Konfigurasikan Snort IDS dan buat aturan

by

Manual ini adalah pengantar yang komprehensif dan panduan praktis untuk mengonfigurasi dan membuat aturan untuk Snort IDS.

Snort adalah sistem deteksi intrusi open source (IDS) untuk pemantauan jaringan. Dengan membaca tutorial ini, Anda akan belajar cara menginstal Snort di Debian dan CentOS dan mengatur konfigurasi dan aturan Snort khusus.

Dokumen ini mencakup deteksi serangan skenario dunia nyata.

Semua penjelasan dalam manual ini mencakup contoh tangkapan layar dari skenario nyata, sehingga memudahkan setiap pengguna Linux untuk memahami cara kerja Snort terlepas dari tingkat keahlian mereka.

Memasang Snort (Debian)

Bagian ini menjelaskan cara pertama menginstal Snort pada sistem berbasis Debian; Mengikuti petunjuk penginstalan Debian, Anda akan menemukan langkah-langkah untuk menginstalnya di CentOS.

Sebelum menginstal Snort pada distribusi Linux berbasis Debian, perbarui repositori sistem Anda dengan menjalankan perintah berikut:

Setelah memperbarui repositori, instal Snort menggunakan perintah berikut:

sudo TIDAK Install keruh -y:

Proses instalasi akan memberi tahu Anda bahwa sintaks untuk mengatur alamat jaringan di file konfigurasi adalah CIDR (classical inter-domain routing). Tekan MEMASUKI melanjutkan instalasi.

Pemasang akan secara otomatis mendeteksi struktur jaringan Anda. Pada langkah ini, periksa apakah pendeteksian sudah benar dan perbaiki jika perlu. Lalu klik MEMASUKI.

Setelah mengklik MEMASUKIinstalasi akan selesai.

Menginstal Snort (CentOS).

Untuk menginstal Snort di CentOS, unduh Snort terbaru r/mnt paket untuk CentOS di https://www.snort.org/downloads#snort-downloads.

Kemudian jalankan perintah berikut di manaVersi: kapan:> sebaiknya diganti dengan versi Snort yang anda download dari link sebelumnya.

sudo mencicipi serak<Versi: kapan:>:.rpm:

Penting untuk pengguna Debian

Debian Linux menimpa beberapa opsi yang terkait dengan pengaturan jaringan di file konfigurasi default Snort. Opsi atribusi berasal dari OS. Ada direktori di bawah pengaturan Snort /etc/snort/snort.debian.conf file tempat pengaturan jaringan Debian diimpor.

Karena itu, jika Anda menggunakan Debian terlebih dahulu, buka /etc/snort/snort.debian.conf file untuk memeriksa file konfigurasi dan edit jika perlu menggunakan perintah berikut:

sudo nano /dll./keruh/snort.debian.conf:

Seperti yang Anda lihat, dalam kasus saya, konfigurasi default dari OS sudah benar.

Catatan: Jika pengaturan jaringan Anda salah, jalankan sudo dpkg-reconfigure snort

Jika pengaturan Anda sudah benar, klik Ctrl+Q: keluar.

Mengkonfigurasi Snort

Bagian ini berisi instruksi untuk konfigurasi awal Snort.

Untuk mengkonfigurasi Snort, buka /etc/snort/snort.conf menggunakan nano, vi atau editor teks apa pun.

sudo nano /dll./keruh/serak.conf:

Di dalam file konfigurasi, temukan baris berikut:

Anda dapat menambahkan jaringan atau alamat IP khusus Anda. Untuk menambahkan ke jaringan Anda, ganti baris berikut, di mana xxxx/x harus diganti dengan alamat CIDR:

Dalam kasus saya, saya mengganti baris itu dengan yang berikut ini.

ipvar HOME_NET 192.168.0.0/16:00

Tapi, jika Anda ingin menambahkan alamat IP tertentu, sintaksnya ditunjukkan di bawah ini 192.168.0.3, 10.0.0.4 dan 192.168.1.3 harus diganti dengan alamat IP yang dipantau oleh Snort. Masukkan semua alamat IP yang dipisahkan dengan koma di antara tanda kurung siku.

ipvar HOME_NET: (192.168.0.3, 10.0.0.4, 192.168.1.3)

Biarkan baris ipvar EXTERNAL_NET sebagai default; di bawah ini Anda dapat melihat konfigurasi saya.

Jika Anda menggulir ke bawah, Anda akan melihat opsi untuk mengontrol layanan tertentu dan tidak mengomentari layanan terhubung Anda.

Setelah selesai mengedit file, tutup untuk menyimpan perubahan. Jika Anda tidak membuka layanan apa pun, tutup saja perubahan yang disimpan.

Menguji konfigurasi Snort dengan serangan nyata

Sekarang mari kita uji Snort dengan menjalankan perintah di bawah ini. Ganti alamat IP atau jaringan dengan milik Anda.

sudo keruh D: -l: /var:/catatan/keruh/ – H: 192.168.0.0/16:00 -A kenyamanan -C: /dll./keruh/serak.conf:

Di mana bendera perintah yang dieksekusi sebelumnya berarti:

-d=: memberitahu Snort untuk menunjukkan data

-l=: menentukan direktori log

-h=: mendefinisikan jaringan pemantauan

-A=: menginstruksikan Snort untuk mencetak peringatan ke konsol

-c=: menentukan file konfigurasi Snort

Untuk menguji Snort saat sedang berjalan, jalankan pemindaian sidik jari agresif (Xmas) dari komputer lain menggunakan Nmap seperti yang ditunjukkan di bawah ini:

sudo nmap: -v: -st: – Oh 192.168.0.103

Seperti yang Anda lihat di tangkapan layar berikut, Snort mendeteksi upaya sidik jari.

Sekarang mari kita jalankan a DDOS: menyerang menggunakan Nping3 dari komputer lain.

hping3: -C: 10.000 D: 120: – S: -v: 64: – halaman: 21:00 — banjir –rand-sumber 10.0.0.3

Seperti yang Anda lihat di bawah, Snort mendeteksi lalu lintas berbahaya.

Sekarang setelah kita melihat cara kerja Snort, mari buat aturan khusus.

Mari kita mulai dengan aturan Snort

Aturan akses default Snort disimpan /etc/snort/rules direktori: Untuk melihat aturan apa yang diaktifkan atau ditafsirkan, Anda harus membaca /etc/snort/snort.conf file yang telah kita edit sebelumnya.

Jalankan perintah berikut dan gulir ke bawah untuk melihat aturan yang dinonaktifkan dan diaktifkan. Beberapa aturan dinonaktifkan untuk pengguna Debian karena tidak tersedia dalam aturan stok Debian.

lebih sedikit /dll./keruh/serak.conf:

Seperti yang dinyatakan sebelumnya, file aturan di-cache /etc/snort/rules direktori:

Mari tinjau aturan untuk mendeteksi dan melaporkan lalu lintas pintu belakang.

sudo lebih sedikit /dll./bergumam/aturan/aturan pintu belakang:

Seperti yang Anda lihat, ada beberapa aturan yang mencegah serangan backdoor. Anehnya, ada aturan penemuan dan pelaporan NetBus:, kuda Troya yang menjadi populer beberapa dekade lalu. Mari kita jelaskan bagaimana aturan ini bekerja.

waspada tcp $HOME_NET: 12345:12346>: $EXTERNAL_NET: setiap (pesan:“Jaringan BELAKANG

aktif”

; flow:from_server,dibenarkan; konten.NetBus; tautan ke teman Anda

S401; tipe kelas: misc-aktivitas; samping109:; putaran:5:00;)

waspada tcp $EXTERNAL_NET: setiap –>: $HOME_NET: 12345:12346 (pesan:“Dapatkan info netbus BACKDOOR”; flow:to_server,dikonfirmasi; konten.“DapatkanInfo|0D|”; referensi: arakhnida,403:; tipe kelas: misc-aktivitas; samping110:; putaran:4:;)

Di mana?

-> =: Menentukan arah lalu lintas, dalam hal ini dari jaringan terproteksi kita ke luar

isi =: Cari konten tertentu di dalam paket. Itu dapat berisi teks jika di antara tanda kutip (“ ”) atau data biner jika di antara (|: |).

kedalaman =: Analisis intensif; dalam aturan di atas kita melihat dua parameter berbeda untuk dua konten berbeda.

mengimbangi =: Instruksikan Snort di byte awal setiap paket untuk mulai mencari isinya.

jenis kelas =: Melaporkan jenis serangan apa yang diperingatkan Snort.

sisi:115 =: Pengidentifikasi Aturan.

Cara membuat aturan mendengkur Anda sendiri

Sekarang kami akan membuat aturan baru untuk memberi tahu tentang koneksi SSH yang masuk.

Buat file /etc/snort/rules/yourrule.rules menggunakan editor teks. Anda dapat memberi nama file apa pun yang Anda inginkan. Itu sewenang-wenang, jadi hormati jalannya.

sudo nano /dll./keruh/aturan/aturan Anda

Tempatkan aturan berikut dalam file: Seperti yang Anda lihat, aturan tersebut akan memberi tahu saat perangkat mencoba terhubung melalui SSH.

waspada tcp $EXTERNAL_NET: setiap –>: $HOME_NET: 22:00 (pesan:“SSH Masuk”; aliran: tanpa kewarganegaraan; bendera: S+; samping100006927; putaran:1:;)

Tutup dan simpan file.

Sekarang tambahkan aturan ke file konfigurasi Snort dan jalankan perintah berikut:

sudo nano /dll./keruh/serak.conf:

Gulir ke bawah dan tambahkan baris berikut ke bagian aturan, di mana “yourrule.rules” harus diganti dengan nama aturan khusus Anda.

termasuk: $RULE_PATH:/aturan Anda

Tutup editor teks; sehingga mempertahankan perubahan.

Sekarang mulai Snort dengan menjalankan perintah berikut seperti yang kita lakukan sebelumnya: kalau sudah terbuka, itu bagus.

sudo keruh D: -l: /var:/catatan/keruh/ – H: 192.168.0.1/16:00 -A kenyamanan -C: /dll./keruh/serak.conf:

Saya akan mencoba terhubung dari komputer lain melalui SSH.

Seperti yang Anda lihat pada gambar berikut, aturan yang kami buat melaporkan pengalaman koneksi.

Itu saja untuk tutorial ini. Jika Anda ingin mempelajari lebih lanjut tentang peringatan khusus Snort, saya merekomendasikan tutorial ini https://linuzhint.com/snort_alerts/ untuk melanjutkan membaca tentang peringatan Snort.

Kesimpulan

Seperti yang Anda lihat, mengonfigurasi dan membuat aturan Snort itu sederhana. Setiap pengguna Linux dapat melakukan ini dengan memahami konten yang dijelaskan sebelumnya. Penting untuk mengingat aspek khusus konfigurasi yang dijelaskan sebelumnya untuk pengguna Debian. Ada beberapa alternatif Snort yang bisa Anda coba, seperti OSSEC, namun Snort tetap yang paling populer untuk pengguna Linux. Penting juga bahwa Snort berfungsi untuk semua sistem operasi di jaringan.

Terima kasih telah membaca artikel ini, yang menjelaskan cara mengkonfigurasi Snort IDS dan cara membuat aturan. Nantikan LinuxHint untuk tutorial Linux yang lebih profesional.

Source link

Related posts:

  1. Instal Sistem Deteksi Intrusi Snort di Ubuntu
  2. Selesaikan autentikasi Kerberos di Linux
  3. Deteksi intrusi dengan Snort
  4. Serangan banjir MAC
  5. Honeypot dan Honeynet
  6. Apa itu Eksploitasi Zero-Day?
  7. Tutorial metasploit