Détection d'intrusion avec reniflement

Détection d'intrusion avec reniflement

Cet article explique comment installer Snort et comment démarrer avec des alertes et des règles de Snort pour mettre en œuvre avec succès un système de détection d'intrusion.

Snort est un système de détection d'intrusion qui analyse le trafic et les paquets pour détecter les anomalies, telles que le trafic malveillant, et les signaler. Si vous n'êtes pas familier avec les systèmes de détection d'intrusion, vous voudrez peut-être commencer à lire la conclusion finale sur eux. Si vous voulez passer directement à des instructions pratiques, continuez à lire.

Après avoir lu cet article, vous pourrez installer SNORT sur les distributions Linux basées sur Debian et Redhat, définir différents modes de snort, définir des alertes et des règles. Les instructions d'utilisation de SNORT dans ce tutoriel sont valables pour toutes les distributions Linux.

Toutes les instructions de ce document contiennent des captures d'écran pour faciliter la compréhension de tous les utilisateurs de Linux et les appliquer.

Installation de SNORT

Vous pouvez installer SNORT en utilisant le apte Packages Manager sur Debian ou Ubuntu comme indiqué dans la capture d'écran suivante:

sudo apt install snort

Pendant le processus d'installation, il vous sera demandé de définir votre réseau. Presse D'ACCORD Pour continuer avec la prochaine étape.

Maintenant, tapez votre adresse réseau au format CIDR. Normalement, Snort Auto le détecte avec succès.

Puis appuyez D'ACCORD ou ENTRER. Ne vous inquiétez pas de cette étape; Cette configuration peut être modifiée plus tard.

Les utilisateurs de distribution Linux basés sur Red Hat peuvent télécharger le package Snort à partir de https: // www.renifler.org / téléchargements # snort-downloads puis l'installez en exécutant la commande suivante, où <Version> doit être remplacé par la version actuelle que vous avez téléchargée.

sudo yum renifle-<Version>.RPM

Garder les règles de reniflement à jour

SNORT contient deux principaux types de règles: les règles de la communauté développées par la communauté Snort et les règles officielles. Vous pouvez toujours mettre à jour les règles de la communauté par défaut. Mais pour mettre à jour les règles officielles, vous avez besoin d'un code d'Oink - un code qui vous permet de télécharger les dernières règles.

Pour obtenir un code Oink, inscrivez-vous sur https: // www.renifler.org / utilisateurs / sig_up.

Après votre inscription, confirmez le compte de votre e-mail et connectez-vous au site Snort.

Dans le menu côté gauche du tableau de bord, appuyez sur Oinkcode et vous verrez votre code.

https: // www.renifler.org / règles / snortrules-snapshot-.le goudron.gz?Oinkcode =

Dans mon cas, j'ai utilisé le snort 2.9.15.1 et le lien suivant pour télécharger les règles:

https: // www.renifler.org / règles / snortrules-snapshot-29151.le goudron.gz?Oinkcode =15E4F48AAB11B956BB27801172720F2BE9F3686D

Vous pouvez créer un script cron pour télécharger et extraire les règles du répertoire approprié.

Configuration de SNORT

Le fichier de configuration de SNORT est / etc / snort / snort.confli. Avant de commencer, les utilisateurs de Debian doivent suivre les étapes mentionnées dans ce qui suit. D'autres utilisateurs de la distribution peuvent continuer à lire à partir du / etc / snort / snort.édition de fichier confre.

Remarque pour les utilisateurs de Debian: Debian Linux écrase certains paramètres réseau dans le fichier de configuration par défaut de SNORT. Sous le répertoire / etc / snort, il y a le / etc / snort / snort.Debian.confli fichier à partir de l'importation des paramètres du réseau Debian.

Si vous êtes un utilisateur Debian, exécutez le code suivant:

sudo nano / etc / snort / snort.Debian.confli

Vérifiez que toutes les informations de ce fichier de configuration sont correctes, y compris l'adresse CIDR, le périphérique réseau, etc.

Enregistrer le fichier. Commençons à configurer le snort.

Pour configurer le snort, utilisez n'importe quel éditeur de texte comme indiqué dans ce qui suit (j'ai utilisé nano) pour ouvrir le / etc / snort / snort.confli déposer.

sudo nano / etc / snort / snort.confli

Vérifiez la configuration du réseau et faites défiler vers le bas.

Définissez les ports que vous souhaitez être surveillés.

Ne fermez pas le fichier et continuez à lire la section suivante (gardez le fichier de configuration ouvert).

Règles de reniflement

Les règles de snort sont activées ou désactivées en commentant ou en lignes non communiquées dans le / etc / snort / snort.fichier de confr. Mais les règles sont stockées dans le / etc / snort / règles déposer.

Pour activer ou désactiver les règles, ouvrez le / etc / snort / snort.confli avec un éditeur de texte. Les règles sont situées à la fin du fichier.

Lorsque vous atteignez la fin du fichier, vous verrez une liste de règles à des fins différentes. Décommente les règles que vous souhaitez activer et commenter les règles que vous souhaitez désactiver.

Par exemple, pour détecter le trafic lié aux attaques DOS, décommentez la règle DOS. Ou décommentation la règle FTP pour surveiller les ports 21.

sudo nano / etc / snort / snort.confli

Après avoir découvert les règles, activer, sauver et quitter le document.

Les 7 modes d'alerte SNORT

SNORT comprend 7 modes d'alerte différents à notifier les événements ou les incidents. Les 7 modes sont les suivants:

  • Rapide: Les alertes de snort incluent l'horodatage, l'envoi d'un message d'alerte, affichant les adresses et ports IP source et de destination. Pour implémenter ce mode, utilisez le -Un jeûne
  • Complet: De plus, dans les informations précédemment rapportées en mode rapide, le mode complet imprime également le TTL, la longueur de datagramme et les en-têtes de paquet, la taille de la fenêtre, l'ACK et le numéro de séquence. Pour implémenter ce mode, utilisez le -Plein
  • Console: Il montre les alertes en temps réel dans la console. Ce mode est activé avec le -Une console
  • CMG: Ce mode n'est utile qu'à des fins de test.
  • Unsock: Ceci est utilisé pour exporter des alertes sur Unix Sockets.
  • Syslog: Ce mode (protocole de journalisation du système) demande à Snort d'envoyer un journal d'alerte distant. Pour exécuter ce mode, ajouter -s
  • Aucun: Aucune alerte.

Pour terminer cet article, essayons le mode complet en exécutant la commande suivante, où -Un jeûne indique une analyse en mode rapide et -c Spécifie le fichier de configuration (/ etc / snort / snort.conf).

Sudo SNORT -A FAST -C / ETC / SNORT / SNORT.confli

Maintenant, lancez des analyses NMAP ou essayez de vous connecter via SSH ou FTP à votre ordinateur et lisez le / var / log / snort / snort.alerte.Dernières lignes rapides pour vérifier comment le trafic est signalé. Comme vous pouvez le voir, j'ai lancé un scan agressif NMAP et il a été détecté comme un trafic malveillant.

queue / var / log / snort / snort.alerte.rapide

J'espère que ce tutoriel sert de bonne introduction à SNORT. Mais vous devez continuer à l'apprendre en lisant les alertes Snort et les tutoriels de création de règles de Snort.

Sur les systèmes de détection d'intrusion

La pensée générale est que si un pare-feu protège son réseau, le réseau est considéré comme sécurisé. Cependant, ce n'est pas entièrement vrai. Les pare-feu sont un élément fondamental d'un réseau, mais ils ne peuvent pas complètement protéger le réseau contre les entrées forcées ou l'intention hostile. Systèmes de détection d'intrusion sont utilisés pour évaluer les paquets agressifs ou inattendus et générer une alerte avant que ces programmes puissent nuire au réseau. Un système de détection d'intrusion basé sur l'hôte s'exécute sur tous les appareils d'un réseau ou se connecte au réseau interne d'une organisation. Un système de détection d'intrusion basé sur un réseau est plutôt déployé à un certain point ou groupe de points à partir desquels tout le trafic ingrat et sortant peuvent être surveillés. L'avantage d'un système de détection d'intrusion basé sur l'hôte est qu'il peut également détecter des anomalies ou un trafic malveillant généré à partir de l'hôte lui-même comme si l'hôte est affecté par des logiciels malveillants, etc. Systèmes de détection d'intrusion (IDS) Travailler en surveillant et en analysant le trafic réseau et le compare à un ensemble de règles établi pour déterminer ce qui doit être considéré comme normal pour le réseau (pour les ports, les bandeurs de bande, etc.) Et quoi examiner de plus près.

Un système de détection d'intrusion peut être déployé en fonction de la taille du réseau. Il y a des dizaines d'identifices commerciaux de qualité, mais de nombreuses entreprises et petites entreprises ne peuvent pas se permettre d'eux. Snort est un système de détection d'intrusion flexible, léger et populaire qui peut être déployé en fonction des besoins du réseau, allant des petits à grands réseaux, et fournit toutes les fonctionnalités d'un ID payant. Snort ne coûte rien, mais cela ne signifie pas qu'il ne peut pas fournir les mêmes fonctionnalités qu'une élite et des identifiants commerciaux. SNORT est considéré comme des ID passifs, ce qui signifie qu'il renifle les paquets de réseau, se compare à l'ensemble de règles et, en cas de détection d'un journal ou d'une entrée malveillante (détectant une intrusion), il génère une alerte ou place une entrée dans un journal déposer. SNORT est utilisé pour surveiller les opérations et les activités des routeurs, des pare-feu et des serveurs. SNORT fournit une interface conviviale qui contient une chaîne de ensembles de règles qui peuvent être très utiles à une personne qui ne connaît pas les ID. SNORT génère une alarme en cas d'intrusion (attaques de débordement de tampon, empoisonnement DNS, empreinte digitale du système d'exploitation, analyses portuaires et bien plus encore), donnant à une organisation une plus grande visibilité du trafic réseau et facilitant la respecter les règlements de sécurité.

Maintenant, vous êtes initié aux identifiants. Commençons maintenant à configurer le snort.

Conclusion

Les systèmes de détection d'intrusion comme Snort sont utilisés pour surveiller le trafic du réseau pour détecter lorsqu'une attaque est effectuée par un utilisateur malveillant avant de pouvoir nuire ou affecter le réseau. Si un attaquant effectue une analyse de port sur un réseau, l'attaque peut être détectée avec le nombre de tentatives faites, l'adresse IP de l'attaquant et d'autres détails. SNORT est utilisé pour détecter tous les types d'anomalies. Il est livré avec un grand nombre de règles déjà configurées, ainsi que l'option pour l'utilisateur d'écrire ses propres règles en fonction de ses besoins. Selon la taille du réseau, SNORT peut facilement être configuré et utilisé sans rien dépenser, par rapport aux autres systèmes de détection d'intrusion commerciale payante. Les paquets capturés peuvent être analysés davantage à l'aide d'un renifleur de paquets comme Wireshark pour analyser et décomposer ce qui se passe dans l'esprit de l'attaquant pendant l'attaque et les types de scannes ou de commandes effectuées. Snort est un outil gratuit, open-source et facile à configurer. Cela peut être un excellent choix pour protéger tout réseau de taille moyenne d'une attaque.