Configurer les identifiants de snort et créer des règles
SNORT est un système de détection d'intrusion open source (IDS) pour la surveillance du réseau. En lisant ce tutoriel, vous apprendrez à installer Snort à la fois sur Debian et Centos et configurer une configuration et des règles de snort personnalisées.
Ce document comprend une véritable détection d'attaque de scénario.
Toutes les explications de ce didacticiel incluent un véritable exemple de scénario de captures d'écran, ce qui permet à tout utilisateur de Linux de comprendre comment Snort fonctionne indépendamment de son niveau d'expertise.
Installation de Snort (Debian)
Cette section explique d'abord comment installer SNORT sur les systèmes basés sur Debian; Après les instructions d'installation de Debian, vous trouverez des étapes pour l'installer sur Centos.
Avant d'installer SNORT sur les distributions Linux basées sur Debian, mettez à jour vos référentiels système en exécutant la commande suivante:
Mise à jour Sudo apt-get
Après la mise à jour des référentiels, installez SNORT en utilisant la commande suivante:
sudo apt install snort -y
Le processus d'installation vous informera que la syntaxe pour définir les adresses réseau dans le fichier de configuration est CIDR (routage inter-domaine sans classe). Presse ENTRER Pour continuer avec l'installation.
Le programme d'installation détectera automatiquement votre structure réseau. Dans cette étape, vérifiez si la détection est correcte et réparez-la si nécessaire. Puis appuyez ENTRER.
Après avoir pressé ENTRER, l'installation se terminera.
Installation de SNORT (CENTOS)
Pour installer SNORT sur Centos, téléchargez le dernier snort RPM Package pour CentOS à https: // www.renifler.org / téléchargements # snort-downloads.
Ensuite, exécutez la commande suivante, où <Version> Doit être remplacé par la version Snort que vous avez téléchargée à partir du lien précédent:
sudo yum renifle-.RPM
Important pour les utilisateurs de Debian
Debian Linux écrase certaines options liées aux paramètres du réseau dans le fichier de configuration par défaut de SNORT. Les options de réécriture sont récupérées à partir du système d'exploitation. Dans le cadre des paramètres du répertoire SNORT, il y a le / etc / snort / snort.Debian.confli fichier où les paramètres du réseau Debian sont importés.
Par conséquent, si vous utilisez d'abord Debian, ouvrez le / etc / snort / snort.Debian.confli Fichier pour vérifier le fichier de configuration et le modifier si nécessaire, en utilisant la commande suivante:
sudo nano / etc / snort / snort.Debian.confli
Comme vous pouvez le voir, dans mon cas, la configuration par défaut obtenue à partir du système d'exploitation est correcte.
Note: Si les paramètres du réseau ne sont pas corrects dans votre cas, exécutez SUDO DPKG-RECONFIGURE SNORT
Si vos paramètres sont corrects, appuyez sur Ctrl + q quitter.
Configuration de SNORT
Cette section comprend des instructions pour la configuration de snort initiale.
Pour configurer SNORT, ouvrez le / etc / snort / snort.confli Utilisation de Nano, VI ou de tout éditeur de texte.
sudo nano / etc / snort / snort.confli
À l'intérieur du fichier de configuration, trouvez la ligne suivante:
ipvar home_net any
Vous pouvez ajouter votre réseau ou des adresses IP spécifiques. Pour ajouter à votre réseau, remplacez la ligne par ce qui suit, où x.X.X.x / x doit être remplacé par une adresse CIDR:
ipvar home_net x.X.X.x / x
Dans mon cas, je remplace cette ligne par ce qui suit:
ipvar home_net 192.168.0.0/16
Mais, si vous souhaitez ajouter des adresses IP spécifiques, la syntaxe est affichée ci-dessous, où 192.168.0.3, 10.0.0.4 et 192.168.1.3 Doit être remplacé par les adresses IP à surveiller par SNORT. Tapez toutes les adresses IP séparées par une virgule entre les crochets.
ipvar home_net [192.168.0.3, 10.0.0.4, 192.168.1.3]
Laissez la ligne ipvar external_net n'importe quel par défaut; Ci-dessous, vous pouvez voir ma configuration:
Si vous descendez, vous verrez des options pour surveiller les services spécifiques et décommenter vos services activés.
Lorsque vous avez fini de modifier le fichier, fermez-le pour enregistrer les modifications. Si vous n'avez pas de services ouverts, fermez simplement les modifications d'économie.
Tester la configuration de snipt avec de réelles attaques
Maintenant, testons SNORT en exécutant la commande illustrée ci-dessous. Remplacez l'adresse IP ou le réseau par le vôtre.
sudo snort -d -l / var / log / snort / -h 192.168.0.0/16 -a console -c / etc / snort / snort.confli
Où signifient les drapeaux de commande précédemment exécutés:
-d = dit à Snort de montrer les données
-l = détermine le répertoire des journaux
-h = Spécifie le réseau à surveiller
-A = Demande de SNORT d'imprimer des alertes dans la console
-c = Spécifie SNORT le fichier de configuration
Pour tester SNORT, pendant qu'il s'exécute, lancez une analyse agressive d'empreintes digitales (Noël) à partir d'un autre ordinateur à l'aide de NMAP, comme indiqué ci-dessous:
sudo nmap -v -st -o 192.168.0.103
Comme vous pouvez le voir dans la capture d'écran suivante, Snort détecte la tentative d'empreinte digitale:
Maintenant, lançons un DDOS Attaque en utilisant Nping3 à partir d'un autre ordinateur.
Hping3 -C 10000 -D 120 -S -W 64 -P 21 - Flood - Rand-source 10.0.0.3
Comme vous pouvez le voir ci-dessous, Snort détecte le trafic malveillant:
Maintenant que nous voyons comment SNORT fonctionne, créons des règles personnalisées.
Début avec des règles de snort
SNORT DEMAUTS Les règles disponibles sont stockées dans le / etc / snort / règles annuaire. Pour voir quelles règles sont activées ou commentées, vous devez lire le / etc / snort / snort.confli fichier que nous avons précédemment édité.
Exécutez la commande suivante et faites défiler vers le bas pour voir les règles désactivées et activées. Certaines règles sont désactivées pour les utilisateurs de Debian car ils ne sont pas disponibles dans les règles de Debian de l'action.
moins / etc / snort / snort.confli
Comme dit précédemment, les fichiers de règles sont stockés dans le / etc / snort / règles annuaire.
Vérifions les règles pour détecter et signaler le trafic de reprises.
sudo moins / etc / snort / règles / porte arrière.règles
Comme vous pouvez le voir, il existe plusieurs règles pour empêcher les attaques de porte dérobée. Étonnamment, il y a une règle pour détecter et signaler Netbus, un cheval de Troie qui est devenu populaire il y a des décennies. Expliquons comment cette règle fonctionne.
Alerte TCP $ home_net 12345: 12346 -> $ external_net any (msg: "Backdoor netbus
actif "; flux: de_server, établi; contenu:" netbus "; référence: arachnid
S, 401; CLASSSTYPE: Misc-activité; Sid: 109; Rev: 5;)
alert tcp $ external_net any -> $ home_net 12345: 12346 (msg: "backdoor netbus getInfo"; flow: to_server, établi; contenu: "getInfo | 0d |"; référence: arachnids, 403; ClasStype: Misc-activité; Sid: 110; Rev: 4;)
Où:
-> = Spécifie la direction du trafic, dans ce cas de notre réseau protégé à un réseau externe
contenu = Recherchez un contenu spécifique dans le paquet. Il peut inclure du texte si entre les guillemets («») ou les données binaires si elles sont entre (| |).
profondeur = Analyse intense; Dans la règle ci-dessus, nous voyons deux paramètres différents pour deux contenus différents.
offset = Informe SNORT l'octet de départ de chaque paquet pour commencer à rechercher le contenu.
cllasstype = Rapporte quel type d'attaque snort alerte.
Sid: 115 = Identifiant de règle.
Comment créer votre propre règle de snort
Maintenant, nous allons créer une nouvelle règle pour informer les connexions SSH entrantes.
Créer un / etc / snort / règles / yourrule.Fichier de règles à l'aide d'un éditeur de texte. Vous pouvez nommer le fichier comme vous le souhaitez. C'est arbitraire, alors respectez le chemin.
sudo nano / etc / snort / règles / yourrule.règles
Collez la règle suivante dans le fichier. Comme vous pouvez le voir, la règle informera quand un appareil essaie de se connecter via SSH.
alert tcp $ external_net any -> $ home_net 22 (msg: "ssh entrant"; flux: sans état; drapeaux: s +; sid: 100006927; rév: 1;)
Fermer et enregistrer le fichier.
Maintenant, ajoutez la règle au fichier de configuration de SNORT et exécutez la commande suivante:
sudo nano / etc / snort / snort.confli
Faites défiler vers le bas, et dans la section Règles, ajoutez la ligne suivante, où «votrerule.Les règles »doivent être remplacées par votre nom de règle personnalisé.
inclure $ dule_path / yourrule.règles
Fermez l'éditeur de texte; Ainsi, économiser les changements.
Maintenant, exécutez Snort en exécutant la commande suivante comme nous l'avons fait précédemment; Si c'était déjà ouvert, c'est OK:
sudo snort -d -l / var / log / snort / -h 192.168.0.1/16 -a console -c / etc / snort / snort.confli
J'essaierai de me connecter à partir d'un autre ordinateur à l'aide de SSH.
SSH 192.168.0.103
Comme vous pouvez le voir dans l'image suivante, la règle que nous avons créée rapporte la tentative de connexion.
C'est tout pour ce tutoriel. Si vous souhaitez en savoir plus sur les alertes personnalisées SNORT, je recommande ce tutoriel https: // Linuxhint.com / snort_alerts / continuer à lire sur les alertes de snort.
Conclusion
Comme vous pouvez le voir, la configuration et la création de règles de snort sont simples. Chaque utilisateur Linux peut le faire en comprenant le contenu précédemment expliqué. Il est important de se souvenir des aspects de configuration exclusifs pour les utilisateurs de Debian précédemment expliqués. Il existe des alternatives de snort que vous voudrez peut-être essayer, comme Ossec, mais Snort reste le plus populaire pour les utilisateurs de Linux. Il est également important que Snort fonctionne pour tous les systèmes d'exploitation du réseau.
Merci d'avoir lu cet article expliquant comment configurer les identifiants de snort et comment créer des règles. Continuez à suivre LinuxHint pour des tutoriels Linux plus professionnels.