Installez le système de détection d'intrusion SNORT UBUNTU

Installez le système de détection d'intrusion SNORT UBUNTU

Après avoir configuré n'importe quel serveur parmi les premières étapes habituelles liées à la sécurité sont le pare-feu, les mises à jour et les mises à niveau, les clés SSH, les appareils matériels. Mais la plupart des systèmes système ne scannent pas leurs propres serveurs pour découvrir des points faibles comme expliqué avec OpenVAS ou Nessus, et ils ne configurent pas les points de miel ou un système de détection d'intrusion (IDS) qui est expliqué ci-dessous.

Il y a plusieurs pièces d'identité sur le marché et les meilleures sont gratuites, SNORT est le plus populaire, je ne connais que Snort et Ossec et je préfère Ossec au SNORT parce qu'il mange moins de ressources mais je pense que Snort est toujours universel. Les options supplémentaires sont les suivantes: Suricata, ID Bro, Onion de sécurité.

La recherche la plus officielle sur l'efficacité des IDS est assez ancienne, à partir de 1998, la même année au cours de laquelle SNORT a été initialement développé, et a été mené par DARPA, il a conclu que de tels systèmes étaient inutiles avant les attaques modernes. Après 2 décennies, il a évolué lors de la progression géométrique, la sécurité l'a fait aussi et tout est presque à jour, l'adoption d'identiques est utile pour chaque système.

ID de reniflement

SNORT IDS fonctionne dans 3 modes différents, comme Sniffer, en tant que bûcheron de paquets et système de détection d'intrusion du réseau. Le dernier est le plus polyvalent pour lequel cet article est axé.

Installation de SNORT

APT-Get Installer LibpCap-Dev Bison Flex

Ensuite, nous courons:

SNORT D'INSTALLATION APT-GET

Dans mon cas, le logiciel est déjà installé, mais ce n'était pas par défaut, c'est ainsi qu'il a été installé sur Kali (Debian).


Commencer avec le mode renifleur de Snort

Le mode renifleur lit le trafic du réseau et affiche la traduction d'un spectateur humain.
Afin de le tester Type:

# SNORT -V

Cette option ne doit pas être utilisée normalement, l'affichage du trafic nécessite trop de ressources, et il est appliqué uniquement pour afficher la sortie de la commande.


Dans le terminal, nous pouvons voir des en-têtes de trafic détectés par SNORT entre le PC, le routeur et Internet. Snort rapporte également le manque de politiques pour réagir au trafic détecté.
Si nous voulons que SNORT affiche également les données Type:

# SNORT -VD

Pour montrer les en-têtes de couche 2 courent:

# snort -v -d -e

Tout comme le paramètre «V», «E» représente également un gaspillage de ressources, son utilisation devrait être évitée pour la production.


Début avec le mode enregistreur de paquets de Snort

Afin d'enregistrer les rapports de Snort, nous devons spécifier pour renifler un répertoire de journal, si nous voulons que Snort affiche uniquement les en-têtes et enregistre le trafic sur le type de disque:

# mkdir snortlogs
# snort -d -l snortlogs

Le journal sera enregistré dans le répertoire Snortlogs.

Si vous souhaitez lire le type de fichiers journaux:

# snort -d -v -r logfilename.enregistrer.xxxxxxx

Début avec le mode du système de détection d'intrusion du réseau de Snort (NIDS)

Avec la commande suivante Snort lit les règles spécifiées dans le fichier / etc / snort / snort.Conf pour filtrer correctement le trafic, en évitant de lire l'ensemble du trafic et de se concentrer sur des incidents spécifiques
référé dans le snort.Conf à travers des règles personnalisables.

Le paramètre «-a console» demande à SNORT de alerter le terminal.

# SNORT -D -L SNORTLOG -H 10.0.0.0/24 -a console -c snort.confli

Merci d'avoir lu ce texte d'introduction à l'utilisation de Snort.