Садржај
- Зашто поставити систем за откривање провала?
- Инсталирање Снорт пакета
- Добијање Оинкмастер кода
- Следите кораке у наставку да бисте добили свој Оинкмастер код:
- Уношење Оинкмастер кода у Снорт
- Ручно ажурирање правила
- Додавање интерфејса
- Конфигурисање интерфејса
- Избор категорија правила
- Која је сврха категорија правила?
- Како могу добити више информација о категоријама правила?
- Популарне категорије правила хркања
- Поставке претпроцесора и протока
- Покретање интерфејса
- Ако Снорт не успе да се покрене
- Провера упозорења
Сам ради као мрежни аналитичар у компанији за алгоритамско трговање. Дипломирао је информациону технологију на УМКЦ.
Зашто поставити систем за откривање провала?
Хакери, вируси и друге претње непрестано истражују вашу мрежу, тражећи начин да уђу. Потребна је само једна хакована машина да би цела мрежа била угрожена. Из ових разлога препоручујем постављање система за откривање упада како бисте могли да заштитите своје системе и надгледате разне претње на Интернету.
Снорт је ИД отвореног кода који се лако може инсталирати на пфСенсе заштитни зид како би заштитио кућну или пословну мрежу од уљеза. Снорт се такође може конфигурисати да функционише као систем за спречавање упада (ИПС), што га чини врло флексибилним.
У овом чланку ћу вас провести кроз поступак инсталирања и конфигурисања Снорт-а на пфСенсе 2.0 како бисте могли да започнете анализу саобраћаја у реалном времену.
Инсталирање Снорт пакета
Да бисте започели рад са Снорт-ом, мораћете да инсталирате пакет помоћу пфСенсе менаџера пакета. Менаџер пакета се налази у системском менију пфСенсе веб ГУИ.
Пронађите Снорт са листе пакета, а затим кликните симбол плус на десној страни да бисте започели инсталацију.
Нормално је да снорт-у треба неколико минута да се инсталира, има неколико зависности које пфСенсе прво мора да преузме и инсталира.
По завршетку инсталације Снорт ће се појавити у менију услуга.
Снорт се може инсталирати помоћу пфСенсе менаџера пакета.
Добијање Оинкмастер кода
Да би Снорт био користан, потребно га је ажурирати најновијим скупом правила. Пакет Снорт може аутоматски ажурирати ова правила за вас, али прво морате добити Оинкмастер код.
Доступна су два различита скупа правила хркања:
- Комплет издања за претплатнике је најсавременији скуп доступних правила. За приступ овим правилима у реалном времену потребна је плаћена годишња претплата.
- Друга верзија правила је издање за регистрованог корисника, које је потпуно бесплатно за све који се региструју на локацији Снорт.орг.
Главна разлика између два скупа правила је та што правила у издању регистрованог корисника заостају 30 дана за правилима претплате. Ако желите најсавременију заштиту, требало би да набавите претплату.
Следите кораке у наставку да бисте добили свој Оинкмастер код:
- Посетите веб страницу Снорт рулес да бисте преузели потребну верзију.
- Кликните на „Пријави се за налог“ и креирајте Снорт налог.
- Након што потврдите свој налог, пријавите се на Снорт.орг.
- Кликните на „Мој налог“ на горњој траци са везама.
- Кликните на картицу „Претплате и Оинкцоде“.
- Кликните на везу Оинкцодес, а затим кликните на „Генериши код“.
Код ће остати ускладиштен на вашем налогу да бисте га касније могли добити ако је потребно. Овај код ће бити потребно унети у подешавања Снорт у пфСенсе.
За преузимање правила са Снорт.орг потребан је Оинкмастер код.
Уношење Оинкмастер кода у Снорт
Након добијања Оинкцоде-а, мора се унети у подешавања пакета Снорт. Страница Снорт сеттингс ће се појавити у менију услуга веб интерфејса. Ако није видљив, уверите се да је пакет инсталиран и по потреби га поново инсталирајте.
Оинкцоде се мора унети на страници глобалних подешавања подешавања Снорт. Такође желим да означим поље да бих омогућио и правила за нове претње. ЕТ правила одржава заједница отвореног кода и могу пружити нека додатна правила која се можда неће наћи у скупу Снорт.
Аутоматско ажурирање
Подразумевано, пакет Снорт неће аутоматски ажурирати правила. Препоручени интервал ажурирања је једном на 12 сати, али то можете да прилагодите свом окружењу.
Не заборавите да кликнете на дугме „сачувај“ када завршите са уносом промена.
Ручно ажурирање правила
Снорт нема никаква правила, па ћете их морати ручно ажурирати први пут. Да бисте покренули ручно ажурирање, кликните картицу исправки, а затим дугме правила ажурирања.
Пакет ће преузети најновије скупове правила са Снорт.орг, као и нове претње ако сте изабрали ту опцију.
По завршетку ажурирања, правила ће бити издвојена и спремна за употребу.
Правила се морају ручно преузети приликом првог постављања Снорт-а.
Додавање интерфејса
Пре него што Снорт почне да функционише као систем за откривање упада, морате му доделити интерфејсе за надгледање. Типична конфигурација је да Снорт надгледа било који ВАН интерфејс. Друга најчешћа конфигурација је да Снорт надгледа ВАН и ЛАН интерфејс.
Надгледање ЛАН интерфејса може пружити одређену видљивост напада који се дешавају унутар ваше мреже. Није реткост да се рачунар на ЛАН мрежи зарази малвером и започне покретање напада на системе унутар и изван мреже.
Да бисте додали интерфејс, кликните симбол плус који се налази на картици Снорт интерфаце.
Конфигурисање интерфејса
Након што кликнете на дугме за додавање интерфејса, видећете страницу са подешавањима интерфејса.Страница са подешавањима садржи пуно опција, али постоји само неколико ствари о којима заиста требате бринути да бисте покренули ствари.
- Прво означите поље за потврду на врху странице.
- Затим одаберите интерфејс који желите да конфигуришете (у овом примеру прво конфигуришем ВАН).
- Подесите перформансе меморије на АЦ-БНФА.
- Означите поље за потврду „Лог Алертс то фнорт унифиед2 филе“ како би барниард2 функционисао.
- Кликните на саве.
Ако користите а мулти-ван рутер, можете наставити и конфигурисати остале ВАН интерфејсе на вашем систему. Такође препоручујем додавање ЛАН интерфејса.
Пре него што започнете интерфејсе, постоји још неколико подешавања која треба конфигурисати за сваки интерфејс. Да бисте конфигурисали додатна подешавања, вратите се на картицу Снорт интерфаце (интерфејс Снорт) и кликните симбол „Е“ на десној страни странице поред интерфејса. То ће вас вратити на страницу за конфигурацију за тај одређени интерфејс. Да бисте изабрали категорије правила која треба да буду омогућене за интерфејс, кликните на картицу категорија. Сва правила откривања подељена су у категорије. Категорије које садрже правила из нових претњи започињу са „настају“, а правила са Снорт.орг почињу са „снорт“. Након избора категорија, кликните дугме за спремање на дну странице. Подјелом правила у категорије можете омогућити само одређене категорије које вас занимају. Препоручујем да омогућите неке опћенитије категорије. Ако на својој мрежи користите одређене услуге, као што су веб или сервер базе података, требало би да омогућите и категорије које се односе на њих. Важно је запамтити да ће Снорт захтевати више системских ресурса сваки пут када се укључи додатна категорија. Ово такође може повећати број лажно позитивних резултата. Генерално, најбоље је да укључите само оне групе које су вам потребне, али слободно експериментишите са категоријама и погледајте шта најбоље делује.Избор категорија правила
Која је сврха категорија правила?
Како могу добити више информација о категоријама правила?
Ако желите да сазнате која су правила у категорији и сазнате више о томе шта раде, онда можете да кликнете на категорију. Ово ће вас директно повезати са листом свих правила у категорији.
Популарне категорије правила хркања
| име категорије | Опис |
|---|---|
снорт_ботнет-цнц.рулес | Циља познате ботнет командне и контролне хостове. |
снорт_ддос.рулес | Открива нападе ускраћивања услуге. |
снорт_сцан.рулес | Ова правила откривају скенирање лука, Нессус-ове сонде и друге нападе прикупљања информација. |
снорт_вирус.рулес | Открива потписе познатих тројанаца, вируса и црва. Препоручује се употреба ове категорије. |
Поставке претпроцесора и протока
Постоји неколико поставки на страници подешавања претпроцесора које треба омогућити. Многа правила откривања захтевају омогућавање ХТТП прегледа како би могли да раде.
- У оквиру подешавања ХТТП инспекције омогућите „Користи ХТТП инспекцију за нормализацију / декодирање“
- У одељку општих подешавања претпроцесора омогућите „Откривање портсцан-а“
- Сачувајте подешавања.
Покретање интерфејса
Када се нови интерфејс дода у Снорт, он не почиње аутоматски да се покреће. Да бисте ручно покренули интерфејсе, кликните зелено дугме за репродукцију на левој страни сваког интерфејса који је конфигурисан.
Када је Снорт покренут, текст иза имена интерфејса појавит ће се зелено. Да бисте зауставили Снорт, кликните на црвено дугме стоп на левој страни интерфејса.
Постоји неколико уобичајених проблема који могу спречити Снорт да се покрене.
Ако Снорт не успе да се покрене
Провера упозорења
Након што је Снорт успешно конфигурисан и покренут, требали бисте почети да видите упозорења након што се детектује саобраћај који се подудара са правилима.
Ако не видите ниједно упозорење, дајте му мало времена, а затим поново проверите. Може проћи неко време пре него што видите обавештења, у зависности од количине саобраћаја и правила која су омогућена.
Ако желите даљински прегледати упозорења, можете да омогућите подешавање интерфејса „Шаљи упозорења у главне системске евиденције“. Упозорења која се појављују у системским евиденцијама могу бити прегледани на даљину помоћу Сислог-а.
Овај чланак је тачан и тачан по сазнањима аутора. Садржај је само у информативне или забавне сврхе и не може заменити лични савет или професионални савет у пословним, финансијским, правним или техничким питањима.
