Setelah menubuhkan pelayan antara langkah biasa yang pertama yang berkaitan dengan keselamatan adalah firewall, kemas kini dan peningkatan, kunci ssh, peranti perkakasan. Tetapi kebanyakan sysadmin tidak mengimbas pelayan mereka sendiri untuk menemui titik lemah seperti yang dijelaskan dengan OpenVas atau Nessus, juga tidak mengatur honeypots atau Sistem Pengesanan Pencerobohan (IDS) yang dijelaskan di bawah.
Terdapat beberapa IDS di pasaran dan yang terbaik adalah percuma, Snort adalah yang paling popular, saya hanya tahu Snort dan OSSEC dan saya lebih suka OSSEC daripada Snort kerana ia memakan lebih sedikit sumber tetapi saya rasa Snort masih bersifat universal. Pilihan tambahan adalah: Suricata, Bro IDS, Security Onion.
Penyelidikan paling rasmi mengenai keberkesanan IDS cukup lama, dari tahun 1998, tahun yang sama di mana Snort pada mulanya dikembangkan, dan dilakukan oleh DARPA, ia menyimpulkan bahawa sistem seperti itu tidak berguna sebelum serangan moden. Selepas 2 dekad, IT berkembang dengan kemajuan geometri, keselamatan juga berlaku dan semuanya hampir terkini, penggunaan IDS sangat berguna untuk setiap sysadmin.
ID Snort
Snort IDS berfungsi dalam 3 mod yang berbeza, sebagai sniffer, sebagai packet logger dan sistem pengesanan pencerobohan rangkaian. Yang terakhir adalah yang paling serba boleh untuk fokus artikel ini.
Memasang Snort
apt-get install libpcap-dev bison flexKemudian kami menjalankan:
apt-get install snortDalam kes saya, perisian sudah terpasang, tetapi secara tidak lalai, begitulah ia dipasang di Kali (Debian).
Bermula dengan mod sniffer Snort
Mod sniffer membaca lalu lintas rangkaian dan memaparkan terjemahan untuk penonton manusia.
Untuk mengujinya taipkan:
Pilihan ini tidak boleh digunakan secara normal, menampilkan lalu lintas memerlukan sumber daya yang terlalu banyak, dan hanya diterapkan untuk menunjukkan output perintah.
Di terminal kita dapat melihat tajuk lalu lintas yang dikesan oleh Snort antara komputer, penghala dan internet. Snort juga melaporkan kurangnya dasar untuk bertindak balas terhadap lalu lintas yang dikesan.
Sekiranya kami mahu Snort juga menunjukkan data, taip:
Untuk menunjukkan header lapisan 2 dijalankan:
# snort -v -d -eSama seperti parameter "v", "e" juga menunjukkan pembaziran sumber daya, penggunaannya harus dihindari untuk pengeluaran.
Bermula dengan mod Snort's Packet Logger
Untuk menyimpan laporan Snort, kita perlu menentukan untuk direktori log Snort, jika kita mahu Snort hanya menampilkan tajuk dan mencatat lalu lintas pada jenis cakera:
# mkdir snortlog# snort -d -l snortlog
Log akan disimpan di dalam direktori snortlog.
Sekiranya anda ingin membaca jenis fail log:
# nama snf -d -v -r logfilen.balak.xxxxxxx
Bermula dengan mod Sistem Pengesanan Pencerobohan Rangkaian (NIDS) Snort
Dengan perintah berikut Snort membaca peraturan yang ditentukan dalam fail / etc / snort / snort.conf untuk menyaring lalu lintas dengan betul, mengelakkan membaca keseluruhan lalu lintas dan memberi tumpuan kepada kejadian tertentu
disebut dalam snort.conf melalui peraturan yang boleh disesuaikan.
Parameter "-A console" memerintahkan snort untuk memberi amaran di terminal.
# snort -d -l snortlog -h 10.0.0.0/24 -Konsol -c mendengus.pengesahan
Terima kasih kerana membaca teks pengantar ini untuk penggunaan Snort.