Internet

Wéi ageriicht Andréngen Detektioun mat Snort op pfSense 2.0

Auteur: Peter Berry
Denlaod Vun Der Kreatioun: 18 Juli 2021
Update Datum: 10 Mee 2024
Anonim
Wéi ageriicht Andréngen Detektioun mat Snort op pfSense 2.0 - Internet
Wéi ageriicht Andréngen Detektioun mat Snort op pfSense 2.0 - Internet

Inhalt

De Sam schafft als Netzanalyst fir eng algoritmesch Handelsfirma. Hien huet säi Bachelor an Informatiounstechnologie vun UMKC kritt.

Firwat en Intrusion Detection System opbauen?

Hacker, Virussen an aner Bedrohungen probéiere stänneg Äert Netzwierk a sichen e Wee fir eranzekommen. Et brauch nëmmen eng gehackt Maschinn fir e ganzt Netzwierk fir kompromittéiert ze sinn. Aus dëse Grënn empfehle ech Iech en Andréngungssystem z'installéieren, sou datt Dir Är Systemer sécher hale kënnt an déi verschidde Bedrohungen um Internet iwwerwaacht.

Snort ass eng Open Source IDS déi einfach op enger pfSense Firewall installéiert ka ginn fir en Heem- oder Firmenetzwierk virun Andrénger ze schützen. Snort kann och konfiguréiert sinn fir als Intrusion Prevention System (IPS) ze funktionéieren, wat et ganz flexibel mécht.


An dësem Artikel ginn ech Iech duerch de Prozess vun der Installatioun an der Konfiguratioun vu Snort op pfSense 2.0, fir datt Dir de Verkéier an Echtzäit analyséiere kënnt.

Installéiere vum Snort Package

Fir mat Snort unzefänken musst Dir de Package mam pfSense Package Manager installéieren. De Package Manager ass am Systemmenü vun der pfSense Web GUI.

Fannt Snort aus der Lëscht vu Packagen a klickt dann op de Plus Symbol op der rietser Säit fir d'Installatioun unzefänken.

Et ass normal datt de Schnurr e puer Minutten dauert fir ze installéieren, et huet e puer Ofhängegkeeten déi pfSense als éischt eroflueden an installéiere muss.

Nodeems d'Installatioun fäerdeg ass, kënnt de Snort am Servicemenu op.

Snort kann installéiert ginn mam pfSense Package Manager.

Kréien en Oinkmaster Code

Fir de Snort nëtzlech ze sinn, muss et mat der leschter Regelung aktualiséiert ginn. De Snort Package kann dës Regele automatesch fir Iech aktualiséieren, awer als éischt musst Dir en Oinkmaster Code kréien.

Et ginn zwou verschidde Sätze vu Snortregelen verfügbar:

  • Den Abonnent Release Release ass déi aktuellste Regel verfügbar. Echtzäit Zougang zu dëse Regelen erfuerdert e bezuelte Joresabonnement.
  • Déi aner Versioun vu Regelen ass déi registréiert Benotzer Verëffentlechung déi komplett gratis ass fir jiddereen deen sech op der Snort.org Site registréiert.

Den Haaptunterschied tëscht den zwou Reegelsätz ass datt d'Regelen an der registréierter Benotzer Verëffentlechung 30 Deeg hannert den Abonnementsregele sinn. Wann Dir de modernste Schutz wëllt, sollt Dir en Abonnement kréien.

Gitt d'Schrëtt hei ënnendrënner fir Ären Oinkmaster Code ze kréien:

  1. Besicht de Snort Regelen Websäit fir déi Versioun déi Dir braucht erofzelueden.
  2. Klickt op 'Umellen fir e Kont' a erstellt e Snort Kont.
  3. Nodeems Dir Äre Kont bestätegt hutt, mellt Iech op Snort.org.
  4. Klickt op 'Mäi Kont' op der ieweschter Linkbar.
  5. Klickt op de 'Abonnementer an Oinkcode' Tab.
  6. Klickt op den Oinkcodes Link an da klickt op "Code generéieren".

De Code bleift an Ärem Kont gespäichert fir datt Dir et spéider kritt wann néideg. Dëse Code muss an d'Snort Astellungen an pfSense agefouert ginn.


En Oinkmaster Code ass erfuerderlech fir Regelen vun Snort.org erofzelueden.

Gitt den Oinkmaster Code am Snort an

Nodeems Dir den Oinkcode kritt hutt, musst et an de Snort Package Astellunge aginn. D'Snort Astellungs Säit erschéngt am Servicemenu vun der Webinterface. Wann et net sichtbar ass, gitt sécher datt de Package installéiert ass an de Package nei installéieren wann néideg.

Den Oinkcode muss op der globaler Astellungs Säit vun de Snort Astellunge aginn. Ech wéilt och d'Këscht kontrolléieren fir och d'Entstehend Bedrohungsregelen z'aktivéieren. D'ET Reegele gi vun enger Open-Source Gemeinschaft gehal a kënnen e puer zousätzlech Regelen ubidden, déi net am Snort-Set fonnt ginn.

Automatesch Updates

Par défaut gëtt de Snort Package d'Reegelen net automatesch aktualiséiert. De recommandéierten Update Intervall ass eemol all 12 Stonnen, awer Dir kënnt dëst änneren fir Äert Ëmfeld ze passen.

Vergiesst net ze klickt op de "späicheren" Knäppchen wann Dir d'Ännerunge fäerdeg gemaach hutt.

Manuell Updates vun de Regelen

Snort kënnt net mat Regelen, also musst Dir déi éischte Kéier manuell aktualiséieren. Fir de manuellen Update auszeféieren, klickt op d'Aktualiséierter Tab a klickt dann op den Update Regelen Knäppchen.

De Package wäert déi lescht Regelsätze vu Snort.org eroflueden an och Emerging Threats wann Dir dës Optioun ausgewielt hutt.

Nodeems d'Aktualiséierunge fäerdeg sinn, ginn d'Regele extrahéiert a sinn duerno prett fir se ze benotzen.

D'Regele musse manuell erofgeluede ginn déi éischte Kéier datt de Snort opgeriicht gëtt.

Dobäi Schnëttplazen

Ier Snort als Intrusion Detection System funktionéiere kann, musst Dir Interfaces fir se iwwerwaachen. Déi typesch Konfiguratioun ass fir Snort fir all WAN Interfaces ze kontrolléieren. Déi aner meescht üblech Konfiguratioun ass fir Snort fir d'WAN an LAN Interface ze iwwerwaachen.

Iwwerwaachung vun der LAN Interface kann e puer Visibilitéit ubidden fir Attacken aus Ärem Netzwierk. Et ass net onkomplizéiert datt e PC am LAN Netzwierk mat Malware infizéiert gëtt an Ugrëff op Systeme bannent an ausserhalb vum Netz starten.

Fir eng Interface bäizefügen, klickt op de Plus Symbol op der Tab vum Snort Interface.

Configuréieren vum Interface

Nodeems Dir op den Add Interface Knäppchen klickt, gesitt Dir d'Interface Settings Säit.D'Astellungs Säit enthält vill Optiounen, awer et sinn nëmmen e puer Dir braucht Iech wierklech Gedanken ze maachen fir d'Saachen ze lafen.

  1. Als éischt, kontrolléiert d'Aktivéierungskëscht uewen op der Säit.
  2. Weider wielt d'Interface déi Dir konfiguréiere wëllt (an dësem Beispill konfiguréieren ech de WAN als éischt).
  3. Setzt d'Memory Performance op AC-BNFA.
  4. Kuckt d'Këscht "Alarmer aloggen fir unified2 Datei ze schnaarchen" sou datt barnyard2 funktionnéiert.
  5. Klickt op späicheren.

Wann Dir lafen eng Multi-Wan Router, Dir kënnt virgoen an déi aner WAN Interfaces op Ärem System konfiguréieren. Ech recommandéieren och d'LAN Interface bäizefügen.

Wiel vun Regelkategorien

Ier Dir d'Interfaces starten, ginn et e puer weider Astellungen déi fir all Interface konfiguréiert musse ginn. Fir déi zousätzlech Astellungen ze konfiguréieren, gitt zréck op de Snort Interfaces Tab a klickt op 'E' Symbol op der rietser Säit vun der Säit niewent der Interface. Dëst hëlt Iech zréck op d'Konfiguratiounssäit fir dës speziell Interface.

Fir d'Regelkategorien ze wielen, déi fir den Interface aktivéiert solle ginn, klickt op de Kategorien Tab. All Detektiounsregele sinn a Kategorien agedeelt. Kategorie mat Regele vu Schwellende Bedrohunge fänken u mat "entstanen", a Regele vu Snort.org fänken mat "Schnecken" un.

Nodeems Dir d'Kategorien ausgewielt hutt, klickt op de Knäppchen späicheren ënnen op der Säit.

Wat ass den Zweck vu Regelkategorien?

Wann Dir d'Regelen a Kategorien deelt, kënnt Dir nëmmen déi bestëmmte Kategorien aktivéieren, un déi Dir interesséiert sidd. Ech recommandéieren e puer vun de méi generelle Kategorien z'aktivéieren. Wann Dir spezifesch Servicer am Netz hutt wéi e Web- oder Datebankserver, da sollt Dir och Kategorien aktivéieren.

Et ass wichteg ze erënneren datt Snort méi Systemressourcen erfuerdert all Kéier wann eng zousätzlech Kategorie ageschalt ass. Dëst kann och d'Zuel vu falschen Positiven erhéijen. Am Allgemengen ass et am beschten nëmmen déi Gruppen unzeschalten déi Dir braucht, awer fillt Iech gär mat de Kategorien ze experimentéieren a kucke wat am Beschten funktionnéiert.

Wéi kann ech méi Informatiounen iwwer d'Regelkategorien kréien?

Wann Dir wëllt erausfannen wéi eng Regelen an enger Kategorie sinn a méi léiere wat se maachen, da kënnt Dir op d'Kategorie klickt. Dëst verlinkt Iech direkt op d'Lëscht vun alle Regelen an der Kategorie.

Populär Snort Regel Kategorien

Dëst sinn e puer vun de populäersten Snort Regel Kategorien déi Dir wëllt aktivéieren.

Kategorie NummBeschreiwung

snort_botnet-cnc.regelen

Zielt bekannt Botnet Kommando- a Kontrollhosts.

snort_ddos.Regelen

Detektéiert Negatioun vu Serviceattacken.

snort_scan.Regelen

Dës Regele detektéieren Hafen scannt, Nessus Sonden, an aner Informatioun sammelen Attacken.

snort_virus.regelen

Detektéiert Ënnerschrëfte vu bekannten Trojaner, Virussen a Wierm. Et ass héich recommandéiert dës Kategorie ze benotzen.

Preprocessor a Flow Astellungen

Et ginn e puer Astellungen op der Säit vun de Viraarbechter Astellungen déi aktivéiert solle ginn. Vill vun den Detektiounsregelen erfuerderen datt HTTP-Inspektioun aktivéiert ass fir datt se funktionnéieren.

  1. Ënnert HTTP-Inspektiouns-Astellungen aktivéiert 'Benotzt HTTP Inspektéieren fir Normaliséieren / Decodéieren'
  2. An der allgemenger Sektioun vum Viraarbechter Astellunge aktivéiert 'Portscan Detection'
  3. Späichert d'Astellungen.

Start vun den Interfaces

Wann eng nei Interface u Snort bäigefüügt gëtt, fänkt se net automatesch un. Fir Interfaces manuell ze starten, klickt op de grénge Play Button op der linker Säit vun all Interface déi konfiguréiert ass.

Wann Snort leeft, gëtt den Text hannert dem Numm vun der Interface gréng. Fir de Snort ze stoppen, klickt op de roude Stop Knäppchen op der linker Säit vum Interface.

Wann de Snort net start

Et ginn e puer gemeinsam Probleemer déi verhënneren datt de Snort ufänkt.

  • Kontrolléiert d'Regelen: Fir d'Installatioun vun de Regelen z'iwwerpréiwen, klickt op d'Aktualiséierungs Reiter a kuckt no engem Hash ënner der installéiert Ënnerschrëft Regelsatz Sektioun. Dir sollt eppes wéi SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70 gesinn."
  • Preprocessor Astellungen: Verschidde vun de Regele erfuerderen datt d'HTTP-Inspektiounsoptioun an de Viraarbechter-Astellungen aktivéiert ass, also gitt sécher datt Dir dës Feature ageschalt hutt.
  • Kontrolléiert d'Systemprotokoller: Wann Snort e Feeler stéisst, gesitt Dir d'Botschaft an de Systemprotokoller. D'Systemprotokoller fannt Dir ënner Status / Systemprotokoller. De Feeler wäert Iech dacks genau soen wat de Problem ass.

Iwwerpréift ob Alerts

Nodeems de Snort erfollegräich konfiguréiert an ugefangen ass, sollt Dir ufänken Alarmer ze gesinn wann de Verkéier entspriechend de Regelen entdeckt gëtt.

Wann Dir keng Alarmer gesitt, gitt et e bëssen Zäit a kontrolléiert et nach eng Kéier. Et kann e bëssen daueren ier Dir Alarmer gesitt, ofhängeg vum Betrag vum Traffic a Regelen déi aktivéiert sinn.

Wann Dir d'Alarms vu Fern kucken wëllt, kënnt Dir d'Interface-Astellung aktivéieren "Schécken Alarmer op Haaptsystem Logbicher." Alarmer déi an de Systemprotokoller erschéngen kënne sinn Fern mat Syslog gekuckt.

Dësen Artikel ass korrekt a richteg no beschtem Wëssen vum Auteur. Inhalt ass nëmme fir Informatiouns- oder Ënnerhalungszwecker an ersetzt net fir perséinlech Berodung oder professionell Berodung a geschäftlechen, finanziellen, legalen oder techneschen Themen.

1. Mee 199

Google Chrome Pros a Cons

Nächst Artikel

De 5 Beschte Reddit Text zu Speech Channels op Youtube

Eis Wiel

Interessant Publikatiounen

Wat ass e Microcontroller? - Programméiere vun engem Arduino Board
 Meedecher

Wat ass e Microcontroller? - Programméiere vun engem Arduino Board

Den Eugene a e qualifizéierte Kontroll- / In trumenteringenieur B c (Eng) an huet al Entwéckler vun Elektronik a oftware fir CADA y temer ge chafft.Dir hutt wahr cheinlech vill vun dë e...
10 Apps Wéi Netflix: Alternativ Video Streaming Servicer
 Internet

10 Apps Wéi Netflix: Alternativ Video Streaming Servicer

Car on a en iO an Android Junkie. Tinkering mat neien App a ite hält hir Weekender be chäftegt.Wann et ëm Video treaming ervicer geet, a Netflix an enger eegener Liga. Am éi chten ...