Javascript Disabled!

Please Enable Javascript if you disabled it, or use another browser we preferred Google Chrome.
Please Refresh Page After Enable

Powered By UnCopy Plugin.

تشخیص نفوذ با Snort


این مقاله نحوه نصب Snort و نحوه شروع با هشدارها و قوانین Snort را برای اجرای موفقیت آمیز یک سیستم تشخیص نفوذ توضیح می دهد.

Snort یک سیستم تشخیص نفوذ است که ترافیک و بسته ها را تجزیه و تحلیل می کند تا ناهنجاری هایی مانند ترافیک مخرب را شناسایی کرده و آنها را گزارش کند. اگر با سیستم‌های تشخیص نفوذ آشنایی ندارید، ممکن است بخواهید شروع به خواندن نتیجه نهایی در مورد آنها کنید. اگر می خواهید مستقیماً به دستورالعمل های عملی بروید، به خواندن ادامه دهید.

پس از خواندن این مقاله، می‌توانید Snort را بر روی توزیع‌های لینوکس مبتنی بر Debian و RedHat نصب کنید، حالت‌های مختلف Snort را تنظیم کنید، هشدارها و قوانین را تعریف کنید. دستورالعمل های استفاده از Snort در این آموزش برای همه توزیع های لینوکس معتبر است.

تمام دستورالعمل‌های این سند حاوی تصاویری از صفحه نمایش هستند تا درک و اعمال آن‌ها برای همه کاربران لینوکس آسان شود.

نصب Snort

می توانید Snort را با استفاده از apt مدیر بسته ها در دبیان یا اوبونتو همانطور که در تصویر زیر نشان داده شده است:

در طول مراحل نصب، از شما خواسته می شود که شبکه خود را تعریف کنید. مطبوعات خوب برای ادامه مرحله بعدی

اکنون آدرس شبکه خود را با فرمت CIDR تایپ کنید. به طور معمول، Snort خودکار آن را با موفقیت تشخیص می دهد.

سپس، فشار دهید خوب یا وارد. نگران این مرحله نباشید. این پیکربندی را می توان بعداً ویرایش کرد.

کاربران توزیع لینوکس مبتنی بر Red Hat می توانند بسته Snort را از اینجا دانلود کنند https://www.snort.org/downloads#snort-downloads و سپس با اجرای دستور زیر آن را نصب کنید، جایی که <نسخه> باید با نسخه فعلی که دانلود کرده اید جایگزین شود.

سودو خوشگل خرخر کردن-<<ما>نسخهما>>دور در دقیقه

به روز نگه داشتن قوانین Snort

Snort شامل دو نوع قانون اصلی است: قوانین جامعه که توسط انجمن Snort ایجاد شده است و قوانین رسمی. همیشه می توانید قوانین انجمن را به صورت پیش فرض به روز کنید. اما برای به روز رسانی قوانین رسمی، به کد Oink نیاز دارید – کدی که به شما امکان می دهد آخرین قوانین را دانلود کنید.

برای دریافت کد Oink، ثبت نام کنید https://www.snort.org/users/sign_up.

پس از ثبت نام، اکانت را از ایمیل خود تایید کرده و وارد سایت Snort شوید.

در منوی سمت چپ داشبورد، OinkCode را فشار دهید و کد خود را خواهید دید.

https://www.snort.org/rules/snortrules-snapshot-<نسخه>.tar.gz?oinkcode=

در مورد من از Snort 2.9.15.1 و لینک زیر برای دانلود قوانین استفاده کردم:

https://www.snort.org/rules/snortrules-snapshot-29151.tar.gz?oinkcode=15e4f48aab11b956bb27801172720f2be9f3686d

می توانید یک اسکریپت cron برای دانلود و استخراج قوانین در دایرکتوری مناسب ایجاد کنید.

پیکربندی Snort

فایل پیکربندی Snort /etc/snort/snort.conf است. قبل از شروع، کاربران دبیان باید مراحل ذکر شده در زیر را دنبال کنند. سایر کاربران توزیع می تواند از نسخه فایل /etc/snort/snort.conf به خواندن ادامه دهد.

نکته برای کاربران دبیان: دبیان لینوکس برخی از تنظیمات شبکه را در فایل پیکربندی پیش فرض Snort بازنویسی می کند. در زیر پوشه /etc/snort، عبارت وجود دارد /etc/snort/snort.debian.conf فایلی که تنظیمات شبکه دبیان از آنجا وارد شده است.

اگر کاربر دبیان هستید، کد زیر را اجرا کنید:

سودو نانو /و غیره/خرخر کردن/snort.debian.conf

بررسی کنید که تمام اطلاعات موجود در این فایل پیکربندی از جمله آدرس CIDR، دستگاه شبکه و غیره صحیح باشد.

فایل را ذخیره کنید. بیایید پیکربندی Snort را شروع کنیم.

برای پیکربندی Snort، از هر ویرایشگر متنی که در زیر نشان داده شده است استفاده کنید (من از نانو استفاده کردم) تا باز شود /etc/snort/snort.conf فایل.

سودو نانو /و غیره/خرخر کردن/خرخر کردن.conf

پیکربندی شبکه خود را بررسی کنید و به پایین اسکرول کنید.

پورت هایی را که می خواهید مانیتور شوند تعریف کنید.

فایل را نبندید و به خواندن قسمت بعدی ادامه دهید (فایل پیکربندی را باز نگه دارید).

قوانین خروپف

قوانین خروپف با کامنت گذاشتن یا حذف کردن خطوط در فایل /etc/snort/snort.conf فعال یا غیرفعال می شوند. اما قوانین در ذخیره می شود /etc/snort/rules فایل.

برای فعال یا غیرفعال کردن قوانین، آن را باز کنید /etc/snort/snort.conf با ویرایشگر متن قوانین در انتهای فایل قرار دارد.

وقتی به انتهای فایل رسیدید، فهرستی از قوانین برای اهداف مختلف را مشاهده خواهید کرد. قوانینی را که می‌خواهید فعال کنید از نظر خارج کنید و قوانینی را که می‌خواهید غیرفعال کنید نظر دهید.

به عنوان مثال، برای شناسایی ترافیک مربوط به حملات DOS، قانون DOS را از نظر خارج کنید. یا قانون FTP را برای نظارت بر پورت های 21 لغو نظر کنید.

سودو نانو /و غیره/خرخر کردن/خرخر کردن.conf

پس از لغو کامنت قوانین، سند را فعال، ذخیره و خارج کنید.

7 حالت هشدار خروپف

Snort شامل 7 حالت مختلف هشدار برای اطلاع از رویدادها یا حوادث است. 7 حالت به شرح زیر است:

  • سریع: هشدارهای Snort شامل مهر زمانی، ارسال پیام هشدار، نشان دادن آدرس IP و پورت های مبدأ و مقصد است. برای پیاده سازی این حالت، از -روزه
  • پر شده: علاوه بر این، در اطلاعات گزارش شده قبلی در حالت سریع، حالت کامل همچنین TTL، طول دیتاگرام و هدر بسته، اندازه پنجره، ACK و شماره ترتیب را چاپ می کند. برای پیاده سازی این حالت، از -کامل
  • کنسول: هشدارهای زمان واقعی را در کنسول نشان می دهد. این حالت با -یک کنسول
  • cmg: این حالت فقط برای اهداف آزمایشی مفید است.
  • باز کردن جوراب: این برای صادرات هشدارها به سوکت های یونیکس استفاده می شود.
  • Syslog: این حالت (پروتکل ثبت سیستم) به Snort دستور می دهد تا یک گزارش هشدار از راه دور ارسال کند. برای اجرای این حالت اضافه کنید -s
  • هیچ یک: هیچ هشداری وجود ندارد.

برای پایان دادن به این مقاله، بیایید حالت کامل را با اجرای دستور زیر امتحان کنیم -روزه اسکن حالت سریع را نشان می دهد و فایل پیکربندی (/etc/snort/snort.conf) را مشخص می کند.

سودو خرخر کردن سریع /و غیره/خرخر کردن/خروپف.conf

اکنون، تعدادی اسکن Nmap را اجرا کنید یا سعی کنید از طریق SSH یا FTP به رایانه خود متصل شوید و آن را بخوانید /var/log/snort/snort.alertآخرین خطوط را سریع کنید تا نحوه گزارش ترافیک را بررسی کنید. همانطور که می بینید، من یک اسکن تهاجمی Nmap راه اندازی کردم و به عنوان یک ترافیک مخرب شناسایی شد.

دم /بود/ورود به سیستم/خرخر کردن/خرخر.هشدار.سریع

امیدوارم این آموزش مقدمه خوبی برای Snort باشد. اما برای شروع کار با Snort باید با خواندن آموزش های اجباری ایجاد هشدارهای Snort و قوانین Snort به یادگیری آن ادامه دهید.

درباره سیستم های تشخیص نفوذ

تصور عمومی این است که اگر یک فایروال از شبکه شخصی محافظت کند، شبکه امن در نظر گرفته می شود. با این حال، این کاملا درست نیست. فایروال ها جزء اساسی یک شبکه هستند، اما نمی توانند به طور کامل از شبکه در برابر ورود اجباری یا اهداف خصمانه محافظت کنند. سیستم های تشخیص نفوذ برای ارزیابی بسته‌های تهاجمی یا غیرمنتظره و ایجاد هشدار قبل از اینکه این برنامه‌ها به شبکه آسیب برسانند استفاده می‌شوند. یک سیستم تشخیص نفوذ مبتنی بر میزبان بر روی تمام دستگاه های یک شبکه اجرا می شود یا به شبکه داخلی یک سازمان متصل می شود. یک سیستم تشخیص نفوذ مبتنی بر شبکه به جای آن در یک نقطه یا گروهی از نقاط خاص مستقر می شود که از آنجا می توان تمام ترافیک ورودی و خروجی را کنترل کرد. مزیت یک سیستم تشخیص نفوذ مبتنی بر میزبان این است که می‌تواند ناهنجاری‌ها یا ترافیک مخربی را که از خود میزبان ایجاد می‌شود، شناسایی کند، مانند اینکه میزبان تحت تأثیر بدافزار و غیره باشد. سیستم های تشخیص نفوذ (IDS) با نظارت و تجزیه و تحلیل ترافیک شبکه کار می کند و آن را با یک مجموعه قوانین تعیین شده مقایسه می کند تا مشخص کند چه چیزی باید برای شبکه عادی در نظر گرفته شود (برای پورت ها، پهنای باند و غیره) و چه چیزی را باید از نزدیک نگاه کرد.

یک سیستم تشخیص نفوذ بسته به اندازه شبکه می تواند مستقر شود. ده ها شناسه تجاری با کیفیت وجود دارد، اما بسیاری از شرکت ها و کسب و کارهای کوچک توانایی خرید آنها را ندارند. Snort یک سیستم تشخیص نفوذ انعطاف پذیر، سبک و محبوب است که می تواند بر اساس نیازهای شبکه، از شبکه های کوچک تا بزرگ، مستقر شود و تمام ویژگی های یک IDS پولی را فراهم می کند. Snort هیچ هزینه ای ندارد، اما این بدان معنا نیست که نمی تواند عملکردهای مشابه یک IDS تجاری نخبه را ارائه دهد. Snort یک IDS غیرفعال در نظر گرفته می‌شود، به این معنی که بسته‌های شبکه را بو می‌کشد، با مجموعه قوانین مقایسه می‌کند، و در صورت شناسایی یک گزارش یا ورودی مخرب (تشخیص نفوذ)، یک هشدار ایجاد می‌کند یا ورودی را در گزارش قرار می‌دهد. فایل. Snort برای نظارت بر عملیات و فعالیت های روترها، فایروال ها و سرورها استفاده می شود. Snort یک رابط کاربر پسند ارائه می دهد که شامل زنجیره ای از قوانین است که می تواند برای افرادی که با IDS آشنایی ندارند بسیار مفید باشد. Snort در صورت نفوذ (حملات سرریز بافر، مسمومیت DNS، انگشت نگاری سیستم عامل، اسکن پورت و موارد دیگر)، هشدار ایجاد می کند، به سازمان دید بیشتری از ترافیک شبکه می دهد و رعایت مقررات امنیتی را بسیار آسان تر می کند.

اکنون با IDS آشنا شدید. بیایید اکنون راه اندازی Snort را شروع کنیم.

نتیجه

سیستم‌های تشخیص نفوذ مانند Snort برای نظارت بر ترافیک شبکه استفاده می‌شوند تا تشخیص دهند که چه زمانی یک حمله توسط کاربر مخرب انجام می‌شود قبل از اینکه به شبکه آسیب برساند یا بر آن تأثیر بگذارد. اگر یک مهاجم یک پورت اسکن را در شبکه انجام دهد، حمله را می توان به همراه تعداد تلاش های انجام شده، آدرس IP مهاجم و سایر جزئیات شناسایی کرد. Snort برای تشخیص انواع ناهنجاری ها استفاده می شود. این شامل تعداد زیادی از قوانین است که قبلاً پیکربندی شده اند، به همراه گزینه ای برای کاربر برای نوشتن قوانین خود بر اساس نیازهای خود. بسته به اندازه شبکه، Snort را می توان به راحتی در مقایسه با سایر سیستم های تشخیص نفوذ تجاری پولی، بدون هزینه کردن، راه اندازی و استفاده کرد. بسته های ضبط شده را می توان با استفاده از یک sniffer بسته مانند Wireshark برای تجزیه و تحلیل و تجزیه آنچه در ذهن مهاجم در طول حمله می گذرد و انواع اسکن ها یا دستورات انجام شده تجزیه و تحلیل کرد. Snort یک ابزار رایگان، منبع باز و پیکربندی آسان است. این می تواند یک انتخاب عالی برای محافظت از هر شبکه با اندازه متوسط ​​در برابر حمله باشد.


به این مطلب امتیاز دهید

جهت ارسال نظر اینجا کلیک کنید.