Πώς να ρυθμίσετε την ανίχνευση εισβολής χρησιμοποιώντας Snort στο pfSense 2.0

Περιεχόμενο

• Γιατί να δημιουργήσετε ένα σύστημα ανίχνευσης εισβολής;
• Εγκατάσταση του πακέτου Snort
• Λήψη κωδικού Oinkmaster
• Ακολουθήστε τα παρακάτω βήματα για να αποκτήσετε τον κωδικό Oinkmaster:
• Εισαγωγή του κωδικού Oinkmaster στο Snort
• Μη αυτόματη ενημέρωση των κανόνων
• Προσθήκη διεπαφών
• Διαμόρφωση της διεπαφής
• Επιλογή κατηγοριών κανόνων
• Ποιος είναι ο σκοπός των κατηγοριών κανόνων;
• Πώς μπορώ να λάβω περισσότερες πληροφορίες σχετικά με τις κατηγορίες κανόνων;
• Δημοφιλείς κατηγορίες κανόνα Snort
• Ρυθμίσεις προεπεξεργαστή και ροής
• Ξεκινώντας τις διεπαφές
• Εάν το Snort αποτύχει να ξεκινήσει
• Έλεγχος για ειδοποιήσεις

Ο Sam εργάζεται ως αναλυτής δικτύου για μια αλγοριθμική εμπορική εταιρεία. Πήρε το πτυχίο του στην τεχνολογία πληροφοριών από το UMKC.

Γιατί να δημιουργήσετε ένα σύστημα ανίχνευσης εισβολής;

Οι χάκερ, οι ιοί και άλλες απειλές διερευνούν συνεχώς το δίκτυό σας, αναζητώντας έναν τρόπο εισόδου. Χρειάζεται μόνο ένα ηλεκτρονικό μηχάνημα που έχει παραβιαστεί για να παραβιαστεί ολόκληρο το δίκτυο. Για αυτούς τους λόγους, προτείνω να δημιουργήσετε ένα σύστημα εντοπισμού εισβολών, ώστε να μπορείτε να διατηρείτε τα συστήματά σας ασφαλή και να παρακολουθείτε τις διάφορες απειλές στο Διαδίκτυο.

Το Snort είναι ένα IDS ανοιχτού κώδικα που μπορεί εύκολα να εγκατασταθεί σε ένα τείχος προστασίας pfSense για την προστασία ενός οικιακού ή εταιρικού δικτύου από εισβολείς. Το Snort μπορεί επίσης να ρυθμιστεί ώστε να λειτουργεί ως σύστημα πρόληψης εισβολών (IPS), καθιστώντας το πολύ ευέλικτο.

Σε αυτό το άρθρο, θα σας καθοδηγήσω στη διαδικασία εγκατάστασης και διαμόρφωσης του Snort στο pfSense 2.0, ώστε να μπορείτε να αρχίσετε να αναλύετε την κίνηση σε πραγματικό χρόνο.

Εγκατάσταση του πακέτου Snort

Για να ξεκινήσετε με το Snort, θα πρέπει να εγκαταστήσετε το πακέτο χρησιμοποιώντας τον διαχειριστή πακέτων pfSense. Ο διαχειριστής πακέτων βρίσκεται στο μενού συστήματος του pfSense web GUI.

Εντοπίστε το Snort από τη λίστα των πακέτων και, στη συνέχεια, κάντε κλικ στο σύμβολο συν στη δεξιά πλευρά για να ξεκινήσετε την εγκατάσταση.

Είναι φυσιολογικό το snort να διαρκέσει μερικά λεπτά για να εγκατασταθεί, έχει πολλές εξαρτήσεις τις οποίες πρέπει πρώτα να κατεβάσει και να εγκαταστήσει το pfSense.

Μετά την ολοκλήρωση της εγκατάστασης, το Snort θα εμφανιστεί στο μενού υπηρεσιών.

Το Snort μπορεί να εγκατασταθεί χρησιμοποιώντας τον διαχειριστή πακέτων pfSense.

Λήψη κωδικού Oinkmaster

Για να είναι χρήσιμο το Snort, πρέπει να ενημερωθεί με το πιο πρόσφατο σύνολο κανόνων. Το πακέτο Snort μπορεί να ενημερώσει αυτόματα αυτούς τους κανόνες για εσάς, αλλά πρώτα πρέπει να αποκτήσετε έναν κωδικό Oinkmaster.

Υπάρχουν δύο διαφορετικά σύνολα κανόνων Snort:

• Το σύνολο έκδοσης συνδρομητών είναι το πιο ενημερωμένο σύνολο διαθέσιμων κανόνων. Η πρόσβαση σε πραγματικό χρόνο σε αυτούς τους κανόνες απαιτεί ετήσια συνδρομή επί πληρωμή.
• Η άλλη έκδοση των κανόνων είναι η κυκλοφορία του εγγεγραμμένου χρήστη, η οποία είναι εντελώς δωρεάν για όσους εγγράφονται στον ιστότοπο Snort.org.

Η κύρια διαφορά μεταξύ των δύο συνόλων κανόνων είναι ότι οι κανόνες στην καταχωρισμένη κυκλοφορία χρήστη είναι 30 ημέρες πίσω από τους κανόνες συνδρομής. Εάν θέλετε την πιο ενημερωμένη προστασία, θα πρέπει να λάβετε συνδρομή.

Ακολουθήστε τα παρακάτω βήματα για να αποκτήσετε τον κωδικό Oinkmaster:

1. Επισκεφθείτε την ιστοσελίδα κανόνων Snort για να κατεβάσετε την έκδοση που χρειάζεστε.
2. Κάντε κλικ στο «Εγγραφή για λογαριασμό» και δημιουργήστε έναν λογαριασμό Snort.
3. Αφού επιβεβαιώσετε τον λογαριασμό σας, συνδεθείτε στο Snort.org.
4. Κάντε κλικ στο «Ο λογαριασμός μου» στην επάνω γραμμή συνδέσμων.
5. Κάντε κλικ στην καρτέλα "Συνδρομές και κωδικός Oink".
6. Κάντε κλικ στο σύνδεσμο Oinkcodes και, στη συνέχεια, κάντε κλικ στο «Δημιουργία κώδικα».

Ο κωδικός θα παραμείνει αποθηκευμένος στον λογαριασμό σας, ώστε να μπορείτε να τον αποκτήσετε αργότερα, αν χρειαστεί. Αυτός ο κωδικός θα πρέπει να εισαχθεί στις ρυθμίσεις Snort στο pfSense.

Απαιτείται κωδικός Oinkmaster για τη λήψη κανόνων από το Snort.org.

Εισαγωγή του κωδικού Oinkmaster στο Snort

Αφού αποκτήσετε τον κωδικό Oink, πρέπει να εισαχθεί στις ρυθμίσεις του πακέτου Snort. Η σελίδα ρυθμίσεων Snort θα εμφανιστεί στο μενού υπηρεσιών της διεπαφής ιστού. Εάν δεν είναι ορατό, βεβαιωθείτε ότι το πακέτο είναι εγκατεστημένο και εγκαταστήστε ξανά το πακέτο, εάν χρειάζεται.

Ο κωδικός Oink πρέπει να εισαχθεί στη σελίδα καθολικών ρυθμίσεων των ρυθμίσεων Snort. Θέλω επίσης να τσεκάρω το πλαίσιο για να ενεργοποιηθούν και οι κανόνες των Αναδυόμενων Απειλών. Οι κανόνες ET διατηρούνται από μια κοινότητα ανοιχτού κώδικα και μπορούν να παρέχουν ορισμένους πρόσθετους κανόνες που ενδέχεται να μην βρίσκονται στο σύνολο Snort.

Αυτόματες ενημερώσεις

Από προεπιλογή, το πακέτο Snort δεν θα ενημερώσει τους κανόνες αυτόματα. Το συνιστώμενο διάστημα ενημέρωσης είναι μία φορά κάθε 12 ώρες, αλλά μπορείτε να το αλλάξετε για να ταιριάζει στο περιβάλλον σας.

Μην ξεχάσετε να κάνετε κλικ στο κουμπί "αποθήκευση" μόλις ολοκληρώσετε τις αλλαγές.

Μη αυτόματη ενημέρωση των κανόνων

Το Snort δεν συνοδεύεται από κανόνες, οπότε θα πρέπει να τους ενημερώσετε χειροκίνητα την πρώτη φορά. Για να εκτελέσετε τη μη αυτόματη ενημέρωση, κάντε κλικ στην καρτέλα ενημερώσεις και, στη συνέχεια, κάντε κλικ στο κουμπί κανόνων ενημέρωσης.

Το πακέτο θα κατεβάσει τα πιο πρόσφατα σύνολα κανόνων από το Snort.org και επίσης το Emerging Threats εάν έχετε επιλέξει αυτήν την επιλογή.

Μετά την ολοκλήρωση των ενημερώσεων, οι κανόνες θα εξαχθούν και θα είναι στη συνέχεια έτοιμοι για χρήση.

Οι κανόνες πρέπει να ληφθούν χειροκίνητα την πρώτη φορά που θα ρυθμιστεί το Snort.

Προσθήκη διεπαφών

Προτού ξεκινήσει η λειτουργία του Snort ως σύστημα εντοπισμού εισβολών, πρέπει να ορίσετε διεπαφές για παρακολούθηση. Η τυπική διαμόρφωση είναι για το Snort να παρακολουθεί τις διεπαφές WAN. Η άλλη πιο συνηθισμένη διαμόρφωση είναι το Snort να παρακολουθεί τη διεπαφή WAN και LAN.

Η παρακολούθηση της διεπαφής LAN μπορεί να προσφέρει κάποια ορατότητα σε επιθέσεις που πραγματοποιούνται από το δίκτυό σας. Δεν είναι ασυνήθιστο για έναν υπολογιστή στο δίκτυο LAN να μολυνθεί από κακόβουλο λογισμικό και να αρχίσει να επιτίθεται σε συστήματα εντός και εκτός του δικτύου.

Για να προσθέσετε μια διεπαφή, κάντε κλικ στο σύμβολο συν που βρίσκεται στην καρτέλα της διεπαφής Snort.

Διαμόρφωση της διεπαφής

Αφού κάνετε κλικ στο κουμπί προσθήκης διεπαφής, θα δείτε τη σελίδα ρυθμίσεων διεπαφής.Η σελίδα ρυθμίσεων περιέχει πολλές επιλογές, αλλά υπάρχουν μόνο λίγες που πρέπει πραγματικά να ανησυχείτε για να ξεκινήσετε να λειτουργεί.

1. Αρχικά, επιλέξτε το πλαίσιο ενεργοποίησης στο επάνω μέρος της σελίδας.
2. Στη συνέχεια, επιλέξτε τη διεπαφή που θέλετε να διαμορφώσετε (σε αυτό το παράδειγμα ρυθμίζω πρώτα το WAN).
3. Ρυθμίστε την απόδοση της μνήμης σε AC-BNFA.
4. Επιλέξτε το πλαίσιο "Log Alerts to snort unified2 file" ώστε να λειτουργεί το barnyard2.
5. Κάντε κλικ στην αποθήκευση.

Εάν εκτελείτε ένα δρομολογητής multi-wan, μπορείτε να προχωρήσετε και να διαμορφώσετε τις άλλες διεπαφές WAN στο σύστημά σας. Προτείνω επίσης να προσθέσετε τη διεπαφή LAN.

Επιλογή κατηγοριών κανόνων

Πριν ξεκινήσετε τις διεπαφές, υπάρχουν μερικές ακόμη ρυθμίσεις που πρέπει να διαμορφωθούν για κάθε διεπαφή. Για να διαμορφώσετε τις πρόσθετες ρυθμίσεις, επιστρέψτε στην καρτέλα Διεπαφές Snort και κάντε κλικ στο σύμβολο «E» στη δεξιά πλευρά της σελίδας δίπλα στη διεπαφή. Αυτό θα σας μεταφέρει στη σελίδα διαμόρφωσης για τη συγκεκριμένη διεπαφή.

Για να επιλέξετε τις κατηγορίες κανόνων που πρέπει να ενεργοποιηθούν για τη διεπαφή, κάντε κλικ στην καρτέλα κατηγορίες. Όλοι οι κανόνες ανίχνευσης χωρίζονται σε κατηγορίες. Οι κατηγορίες που περιέχουν κανόνες από το Emerging Threats θα ξεκινούν με το «Emerging» και οι κανόνες από το Snort.org ξεκινούν με το «snort».

Αφού επιλέξετε τις κατηγορίες, κάντε κλικ στο κουμπί αποθήκευσης στο κάτω μέρος της σελίδας.

Ποιος είναι ο σκοπός των κατηγοριών κανόνων;

Χωρίζοντας τους κανόνες σε κατηγορίες, μπορείτε να ενεργοποιήσετε μόνο τις συγκεκριμένες κατηγορίες που σας ενδιαφέρουν. Συνιστώ να ενεργοποιήσετε ορισμένες από τις πιο γενικές κατηγορίες. Εάν εκτελείτε συγκεκριμένες υπηρεσίες στο δίκτυό σας, όπως διακομιστή ιστού ή βάσης δεδομένων, τότε θα πρέπει επίσης να ενεργοποιήσετε κατηγορίες που σχετίζονται με αυτές.

Είναι σημαντικό να θυμάστε ότι το Snort θα απαιτεί περισσότερους πόρους συστήματος κάθε φορά που ενεργοποιείται μια επιπλέον κατηγορία. Αυτό μπορεί επίσης να αυξήσει τον αριθμό των ψευδών θετικών. Γενικά, είναι καλύτερο να ενεργοποιήσετε μόνο τις ομάδες που χρειάζεστε, αλλά μη διστάσετε να πειραματιστείτε με τις κατηγορίες και να δείτε τι λειτουργεί καλύτερα.

Πώς μπορώ να λάβω περισσότερες πληροφορίες σχετικά με τις κατηγορίες κανόνων;

Εάν θέλετε να μάθετε ποιοι κανόνες είναι σε μια κατηγορία και να μάθετε περισσότερα σχετικά με το τι κάνουν, τότε μπορείτε να κάνετε κλικ στην κατηγορία. Αυτό θα σας συνδέσει απευθείας με τη λίστα όλων των κανόνων της κατηγορίας.

Δημοφιλείς κατηγορίες κανόνα Snort

Αυτές είναι μερικές από τις πιο δημοφιλείς κατηγορίες κανόνων Snort που ίσως θέλετε να ενεργοποιήσετε.

όνομα κατηγορίας	Περιγραφή
snort_botnet-cnc.rules	Στοχεύει γνωστούς κεντρικούς υπολογιστές εντολών και ελέγχου botnet.
snort_ddos.rules	Εντοπίζει επιθέσεις άρνησης υπηρεσίας.
snort_scan.rules	Αυτοί οι κανόνες εντοπίζουν σάρωση θύρας, ανιχνευτές Nessus και άλλες επιθέσεις συλλογής πληροφοριών.
snort_virus.rules	Ανιχνεύει υπογραφές γνωστών trojans, ιών και worm. Συνιστάται ιδιαίτερα η χρήση αυτής της κατηγορίας.

Ρυθμίσεις προεπεξεργαστή και ροής

Υπάρχουν μερικές ρυθμίσεις στη σελίδα ρυθμίσεων προεπεξεργαστών που πρέπει να ενεργοποιηθούν. Πολλοί από τους κανόνες ανίχνευσης απαιτούν την ενεργοποίηση της επιθεώρησης HTTP για να λειτουργήσουν.

1. Στην ενότητα Ρυθμίσεις επιθεώρησης HTTP, ενεργοποιήστε την επιλογή "Χρήση επιθεώρησης HTTP για ομαλοποίηση / αποκωδικοποίηση"
2. Στην ενότητα γενικών ρυθμίσεων προεπεξεργαστή, ενεργοποιήστε το "Portscan Detection"
3. Αποθηκεύστε τις ρυθμίσεις.

Ξεκινώντας τις διεπαφές

Όταν προστίθεται μια νέα διεπαφή στο Snort, δεν ξεκινά αυτόματα να λειτουργεί. Για να ξεκινήσετε με μη αυτόματο τρόπο τις διεπαφές, κάντε κλικ στο πράσινο κουμπί αναπαραγωγής στην αριστερή πλευρά κάθε διεπαφής που έχει διαμορφωθεί.

Όταν το Snort εκτελείται, το κείμενο πίσω από το όνομα της διεπαφής θα εμφανίζεται με πράσινο χρώμα. Για να σταματήσετε το Snort, κάντε κλικ στο κόκκινο κουμπί διακοπής που βρίσκεται στην αριστερή πλευρά της διεπαφής.

Εάν το Snort αποτύχει να ξεκινήσει

Υπάρχουν μερικά κοινά προβλήματα που μπορούν να αποτρέψουν την εκκίνηση του Snort.

• Ελέγξτε τους κανόνες: Για να επαληθεύσετε την εγκατάσταση των κανόνων, κάντε κλικ στην καρτέλα ενημερώσεις και αναζητήστε ένα κατακερματισμό στην ενότητα του εγκατεστημένου συνόλου κανόνων υπογραφής. Θα πρέπει να δείτε κάτι σαν SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70."
• Ρυθμίσεις προεπεξεργαστή: Αρκετοί από τους κανόνες απαιτούν να είναι ενεργοποιημένη η επιλογή επιθεώρησης HTTP στις ρυθμίσεις του προεπεξεργαστή, οπότε βεβαιωθείτε ότι έχετε ενεργοποιήσει αυτήν τη δυνατότητα.
• Ελέγξτε τα αρχεία καταγραφής συστήματος: Εάν το Snort αντιμετωπίσει σφάλμα, θα δείτε το μήνυμα στα αρχεία καταγραφής συστήματος. Τα αρχεία καταγραφής συστήματος μπορούν να βρεθούν στην κατάσταση καταγραφής συστήματος / καταγραφής. Το σφάλμα συχνά σας λέει ακριβώς ποιο είναι το πρόβλημα.

Έλεγχος για ειδοποιήσεις

Μετά την επιτυχή διαμόρφωση και εκκίνηση του Snort, θα πρέπει να αρχίσετε να βλέπετε ειδοποιήσεις μόλις εντοπιστεί η κίνηση που ταιριάζει με τους κανόνες.

Εάν δεν βλέπετε ειδοποιήσεις, δώστε λίγο χρόνο και μετά ελέγξτε ξανά. Μπορεί να χρειαστεί λίγη ώρα προτού δείτε τυχόν ειδοποιήσεις, ανάλογα με τον αριθμό της κυκλοφορίας και τους κανόνες που είναι ενεργοποιημένοι.

Εάν θέλετε να προβάλετε τις ειδοποιήσεις από απόσταση, μπορείτε να ενεργοποιήσετε τη ρύθμιση διεπαφής "Αποστολή ειδοποιήσεων στα κύρια αρχεία καταγραφής συστήματος". Οι ειδοποιήσεις που εμφανίζονται στα αρχεία καταγραφής συστήματος μπορεί να είναι προβλήθηκε από απόσταση χρησιμοποιώντας το Syslog.

Αυτό το άρθρο είναι ακριβές και πιστό από ό, τι γνωρίζουν οι συγγραφείς. Το περιεχόμενο προορίζεται μόνο για ενημερωτικούς ή ψυχαγωγικούς σκοπούς και δεν υποκαθιστά προσωπικές συμβουλές ή επαγγελματικές συμβουλές σε επιχειρηματικά, οικονομικά, νομικά ή τεχνικά θέματα.