Inhalt
- Firwat en Intrusion Detection System opbauen?
- Installéiere vum Snort Package
- Kréien en Oinkmaster Code
- Gitt d'Schrëtt hei ënnendrënner fir Ären Oinkmaster Code ze kréien:
- Gitt den Oinkmaster Code am Snort an
- Manuell Updates vun de Regelen
- Dobäi Schnëttplazen
- Configuréieren vum Interface
- Wiel vun Regelkategorien
- Wat ass den Zweck vu Regelkategorien?
- Wéi kann ech méi Informatiounen iwwer d'Regelkategorien kréien?
- Populär Snort Regel Kategorien
- Preprocessor a Flow Astellungen
- Start vun den Interfaces
- Wann de Snort net start
- Iwwerpréift ob Alerts
De Sam schafft als Netzanalyst fir eng algoritmesch Handelsfirma. Hien huet säi Bachelor an Informatiounstechnologie vun UMKC kritt.
Firwat en Intrusion Detection System opbauen?
Hacker, Virussen an aner Bedrohungen probéiere stänneg Äert Netzwierk a sichen e Wee fir eranzekommen. Et brauch nëmmen eng gehackt Maschinn fir e ganzt Netzwierk fir kompromittéiert ze sinn. Aus dëse Grënn empfehle ech Iech en Andréngungssystem z'installéieren, sou datt Dir Är Systemer sécher hale kënnt an déi verschidde Bedrohungen um Internet iwwerwaacht.
Snort ass eng Open Source IDS déi einfach op enger pfSense Firewall installéiert ka ginn fir en Heem- oder Firmenetzwierk virun Andrénger ze schützen. Snort kann och konfiguréiert sinn fir als Intrusion Prevention System (IPS) ze funktionéieren, wat et ganz flexibel mécht.
An dësem Artikel ginn ech Iech duerch de Prozess vun der Installatioun an der Konfiguratioun vu Snort op pfSense 2.0, fir datt Dir de Verkéier an Echtzäit analyséiere kënnt.
Installéiere vum Snort Package
Fir mat Snort unzefänken musst Dir de Package mam pfSense Package Manager installéieren. De Package Manager ass am Systemmenü vun der pfSense Web GUI.
Fannt Snort aus der Lëscht vu Packagen a klickt dann op de Plus Symbol op der rietser Säit fir d'Installatioun unzefänken.
Et ass normal datt de Schnurr e puer Minutten dauert fir ze installéieren, et huet e puer Ofhängegkeeten déi pfSense als éischt eroflueden an installéiere muss.
Nodeems d'Installatioun fäerdeg ass, kënnt de Snort am Servicemenu op.
Snort kann installéiert ginn mam pfSense Package Manager.
Kréien en Oinkmaster Code
Fir de Snort nëtzlech ze sinn, muss et mat der leschter Regelung aktualiséiert ginn. De Snort Package kann dës Regele automatesch fir Iech aktualiséieren, awer als éischt musst Dir en Oinkmaster Code kréien.
Et ginn zwou verschidde Sätze vu Snortregelen verfügbar:
- Den Abonnent Release Release ass déi aktuellste Regel verfügbar. Echtzäit Zougang zu dëse Regelen erfuerdert e bezuelte Joresabonnement.
- Déi aner Versioun vu Regelen ass déi registréiert Benotzer Verëffentlechung déi komplett gratis ass fir jiddereen deen sech op der Snort.org Site registréiert.
Den Haaptunterschied tëscht den zwou Reegelsätz ass datt d'Regelen an der registréierter Benotzer Verëffentlechung 30 Deeg hannert den Abonnementsregele sinn. Wann Dir de modernste Schutz wëllt, sollt Dir en Abonnement kréien.
Gitt d'Schrëtt hei ënnendrënner fir Ären Oinkmaster Code ze kréien:
- Besicht de Snort Regelen Websäit fir déi Versioun déi Dir braucht erofzelueden.
- Klickt op 'Umellen fir e Kont' a erstellt e Snort Kont.
- Nodeems Dir Äre Kont bestätegt hutt, mellt Iech op Snort.org.
- Klickt op 'Mäi Kont' op der ieweschter Linkbar.
- Klickt op de 'Abonnementer an Oinkcode' Tab.
- Klickt op den Oinkcodes Link an da klickt op "Code generéieren".
De Code bleift an Ärem Kont gespäichert fir datt Dir et spéider kritt wann néideg. Dëse Code muss an d'Snort Astellungen an pfSense agefouert ginn.
En Oinkmaster Code ass erfuerderlech fir Regelen vun Snort.org erofzelueden.
Gitt den Oinkmaster Code am Snort an
Nodeems Dir den Oinkcode kritt hutt, musst et an de Snort Package Astellunge aginn. D'Snort Astellungs Säit erschéngt am Servicemenu vun der Webinterface. Wann et net sichtbar ass, gitt sécher datt de Package installéiert ass an de Package nei installéieren wann néideg.
Den Oinkcode muss op der globaler Astellungs Säit vun de Snort Astellunge aginn. Ech wéilt och d'Këscht kontrolléieren fir och d'Entstehend Bedrohungsregelen z'aktivéieren. D'ET Reegele gi vun enger Open-Source Gemeinschaft gehal a kënnen e puer zousätzlech Regelen ubidden, déi net am Snort-Set fonnt ginn.
Automatesch Updates
Par défaut gëtt de Snort Package d'Reegelen net automatesch aktualiséiert. De recommandéierten Update Intervall ass eemol all 12 Stonnen, awer Dir kënnt dëst änneren fir Äert Ëmfeld ze passen.
Vergiesst net ze klickt op de "späicheren" Knäppchen wann Dir d'Ännerunge fäerdeg gemaach hutt.
Manuell Updates vun de Regelen
Snort kënnt net mat Regelen, also musst Dir déi éischte Kéier manuell aktualiséieren. Fir de manuellen Update auszeféieren, klickt op d'Aktualiséierter Tab a klickt dann op den Update Regelen Knäppchen.
De Package wäert déi lescht Regelsätze vu Snort.org eroflueden an och Emerging Threats wann Dir dës Optioun ausgewielt hutt.
Nodeems d'Aktualiséierunge fäerdeg sinn, ginn d'Regele extrahéiert a sinn duerno prett fir se ze benotzen.
D'Regele musse manuell erofgeluede ginn déi éischte Kéier datt de Snort opgeriicht gëtt.
Dobäi Schnëttplazen
Ier Snort als Intrusion Detection System funktionéiere kann, musst Dir Interfaces fir se iwwerwaachen. Déi typesch Konfiguratioun ass fir Snort fir all WAN Interfaces ze kontrolléieren. Déi aner meescht üblech Konfiguratioun ass fir Snort fir d'WAN an LAN Interface ze iwwerwaachen.
Iwwerwaachung vun der LAN Interface kann e puer Visibilitéit ubidden fir Attacken aus Ärem Netzwierk. Et ass net onkomplizéiert datt e PC am LAN Netzwierk mat Malware infizéiert gëtt an Ugrëff op Systeme bannent an ausserhalb vum Netz starten.
Fir eng Interface bäizefügen, klickt op de Plus Symbol op der Tab vum Snort Interface.
Configuréieren vum Interface
Nodeems Dir op den Add Interface Knäppchen klickt, gesitt Dir d'Interface Settings Säit.D'Astellungs Säit enthält vill Optiounen, awer et sinn nëmmen e puer Dir braucht Iech wierklech Gedanken ze maachen fir d'Saachen ze lafen.
- Als éischt, kontrolléiert d'Aktivéierungskëscht uewen op der Säit.
- Weider wielt d'Interface déi Dir konfiguréiere wëllt (an dësem Beispill konfiguréieren ech de WAN als éischt).
- Setzt d'Memory Performance op AC-BNFA.
- Kuckt d'Këscht "Alarmer aloggen fir unified2 Datei ze schnaarchen" sou datt barnyard2 funktionnéiert.
- Klickt op späicheren.
Wann Dir lafen eng Multi-Wan Router, Dir kënnt virgoen an déi aner WAN Interfaces op Ärem System konfiguréieren. Ech recommandéieren och d'LAN Interface bäizefügen.
Ier Dir d'Interfaces starten, ginn et e puer weider Astellungen déi fir all Interface konfiguréiert musse ginn. Fir déi zousätzlech Astellungen ze konfiguréieren, gitt zréck op de Snort Interfaces Tab a klickt op 'E' Symbol op der rietser Säit vun der Säit niewent der Interface. Dëst hëlt Iech zréck op d'Konfiguratiounssäit fir dës speziell Interface. Fir d'Regelkategorien ze wielen, déi fir den Interface aktivéiert solle ginn, klickt op de Kategorien Tab. All Detektiounsregele sinn a Kategorien agedeelt. Kategorie mat Regele vu Schwellende Bedrohunge fänken u mat "entstanen", a Regele vu Snort.org fänken mat "Schnecken" un. Nodeems Dir d'Kategorien ausgewielt hutt, klickt op de Knäppchen späicheren ënnen op der Säit. Wann Dir d'Regelen a Kategorien deelt, kënnt Dir nëmmen déi bestëmmte Kategorien aktivéieren, un déi Dir interesséiert sidd. Ech recommandéieren e puer vun de méi generelle Kategorien z'aktivéieren. Wann Dir spezifesch Servicer am Netz hutt wéi e Web- oder Datebankserver, da sollt Dir och Kategorien aktivéieren. Et ass wichteg ze erënneren datt Snort méi Systemressourcen erfuerdert all Kéier wann eng zousätzlech Kategorie ageschalt ass. Dëst kann och d'Zuel vu falschen Positiven erhéijen. Am Allgemengen ass et am beschten nëmmen déi Gruppen unzeschalten déi Dir braucht, awer fillt Iech gär mat de Kategorien ze experimentéieren a kucke wat am Beschten funktionnéiert.Wiel vun Regelkategorien
Wat ass den Zweck vu Regelkategorien?
Wéi kann ech méi Informatiounen iwwer d'Regelkategorien kréien?
Wann Dir wëllt erausfannen wéi eng Regelen an enger Kategorie sinn a méi léiere wat se maachen, da kënnt Dir op d'Kategorie klickt. Dëst verlinkt Iech direkt op d'Lëscht vun alle Regelen an der Kategorie.
Populär Snort Regel Kategorien
Kategorie Numm | Beschreiwung |
---|---|
snort_botnet-cnc.regelen | Zielt bekannt Botnet Kommando- a Kontrollhosts. |
snort_ddos.Regelen | Detektéiert Negatioun vu Serviceattacken. |
snort_scan.Regelen | Dës Regele detektéieren Hafen scannt, Nessus Sonden, an aner Informatioun sammelen Attacken. |
snort_virus.regelen | Detektéiert Ënnerschrëfte vu bekannten Trojaner, Virussen a Wierm. Et ass héich recommandéiert dës Kategorie ze benotzen. |
Preprocessor a Flow Astellungen
Et ginn e puer Astellungen op der Säit vun de Viraarbechter Astellungen déi aktivéiert solle ginn. Vill vun den Detektiounsregelen erfuerderen datt HTTP-Inspektioun aktivéiert ass fir datt se funktionnéieren.
- Ënnert HTTP-Inspektiouns-Astellungen aktivéiert 'Benotzt HTTP Inspektéieren fir Normaliséieren / Decodéieren'
- An der allgemenger Sektioun vum Viraarbechter Astellunge aktivéiert 'Portscan Detection'
- Späichert d'Astellungen.
Start vun den Interfaces
Wann eng nei Interface u Snort bäigefüügt gëtt, fänkt se net automatesch un. Fir Interfaces manuell ze starten, klickt op de grénge Play Button op der linker Säit vun all Interface déi konfiguréiert ass.
Wann Snort leeft, gëtt den Text hannert dem Numm vun der Interface gréng. Fir de Snort ze stoppen, klickt op de roude Stop Knäppchen op der linker Säit vum Interface.
Et ginn e puer gemeinsam Probleemer déi verhënneren datt de Snort ufänkt.Wann de Snort net start
Iwwerpréift ob Alerts
Nodeems de Snort erfollegräich konfiguréiert an ugefangen ass, sollt Dir ufänken Alarmer ze gesinn wann de Verkéier entspriechend de Regelen entdeckt gëtt.
Wann Dir keng Alarmer gesitt, gitt et e bëssen Zäit a kontrolléiert et nach eng Kéier. Et kann e bëssen daueren ier Dir Alarmer gesitt, ofhängeg vum Betrag vum Traffic a Regelen déi aktivéiert sinn.
Wann Dir d'Alarms vu Fern kucken wëllt, kënnt Dir d'Interface-Astellung aktivéieren "Schécken Alarmer op Haaptsystem Logbicher." Alarmer déi an de Systemprotokoller erschéngen kënne sinn Fern mat Syslog gekuckt.
Dësen Artikel ass korrekt a richteg no beschtem Wëssen vum Auteur. Inhalt ass nëmme fir Informatiouns- oder Ënnerhalungszwecker an ersetzt net fir perséinlech Berodung oder professionell Berodung a geschäftlechen, finanziellen, legalen oder techneschen Themen.