbuka dan sumber daya keamanan yang mudah dikelola. Ini dapat digunakan secara gratis, yang merupakan alternatif yang bagus untuk banyak pengguna. Kami sangat menyarankan untuk terus membaca artikel kami yang dirujuk dalam dokumen ini yang mencakup setiap aspek Snort.