Համացանց

Ինչպես կարգավորել ներխուժման հայտնաբերումը, օգտագործելով Snort- ը pfSense 2.0-ում

Հեղինակ: Peter Berry
Ստեղծման Ամսաթիվը: 18 Հուլիս 2021
Թարմացման Ամսաթիվը: 10 Մայիս 2024
Anonim
Ինչպես կարգավորել ներխուժման հայտնաբերումը, օգտագործելով Snort- ը pfSense 2.0-ում - Համացանց
Ինչպես կարգավորել ներխուժման հայտնաբերումը, օգտագործելով Snort- ը pfSense 2.0-ում - Համացանց

Բովանդակություն

Սեմն աշխատում է որպես ալգորիթմական առևտրային ֆիրմայի ցանցի վերլուծաբան: Նա տեղեկատվական տեխնոլոգիայի բակալավրի աստիճան է ստացել UMKC- ից:

Ինչու ստեղծել ներխուժման հայտնաբերման համակարգ:

Հակերները, վիրուսները և այլ սպառնալիքները անընդհատ զննում են ձեր ցանցը `ներս մտնելու միջոց փնտրելով: Ընդամենը մեկ կոտրված մեքենա է պետք, որ ամբողջ ցանցը վտանգի ենթարկվի: Այս պատճառներով ես խորհուրդ եմ տալիս ստեղծել ներխուժման հայտնաբերման համակարգ, որպեսզի կարողանաք ապահով պահել ձեր համակարգերը և վերահսկել ինտերնետում առկա տարբեր սպառնալիքները:

Snort- ը բաց կոդով IDS է, որը հեշտությամբ կարելի է տեղադրել pfSense firewall- ի վրա `տնային կամ կորպորատիվ ցանցը ներխուժողներից պաշտպանելու համար: Snort- ը կարող է նաև կազմաձեւվել ՝ գործելու որպես ներխուժման կանխարգելման համակարգ (IPS) ՝ այն դարձնելով շատ ճկուն:


Այս հոդվածում ես ձեզ կուղեկցեմ Snf- ի pfSense 2.0-ի վրա տեղադրման և կարգաբերման գործընթացով, որպեսզի կարողանաք իրական ժամանակում վերլուծել երթևեկը:

Snort փաթեթի տեղադրում

Snort- ով սկսելու համար հարկավոր է տեղադրել փաթեթը `օգտագործելով pfSense փաթեթի կառավարիչը: Փաթեթի կառավարիչը գտնվում է pfSense վեբ GUI համակարգի ընտրացանկում:

Տեղադրեք Snort փաթեթների ցանկից և այնուհետև կտտացրեք գումարած խորհրդանիշին աջ կողմում ՝ տեղադրումն սկսելու համար:

Նորմալ է, որ խռմփոցը մի քանի րոպե տևի տեղադրելու համար, այն ունի մի քանի կախվածություն, որոնք նախ պետք է pfSense- ը ներբեռնի և տեղադրի:

Տեղադրումն ավարտելուց հետո Snort- ը կհայտնվի ծառայությունների ընտրացանկում:

Snort- ը կարող է տեղադրվել `օգտագործելով pfSense փաթեթի կառավարչի միջոցով:

Oinkmaster օրենսգրքի ստացում

Որպեսզի Snort- ը օգտակար լինի, այն պետք է թարմացվի նորագույն կանոնների հավաքածուով: Snort փաթեթը կարող է ավտոմատ կերպով թարմացնել այս կանոնները ձեզ համար, բայց նախ պետք է ձեռք բերել Oinkmaster ծածկագիր:

Snort- ի կանոնների երկու տարբեր հավաքածու կա.

  • Բաժանորդի թողարկման հավաքածուն առկա ամենաթարմ կանոնների շարք է: Այս կանոններին իրական ժամանակում մուտք ունենալը պահանջում է տարեկան վճարովի բաժանորդագրություն:
  • Կանոնների մյուս տարբերակը գրանցված օգտագործողի թողարկումն է, որն ամբողջովին անվճար է յուրաքանչյուրի համար, ով գրանցվում է Snort.org կայքում:

Երկու կանոնների հավաքածուների հիմնական տարբերությունն այն է, որ գրանցված օգտագործողի թողարկման կանոնները բաժանորդագրության կանոններից հետ են 30 օրից: Եթե ​​ցանկանում եք առավել արդի պաշտպանություն, ապա պետք է բաժանորդագրություն ձեռք բերեք:

Հետևեք ստորև նշված քայլերին ՝ ձեր Oinkmaster կոդը ստանալու համար.

  1. Այցելեք Snort կանոնների կայքէջ ՝ ձեզ համար անհրաժեշտ տարբերակը ներբեռնելու համար:
  2. Սեղմեք «Գրանցվել հաշվի համար» և ստեղծել Snort հաշիվ:
  3. Ձեր հաշիվը հաստատելուց հետո մուտք գործեք Snort.org:
  4. Կտտացրեք «Իմ հաշիվը» վերին հղման տողում:
  5. Կտտացրեք «Բաժանորդագրություններ և Oinkcode» ներդիրին:
  6. Կտտացրեք Oinkcodes հղմանը և այնուհետև կտտացրեք «Ստեղծել ծածկագիր»:

Կոդը կմնա պահված ձեր հաշվի մեջ, որպեսզի անհրաժեշտության դեպքում այն ​​կարողանաք ավելի ուշ ձեռք բերել: Այս կոդը անհրաժեշտ է մուտքագրել pfSense- ի Snort- ի պարամետրերում:


Snort.org- ից կանոններ ներբեռնելու համար անհրաժեշտ է Oinkmaster կոդ:

Մտնելով Oinkmaster օրենսգիրքը Snort- ում

Oinkcode- ը ստանալուց հետո այն պետք է մուտքագրվի Snort փաթեթի կարգավորումներում: Snort- ի կարգավորումների էջը կհայտնվի վեբ ինտերֆեյսի ծառայությունների ցանկում: Եթե ​​դա տեսանելի չէ, համոզվեք, որ փաթեթը տեղադրված է և անհրաժեշտության դեպքում նորից տեղադրեք փաթեթը:

Oinkcode- ը պետք է մուտքագրվի Snort պարամետրերի ընդհանուր պարամետրերի էջում: Ես սիրում եմ նաև ստուգել վանդակը, որպեսզի հնարավոր լինի enableարգացող սպառնալիքների կանոնները: ET կանոնները պահպանվում են բաց կոդով համայնքի կողմից և կարող են տրամադրել մի քանի լրացուցիչ կանոններ, որոնք հնարավոր չէ գտնել «Snort» հավաքածուում:

Ավտոմատ թարմացումներ

Լռելյայնորեն, Snort փաթեթը ավտոմատ կերպով չի թարմացնի կանոնները: Առաջարկվող թարմացման միջակայքը 12 ժամը մեկ անգամն է, բայց սա կարող եք փոխել ՝ համապատասխանելով ձեր միջավայրին:

Մի մոռացեք, որ փոփոխությունները կատարելուց հետո կտտացրեք «պահպանել» կոճակին:

Կանոնների ձեռքով թարմացում

Snort- ը չի պարունակում ոչ մի կանոն, ուստի առաջին անգամ ստիպված կլինեք ձեռքով թարմացնել դրանք: Ձեռնարկի թարմացումը գործարկելու համար կտտացրեք թարմացումների ներդիրին և այնուհետև կտտացրեք թարմացման կանոնների կոճակին:

Փաթեթը կներբեռնի վերջին կանոնների հավաքածուները Snort.org կայքից և նաև Emerging Threats, եթե այդ տարբերակն ընտրված է:

Թարմացումներն ավարտելուց հետո կանոնները արդյունահանվելու են և պատրաստ կլինեն օգտագործման:

Կանոնները պետք է ձեռքով ներբեռնվեն, երբ Snort- ը տեղադրվի:

Ինտերֆեյսների ավելացում

Նախքան Snort- ը կսկսի գործել որպես ներխուժման հայտնաբերման համակարգ, դրա համար պետք է հատկացնել ինտերֆեյս: Բնորոշ կազմաձևը Snort- ի համար ցանկացած WAN ինտերֆեյս վերահսկելու համար է: Snort- ի մյուս ամենատարածված կազմաձևումը WAN- ի և LAN- ի ինտերֆեյսի վերահսկման համար է:

LAN- ի ինտերֆեյսի մոնիտորինգը կարող է որոշակի տեսանելիություն ապահովել ձեր ցանցի ներսում տեղի ունեցող հարձակումներին: Հազվադեպ չէ, որ LAN ցանցում գտնվող համակարգիչը վարակվում է չարամիտ ծրագրերով և սկսում է հարձակումներ իրականացնել ցանցի ներսում և դրսում գտնվող համակարգերի վրա:

Ինտերֆեյս ավելացնելու համար կտտացրեք Snort ինտերֆեյսի ներդիրում հայտնաբերված գումարած խորհրդանիշին:

Կազմաձևում է միջերեսը

Ավելացնել միջերեսի կոճակը կտտացնելուց հետո կտեսնեք ինտերֆեյսի կարգավորումների էջը:Պարամետրերի էջը պարունակում է բազմաթիվ ընտրանքներ, բայց կան միայն մի քանիսը, որոնց մասին իսկապես պետք է անհանգստանաք ՝ գործը գործի դնելու համար:

  1. Նախ, ստուգեք էջի վերևում միացված տուփը:
  2. Հաջորդը ընտրեք այն ինտերֆեյսը, որը ցանկանում եք կազմաձևել (այս օրինակում ես նախ կարգավորում եմ WAN- ը):
  3. Հիշողության կատարումը սահմանեք AC-BNFA:
  4. Նշեք «Մուտք գործեք ահազանգերը ՝ unified2 ֆայլը խեղդելու համար» վանդակում, այնպես որ barnyard2 կգործի:
  5. Սեղմեք պահեք:

Եթե ​​վազում եք ա բազմավանկ երթուղիչ, կարող եք առաջ գնալ և կարգավորել ձեր համակարգի մյուս WAN ինտերֆեյսները: Ես նաև խորհուրդ եմ տալիս ավելացնել LAN ինտերֆեյսը:

Կանոնների կատեգորիաների ընտրություն

Նախքան ինտերֆեյսները սկսելը, կան ևս մի քանի կարգավորումներ, որոնք անհրաժեշտ է կազմաձևել յուրաքանչյուր ինտերֆեյսի համար: Լրացուցիչ պարամետրերը կազմաձևելու համար վերադառնաք Snort ինտերֆեյսերի ներդիրին և կտտացրեք «E» խորհրդանիշին ՝ ինտերֆեյսի կողքին գտնվող էջի աջ կողմում: Սա ձեզ հետ կտանի տվյալ ինտերֆեյսի կազմաձևման էջ:

Որպեսզի ընտրեք կանոնների կատեգորիաները, որոնք պետք է միացված լինեն ինտերֆեյսի համար, կտտացրեք կատեգորիաների ներդիրին: Հայտնաբերման բոլոր կանոնները բաժանված են կատեգորիաների: Gingագող սպառնալիքներից կանոններ պարունակող կատեգորիաները կսկսվեն «առաջացող» բառերով, իսկ Snort.org- ի կանոնները ՝ «խռխռոց» բառերով:

Կատեգորիաներ ընտրելուց հետո կտտացրեք էջի ներքևում գտնվող պահման կոճակին:

Ո՞րն է կանոնների կատեգորիաների նպատակը:

Կանոնները բաժանելով կատեգորիաների, դուք կարող եք թույլ տալ միայն ձեզ հետաքրքրող որոշակի կատեգորիաներ: Խորհուրդ եմ տալիս միացնել ավելի ընդհանուր կատեգորիաներից մի քանիսը: Եթե ​​ձեր ցանցում հատուկ ծառայություններ եք վարում, ինչպիսիք են վեբը կամ տվյալների շտեմարանի սերվերը, ապա պետք է ակտիվացնեք նաև դրանց վերաբերող կատեգորիաները:

Կարևոր է հիշել, որ Snort- ն ավելի շատ համակարգային ռեսուրսներ կպահանջի ամեն անգամ, երբ լրացուցիչ կատեգորիա միանա: Սա կարող է նաև մեծացնել կեղծ դրականի քանակը: Ընդհանուր առմամբ, ամենալավն այն է, որ միացնեք միայն ձեզ անհրաժեշտ խմբերը, բայց ազատ զգացեք փորձեր կատեգորիաների հետ և տեսեք, թե ինչն է ավելի լավ:

Ինչպե՞ս կարող եմ լրացուցիչ տեղեկություններ ստանալ կանոնների կատեգորիաների մասին:

Եթե ​​ցանկանում եք պարզել, թե ինչ կանոններ կան կատեգորիայի մեջ և ավելին իմանալ դրանց կատարման մասին, ապա կարող եք սեղմել կատեգորիայի վրա: Սա ձեզ ուղղակիորեն կապելու է կատեգորիայի բոլոր կանոնների ցուցակին:

Խռմփոց կանոնների հանրաճանաչ կատեգորիաներ

Սրանք Snort կանոնների ամենատարածված կատեգորիաներն են, որոնք դուք կարող եք ցանկանալ միացնել:

Կատեգորիայի անվանումըՆկարագրություն

snort_botnet-cnc.rules

Թիրախավորում է հայտնի botnet հրամանի և կառավարման հոստերը:

snort_ddos.rules

Հայտնաբերում է ծառայողական հարձակումների մերժումը:

snort_scan.rules

Այս կանոնները հայտնաբերում են նավահանգստային զննումները, Nessus զոնդերը և այլ տեղեկատվություն հավաքող հարձակումները:

snort_virus.rules

Հայտնաբերում է հայտնի տրոյաների, վիրուսների և որդերի ստորագրությունները: Շատ խորհուրդ է տրվում օգտագործել այս կատեգորիան:

Նախամշակիչի և հոսքի կարգավորումներ

Նախընտրական պրոցեսորների կարգաբերումների էջում կան մի քանի կարգավորումներ, որոնք պետք է միացված լինեն: Հայտնաբերման շատ կանոններ պահանջում են, որ HTTP ստուգումը միացված լինի, որպեսզի նրանք աշխատեն:

  1. HTTP ստուգման պարամետրերի ներքո միացրեք «Օգտագործել HTTP ստուգումը ՝ նորմալացնելու / վերծանելու համար»
  2. Ընդհանուր նախածրագրային պարամետրերի բաժնում միացրեք «Portscan Detection»
  3. Պահեք պարամետրերը:

Սկսելով ինտերֆեյսները

Երբ Snort- ին ավելացվում է նոր ինտերֆեյս, այն ինքնաբերաբար չի սկսում գործել: Ինտերֆեյսները ձեռքով սկսելու համար կտտացրեք կազմաձևված յուրաքանչյուր ինտերֆեյսի ձախ կողմում գտնվող կանաչ նվագի կոճակին:

Երբ Snort- ը վազում է, ինտերֆեյսի անվան տակ գտնվող տեքստը կհայտնվի կանաչ գույնով: Snort- ը դադարեցնելու համար կտտացրեք ինտերֆեյսի ձախ կողմում գտնվող կարմիր կանգառ կոճակին:

Եթե ​​խռմփոցը չկարողանա սկսել

Գոյություն ունեն մի քանի ընդհանուր խնդիրներ, որոնք կարող են խանգարել Snort- ի սկսվելուն:

  • Ստուգեք կանոնները. Կանոնների տեղադրումը հաստատելու համար կտտացրեք թարմացումների ներդիրին և տեղադրված ստորագրության կանոնների սահմանված բաժնի տակ փնտրեք հեշ: Դուք պետք է SNORT.ORG- ի նման մի բան տեսնեք> "59b31f005c3d4ead427cba4b02fffd70":
  • Նախամշակիչ պարամետրեր. Կանոններից մի քանիսը պահանջում են, որ նախադպրոցական պարամետրերում միացված լինի HTTP ստուգման տարբերակը, այնպես որ համոզվեք, որ այս գործառույթը միացված է:
  • Ստուգեք համակարգի տեղեկամատյանները. Եթե ​​Snort- ը բախվի սխալի, հաղորդագրությունը կտեսնեք համակարգի տեղեկամատյաններում: Համակարգի տեղեկամատյանները կարելի է գտնել «Կարգավիճակ / համակարգի տեղեկամատյաններ» բաժնում: Սխալը ձեզ հաճախ կասի, թե որն է խնդիրը:

Checkգուշացումների ստուգում

Snort- ի հաջող կազմաձևումից և գործարկումից հետո, կանոնները համապատասխանող երթևեկի հայտնաբերումից հետո, դուք պետք է սկսեք նախազգուշացումներ տեսնել:

Եթե ​​ոչ մի ահազանգ չեք տեսնում, մի փոքր ժամանակ տվեք և նորից ստուգեք: Կարող է տևել որոշ ժամանակ, մինչև որևէ ահազանգ տեսնեք ՝ կախված երթևեկի քանակից և միացված կանոններից:

Եթե ​​ցանկանում եք հեռազանգերը դիտել հեռակա կարգով, կարող եք միացնել ինտերֆեյսի պարամետրը ՝ «Ուղարկումներ ուղարկել հիմնական համակարգի տեղեկամատյաններին»: Համակարգի տեղեկամատյաններում հայտնվող ահազանգերը կարող են լինել հեռակա դիտել ՝ օգտագործելով Syslog.

Այս հոդվածը ճշգրիտ է և համապատասխանում է հեղինակի լավագույն գիտելիքներին: Բովանդակությունը նախատեսված է միայն տեղեկատվական կամ ժամանցային նպատակներով և չի փոխարինում անձնական խորհրդատվությանը կամ մասնագիտական ​​խորհրդատվությանը բիզնեսի, ֆինանսական, իրավական կամ տեխնիկական հարցերում:

Նախորդ Հոդվածը

Snapchat- ի 150 մեջբերումներ և վերնագրերի գաղափարներ

Հաջորդ Հոդվածը

Samsung TV- ի նկար-նկարում (PIP) կարգավորում և խնդիրների լուծում

Պորտալի Հոդվածներ

Նայել

Սոցիալական լրատվամիջոցներում ապահով մնալու 14 եղանակ
 Համացանց

Սոցիալական լրատվամիջոցներում ապահով մնալու 14 եղանակ

Վարշան հետազոտության էնտուզիազմ է և տեխնոլոգիական գիտակ: Նա սիրում է ծավալուն ուսումնասիրություններ կատարել հետաքրքրող թեմաների շուրջ:Հավանումներ, պիտակներ և զտիչներ. Բոլոր բառերը, որոնք նոր սահմանում...
Անլար հեռախոսային հարցեր գաղտնիության, առողջության և օգտագործման վերաբերյալ
 Misc

Անլար հեռախոսային հարցեր գաղտնիության, առողջության և օգտագործման վերաբերյալ

Glenn tok- ը ավելի քան 35 տարի զարգացրեց ավտոմատացված հեռախոսային համակարգեր `որպես tok oftware, Inc- ի գործադիր տնօրեն: Նա ունի մագիստրոսի կոչում համակարգչային գիտության ոլորտում:Հետևյալը հարցերի և պ...