Добро пожаловать обратно, мои нежные хакеры!
Как вы, вероятно, знаете, Snort — самая распространённая система обнаружения вторжений (IDS) в мире, и каждый хакер и специалист по IT-безопасности должен быть с ней знаком. Хакерам необходимо знать её, чтобы уклоняться от атак, а специалистам по IT-безопасности — чтобы предотвращать вторжения. Поэтому базовое понимание этой повсеместно распространённой IDS крайне важно.
В предыдущем уроке этой серии я показал вам, как установить Snort, используя пакеты, хранящиеся в репозитории Ubuntu, или из исходного кода непосредственно с веб-сайта Snort.
Сейчас я покажу вам базовую конфигурацию, чтобы вы могли сразу приступить к работе со Snorting. В следующих уроках мы настроим конфигурацию для оптимизации производительности, отправки данных в базу данных и анализа данных через графический интерфейс.
Шаг 1: Получите помощь от Snort
Прежде чем настраивать Snort, давайте посмотрим на его файл справки. Как и для большинства команд и приложений в Linux, файл справки можно вызвать, введя имя команды или приложения, а затем -? или –help.
кали > хрюкать –помощь
Как вы можете видеть на снимке экрана выше, я обвел несколько клавишных переключателей.
Теперь, когда мы ознакомились с основами работы некоторых его функций, давайте попробуем запустить Snort. Он может работать как сниффер, регистратор пакетов или NIDS (система обнаружения сетевых вторжений). Здесь мы рассмотрим только режимы сниффера (сбора пакетов) и NIDS.
Чтобы запустить Snort в режиме дампа пакетов, введите:
kali > snort -vde
Чтобы запустить Snort в качестве NIDS, необходимо указать Snort, что необходимо включить файл конфигурации и правила. В большинстве случаев файл конфигурации находится по адресу /etc/snort/snort.conf и указывает на правила Snort. Нам понадобится ключ -c, а затем — расположение файла конфигурации.
kali > snort -vde -c /etc/snort/snort.conf
Шаг 3 : Откройте файл конфигурации
Как и почти любое приложение Linux, Snort настраивается с помощью конфигурационного файла, представляющего собой простой текстовый файл. Измените текст в этом файле, сохраните его, перезапустите приложение, и у вас будет новая конфигурация.
Откроем файл конфигурации Snort в любом текстовом редакторе (я буду использовать Leafpad). Файл конфигурации, как и прежде, находится по адресу /etc/snort/snort.conf.
Кали > листовая панель /etc/snort/snort.conf
Файл snort.conf, открытый в текстовом редакторе, должен выглядеть так, как показано на снимке экрана выше. Обратите внимание, что многие строки — это просто комментарии, начинающиеся с символа #. Если прокрутить вниз до строк 25–37, то в комментариях мы увидим, что файл конфигурации состоит из девяти разделов.
Шаг 4 : Задайте переменные
В строке 45 выше мы видим «ipvar HOME_NET any». Это задаёт IP-адреса вашей сети, которые необходимо защитить. HOME_NET — это переменная, которой вы назначаете IP-адреса. Это может быть отдельный IP-адрес, список IP-адресов, разделённых запятыми, подсеть в нотации CIDR или просто any.
Лучший вариант — задать HOME_NET для защищаемой подсети в нотации CIDR, например:
i pvar HOME_NET 192.168.181.0/24
Шаг 5 : Проверьте вывод
Если прокрутить вниз до строк 464–485, то можно увидеть раздел «Выходные плагины». Здесь мы сообщаем Snort, куда и как отправлять нам логи и оповещения. По умолчанию строка 471 закомментирована, а строка 481 активна.
В этой конфигурации по умолчанию Snort отправляет логи в формате tcpdump в каталог /var/log/snort . Строка 471 включает то, что Snort называет унифицированным журналированием. Этот тип журналирования регистрирует как весь пакет, так и оповещения. Пока что раскомментируем этот тип вывода (unified2) и закомментируем строку 481. В дальнейшем мы настроим вывод на отправку в базу данных по вашему выбору (MS SQL, MySQL, Oracle и т. д.).
Шаг 6: Отключение правил
Зачастую для корректной работы Snort требуется настроить правила, на которые он опирается. Иногда правило или набор правил приводит к ошибкам, поэтому необходимо временно закомментировать правило или набор правил. Если прокрутить вниз до строки 504, то начнётся этап «Настройте свой набор правил» в файле конфигурации.
Обратите внимание на строку 511, содержащую локальные правила. Это правила, которые мы можем добавить в набор правил Snort в нашей настроенной конфигурации.
Чтобы запретить Snort использовать набор правил, просто закомментируйте часть «include». Обратите внимание, что существует множество устаревших наборов правил, которые закомментированы, но могут быть активированы простым удалением символа # перед ними.
Закончив вносить изменения в файл конфигурации, мы просто сохраняем текстовый файл.
Шаг 7 : Проверка конфигурации
Прежде чем запустить Snort в эксплуатацию, давайте протестируем нашу новую конфигурацию. Для этого можно использовать ключ -T, а затем указать файл конфигурации.
kali > snort -T -c /etc/snort/snort.conf
Обратите внимание, что Snort запущен в тестовом режиме.
Как видим, Snort протестировал нашу конфигурацию и подтвердил её. Теперь можно запускать в эксплуатацию!
Теперь у вас есть приложение Snort, готовое к обнаружению вторжений. Нам осталось настроить Snort на автоматическое ежедневное обновление набора правил, отправку результатов в выбранную нами базу данных, написать собственные правила и затем анализировать результаты через графический интерфейс. Так что заходите ещё, мои хакеры-новички!
Как вы, вероятно, знаете, Snort — самая распространённая система обнаружения вторжений (IDS) в мире, и каждый хакер и специалист по IT-безопасности должен быть с ней знаком. Хакерам необходимо знать её, чтобы уклоняться от атак, а специалистам по IT-безопасности — чтобы предотвращать вторжения. Поэтому базовое понимание этой повсеместно распространённой IDS крайне важно.
В предыдущем уроке этой серии я показал вам, как установить Snort, используя пакеты, хранящиеся в репозитории Ubuntu, или из исходного кода непосредственно с веб-сайта Snort.
Сейчас я покажу вам базовую конфигурацию, чтобы вы могли сразу приступить к работе со Snorting. В следующих уроках мы настроим конфигурацию для оптимизации производительности, отправки данных в базу данных и анализа данных через графический интерфейс.
Шаг 1: Получите помощь от Snort
Прежде чем настраивать Snort, давайте посмотрим на его файл справки. Как и для большинства команд и приложений в Linux, файл справки можно вызвать, введя имя команды или приложения, а затем -? или –help.
кали > хрюкать –помощь
Как вы можете видеть на снимке экрана выше, я обвел несколько клавишных переключателей.
- Первый ключ — -c, который вместе с указанием местоположения файла правил Snort указывает Snort использовать свои правила. Правила в Snort подобны вирусным сигнатурам: они предназначены для обнаружения вредоносных пакетов и программ.
- Второй — -d, который сообщает Snort, что нужно отображать прикладной уровень данных.
- Третий параметр — -e, который сообщает Snort о необходимости отобразить информацию второго уровня, или уровня канала передачи данных, который содержит MAC-адрес.
- Параметр -i позволяет указать нужный интерфейс. Snort по умолчанию использует интерфейс eth0, поэтому его нужно использовать только в том случае, если мы хотим использовать другой интерфейс, например, wlan0.
- Ключ -l указывает Snort, куда следует записывать данные. Как мы увидим, в зависимости от конфигурации, Snort по умолчанию записывает данные в /var/log/snort, но мы можем указать другое место, указав путь после ключа -l.
- Параметр -v заставляет Snort быть многословным, т. е. предоставлять нам всю имеющуюся информацию.
Теперь, когда мы ознакомились с основами работы некоторых его функций, давайте попробуем запустить Snort. Он может работать как сниффер, регистратор пакетов или NIDS (система обнаружения сетевых вторжений). Здесь мы рассмотрим только режимы сниффера (сбора пакетов) и NIDS.
Чтобы запустить Snort в режиме дампа пакетов, введите:
kali > snort -vde
Чтобы запустить Snort в качестве NIDS, необходимо указать Snort, что необходимо включить файл конфигурации и правила. В большинстве случаев файл конфигурации находится по адресу /etc/snort/snort.conf и указывает на правила Snort. Нам понадобится ключ -c, а затем — расположение файла конфигурации.
kali > snort -vde -c /etc/snort/snort.conf
Шаг 3 : Откройте файл конфигурации
Как и почти любое приложение Linux, Snort настраивается с помощью конфигурационного файла, представляющего собой простой текстовый файл. Измените текст в этом файле, сохраните его, перезапустите приложение, и у вас будет новая конфигурация.
Откроем файл конфигурации Snort в любом текстовом редакторе (я буду использовать Leafpad). Файл конфигурации, как и прежде, находится по адресу /etc/snort/snort.conf.
Кали > листовая панель /etc/snort/snort.conf
Файл snort.conf, открытый в текстовом редакторе, должен выглядеть так, как показано на снимке экрана выше. Обратите внимание, что многие строки — это просто комментарии, начинающиеся с символа #. Если прокрутить вниз до строк 25–37, то в комментариях мы увидим, что файл конфигурации состоит из девяти разделов.
- Установите сетевые переменные
- Настройте декодер
- Настройте базовый механизм обнаружения
- Настройте динамически загружаемые библиотеки
- Настроить препроцессоры
- Настроить выходные плагины
- Настроить набор правил
- Настройте набор правил препроцессора и декодера
- Настроить набор правил для общих объектов
Шаг 4 : Задайте переменные
В строке 45 выше мы видим «ipvar HOME_NET any». Это задаёт IP-адреса вашей сети, которые необходимо защитить. HOME_NET — это переменная, которой вы назначаете IP-адреса. Это может быть отдельный IP-адрес, список IP-адресов, разделённых запятыми, подсеть в нотации CIDR или просто any.
Лучший вариант — задать HOME_NET для защищаемой подсети в нотации CIDR, например:
i pvar HOME_NET 192.168.181.0/24
Шаг 5 : Проверьте вывод
Если прокрутить вниз до строк 464–485, то можно увидеть раздел «Выходные плагины». Здесь мы сообщаем Snort, куда и как отправлять нам логи и оповещения. По умолчанию строка 471 закомментирована, а строка 481 активна.
В этой конфигурации по умолчанию Snort отправляет логи в формате tcpdump в каталог /var/log/snort . Строка 471 включает то, что Snort называет унифицированным журналированием. Этот тип журналирования регистрирует как весь пакет, так и оповещения. Пока что раскомментируем этот тип вывода (unified2) и закомментируем строку 481. В дальнейшем мы настроим вывод на отправку в базу данных по вашему выбору (MS SQL, MySQL, Oracle и т. д.).
Шаг 6: Отключение правил
Зачастую для корректной работы Snort требуется настроить правила, на которые он опирается. Иногда правило или набор правил приводит к ошибкам, поэтому необходимо временно закомментировать правило или набор правил. Если прокрутить вниз до строки 504, то начнётся этап «Настройте свой набор правил» в файле конфигурации.
Обратите внимание на строку 511, содержащую локальные правила. Это правила, которые мы можем добавить в набор правил Snort в нашей настроенной конфигурации.
Чтобы запретить Snort использовать набор правил, просто закомментируйте часть «include». Обратите внимание, что существует множество устаревших наборов правил, которые закомментированы, но могут быть активированы простым удалением символа # перед ними.
Закончив вносить изменения в файл конфигурации, мы просто сохраняем текстовый файл.
Шаг 7 : Проверка конфигурации
Прежде чем запустить Snort в эксплуатацию, давайте протестируем нашу новую конфигурацию. Для этого можно использовать ключ -T, а затем указать файл конфигурации.
kali > snort -T -c /etc/snort/snort.conf
Обратите внимание, что Snort запущен в тестовом режиме.
Как видим, Snort протестировал нашу конфигурацию и подтвердил её. Теперь можно запускать в эксплуатацию!
Теперь у вас есть приложение Snort, готовое к обнаружению вторжений. Нам осталось настроить Snort на автоматическое ежедневное обновление набора правил, отправку результатов в выбранную нами базу данных, написать собственные правила и затем анализировать результаты через графический интерфейс. Так что заходите ещё, мои хакеры-новички!
