Po nastavení ľubovoľného servera sú medzi prvými obvyklými krokmi spojenými s bezpečnosťou firewall, aktualizácie a upgrady, ssh kľúče, hardvérové zariadenia. Väčšina správcov ale neskenuje svoje vlastné servery, aby objavila slabé miesta, ako je to vysvetlené v OpenVas alebo Nessus, ani nenastavuje honeypoty alebo systém detekcie narušenia (IDS), ktorý je vysvetlený nižšie.
Na trhu existuje niekoľko IDS a najlepšie sú zadarmo, Snort je najpopulárnejší, poznám iba Snort a OSSEC a mám radšej OSSEC ako Snort, pretože je menej zdrojov, ale myslím si, že Snort je stále univerzálny. Ďalšie možnosti sú: Suricata, Bro IDS, Security Onion.
Najoficiálnejší výskum účinnosti IDS je dosť starý, z roku 1998, toho istého roku, v ktorom sa pôvodne vyvíjal Snort, a vykonal ho DARPA. Dospel k záveru, že tieto systémy boli pred modernými útokmi zbytočné. Po 2 desaťročiach sa IT vyvíjalo geometrickým pokrokom, bezpečnosť sa tiež vyvíjala a všetko je takmer aktuálne, prijatie IDS je užitočné pre každého správcu.
Odfrknúť IDS
Snort IDS pracuje v 3 rôznych režimoch, ako sniffer, ako logger paketov a systém detekcie narušenia siete. Posledná z nich je najuniverzálnejšia, pre ktorú je tento článok zameraný.
Inštaluje sa Snort
apt-get nainštalovať libpcap-dev bison flexPotom spustíme:
apt-get install snortV mojom prípade je softvér už nainštalovaný, ale nebol predvolene, tak bol nainštalovaný na Kali (Debian).
Začíname s režimom Sniffer od Snorta
Režim sledovača sníma prenos v sieti a zobrazuje preklad pre ľudského diváka.
Za účelom otestovania zadajte:
Táto voľba by sa nemala používať normálne, zobrazenie prenosu vyžaduje príliš veľa zdrojov a používa sa iba na zobrazenie výstupu príkazu.
V termináli vidíme hlavičky prenosu zistené Snortom medzi počítačom, smerovačom a internetom. Snort tiež hlási nedostatok politík reagujúcich na detekovanú komunikáciu.
Ak chceme, aby Snort zobrazoval aj údaje, napíšeme:
Ak chcete zobraziť spustenie hlavičiek vrstvy 2:
# odfrknúť -v -d -eRovnako ako parameter „v“ predstavuje aj „e“ plytvanie zdrojmi, preto by sa pri výrobe malo zabrániť jeho použitiu.
Začíname pracovať v režime Snort Packet Logger
Aby sme mohli uložiť Snortove správy, musíme určiť Snort adresár protokolov, ak chceme, aby Snort zobrazoval iba hlavičky a protokoloval prenos na type disku:
# mkdir snortlogs# snort -d -l snortlogs
Protokol sa uloží do adresára snortlogs.
Ak si chcete prečítať súbory protokolu, zadajte:
# snort -d -v -r logfilename.log.xxxxxxx
Začíname pracovať s režimom NIDS (Network Intrusion Detection System) spoločnosti Snort
Pomocou nasledujúceho príkazu Snort načíta pravidlá uvedené v súbore / etc / snort / snort.conf na správne filtrovanie premávky, vyhýbanie sa čítaniu celej premávky a zameraniu sa na konkrétne udalosti
uvedené v odfrknutí.conf prostredníctvom prispôsobiteľných pravidiel.
Parameter „-A console“ dáva príkazu odfrknúť výstrahu v termináli.
# snort -d -l snortlog -h 10.0.0.0/24 -A konzola -c odfrknutie.konf
Ďakujeme, že ste si prečítali tento úvodný text k Snortovmu použitiu.