Phenquestions
После настройки любого сервера среди первых обычных шагов, связанных с безопасностью, являются брандмауэр, обновления и обновления, ключи ssh, аппаратные устройства. Но большинство системных администраторов не сканируют свои собственные серверы, чтобы обнаружить слабые места, как описано в OpenVas или Nessus, и не настраивают приманки или систему обнаружения вторжений (IDS), которые описаны ниже.
На рынке есть несколько IDS, и лучшие из них бесплатны, Snort - самый популярный, я знаю только Snort и OSSEC, и я предпочитаю OSSEC над Snort, потому что он потребляет меньше ресурсов, но я думаю, что Snort по-прежнему универсальный. Дополнительные опции: Suricata, Bro IDS, Security Onion.
Самое официальное исследование эффективности IDS довольно старое, с 1998 года, в тот же год, когда был первоначально разработан Snort, и было проведено DARPA, оно пришло к выводу, что такие системы были бесполезны до современных атак. Спустя 2 десятилетия ИТ развивались в геометрической прогрессии, безопасность тоже, и все почти обновлено, внедрение IDS полезно для каждого системного администратора.
Snort IDS
Snort IDS работает в 3 различных режимах, как сниффер, как регистратор пакетов и система обнаружения сетевых вторжений. Последний - самый универсальный, на который и ориентирована данная статья.
Установка Snort
apt-get install libpcap-dev bison flexЗатем запускаем:
apt-get install snortВ моем случае программное обеспечение уже установлено, но его не было по умолчанию, так оно было установлено в Kali (Debian).
Начало работы с режимом сниффера Snort
Режим сниффера считывает сетевой трафик и отображает перевод для человека-зрителя.
Чтобы проверить это, введите:
Этот параметр не следует использовать в обычном режиме, для отображения трафика требуется слишком много ресурсов, и он применяется только для отображения вывода команды.
В терминале мы видим заголовки трафика, обнаруженного Snort между компьютером, маршрутизатором и Интернетом. Snort также сообщает об отсутствии политик реагирования на обнаруженный трафик.
Если мы хотим, чтобы Snort тоже отображал данные, введите:
Чтобы показать запуск заголовков уровня 2:
# snort -v -d -eТак же, как параметр «v», «e» также представляет собой бесполезную трату ресурсов, его следует избегать в производстве.
Начало работы с режимом Packet Logger Snort
Чтобы сохранить отчеты Snort, нам нужно указать Snort каталог журналов, если мы хотим, чтобы Snort отображал только заголовки и регистрировал трафик на типе диска:
# mkdir snortlogs# snort -d -l snortlogs
Журнал будет сохранен в каталоге snortlogs.
Если вы хотите прочитать файлы журнала, введите:
# snort -d -v -r имя файла журнала.бревно.ххххххх
Начало работы с режимом системы обнаружения вторжений Snort (NIDS)
С помощью следующей команды Snort читает правила, указанные в файле / etc / snort / snort.conf, чтобы правильно фильтровать трафик, избегая чтения всего трафика и сосредотачиваясь на конкретных инцидентах
упоминается во фырканье.conf через настраиваемые правила.
Параметр «-A console» дает команду snort предупреждать в терминале.
# snort -d -l snortlog -h 10.0.0.0/24 -A консоль -c snort.conf
Спасибо, что прочитали вводный текст по использованию Snort.
