Mendengus

Pasang Sistem Pengesanan Pencerobohan Snort Ubuntu

Pasang Sistem Pengesanan Pencerobohan Snort Ubuntu

Setelah menubuhkan pelayan antara langkah biasa yang pertama yang berkaitan dengan keselamatan adalah firewall, kemas kini dan peningkatan, kunci ssh, peranti perkakasan. Tetapi kebanyakan sysadmin tidak mengimbas pelayan mereka sendiri untuk menemui titik lemah seperti yang dijelaskan dengan OpenVas atau Nessus, juga tidak mengatur honeypots atau Sistem Pengesanan Pencerobohan (IDS) yang dijelaskan di bawah.

Terdapat beberapa IDS di pasaran dan yang terbaik adalah percuma, Snort adalah yang paling popular, saya hanya tahu Snort dan OSSEC dan saya lebih suka OSSEC daripada Snort kerana ia memakan lebih sedikit sumber tetapi saya rasa Snort masih bersifat universal. Pilihan tambahan adalah: Suricata, Bro IDS, Security Onion.

Penyelidikan paling rasmi mengenai keberkesanan IDS cukup lama, dari tahun 1998, tahun yang sama di mana Snort pada mulanya dikembangkan, dan dilakukan oleh DARPA, ia menyimpulkan bahawa sistem seperti itu tidak berguna sebelum serangan moden. Selepas 2 dekad, IT berkembang dengan kemajuan geometri, keselamatan juga berlaku dan semuanya hampir terkini, penggunaan IDS sangat berguna untuk setiap sysadmin.

ID Snort

Snort IDS berfungsi dalam 3 mod yang berbeza, sebagai sniffer, sebagai packet logger dan sistem pengesanan pencerobohan rangkaian.  Yang terakhir adalah yang paling serba boleh untuk fokus artikel ini.

Memasang Snort

apt-get install libpcap-dev bison flex

Kemudian kami menjalankan:

apt-get install snort

Dalam kes saya, perisian sudah terpasang, tetapi secara tidak lalai, begitulah ia dipasang di Kali (Debian).


Bermula dengan mod sniffer Snort

Mod sniffer membaca lalu lintas rangkaian dan memaparkan terjemahan untuk penonton manusia.
Untuk mengujinya taipkan:

# snort -v

Pilihan ini tidak boleh digunakan secara normal, menampilkan lalu lintas memerlukan sumber daya yang terlalu banyak, dan hanya diterapkan untuk menunjukkan output perintah.


Di terminal kita dapat melihat tajuk lalu lintas yang dikesan oleh Snort antara komputer, penghala dan internet. Snort juga melaporkan kurangnya dasar untuk bertindak balas terhadap lalu lintas yang dikesan.
Sekiranya kami mahu Snort juga menunjukkan data, taip:

# snort -vd

Untuk menunjukkan header lapisan 2 dijalankan:

# snort -v -d -e

Sama seperti parameter "v", "e" juga menunjukkan pembaziran sumber daya, penggunaannya harus dihindari untuk pengeluaran.


Bermula dengan mod Snort's Packet Logger

Untuk menyimpan laporan Snort, kita perlu menentukan untuk direktori log Snort, jika kita mahu Snort hanya menampilkan tajuk dan mencatat lalu lintas pada jenis cakera:

# mkdir snortlog
# snort -d -l snortlog

Log akan disimpan di dalam direktori snortlog.

Sekiranya anda ingin membaca jenis fail log:

# nama snf -d -v -r logfilen.balak.xxxxxxx


Bermula dengan mod Sistem Pengesanan Pencerobohan Rangkaian (NIDS) Snort

Dengan perintah berikut Snort membaca peraturan yang ditentukan dalam fail / etc / snort / snort.conf untuk menyaring lalu lintas dengan betul, mengelakkan membaca keseluruhan lalu lintas dan memberi tumpuan kepada kejadian tertentu
disebut dalam snort.conf melalui peraturan yang boleh disesuaikan.

Parameter "-A console" memerintahkan snort untuk memberi amaran di terminal.

# snort -d -l snortlog -h 10.0.0.0/24 -Konsol -c mendengus.pengesahan

Terima kasih kerana membaca teks pengantar ini untuk penggunaan Snort.

Port Sumber Terbuka Mesin Permainan Komersial
Rekreasi enjin permainan sumber terbuka dan bebas platform boleh digunakan untuk bermain lama dan juga beberapa tajuk permainan yang baru-baru ini. Ar...
Permainan Perintah Terbaik untuk Linux
Baris perintah bukan hanya sekutu terbesar anda ketika menggunakan Linux-ia juga dapat menjadi sumber hiburan kerana anda dapat menggunakannya untuk m...
Aplikasi Pemetaan Gamepad Terbaik untuk Linux
Sekiranya anda suka bermain permainan di Linux dengan gamepad dan bukannya sistem input papan kekunci dan tetikus biasa, ada beberapa aplikasi berguna...