Мазмұны
- Неліктен кіруді анықтау жүйесін құру керек?
- Snort пакетін орнату
- Oinkmaster кодын алу
- Oinkmaster кодын алу үшін төмендегі әрекеттерді орындаңыз:
- Snink-те Oinkmaster кодын енгізу
- Ережелерді қолмен жаңарту
- Интерфейстер қосу
- Интерфейсті конфигурациялау
- Ереже санаттарын таңдау
- Ереже санаттарының мақсаты қандай?
- Ережелер санаттары туралы қосымша ақпаратты қалай алуға болады?
- Танымал Snort ережесінің санаттары
- Препроцессор және ағын параметрлері
- Интерфейстерді бастау
- Егер Snort басталмаса
- Ескертулерді тексеру
Сэм алгоритмдік сауда фирмасының желілік талдаушысы болып жұмыс істейді. Ақпараттық технологиялар бойынша бакалавр дәрежесін UMKC-ден алды.
Неліктен кіруді анықтау жүйесін құру керек?
Хакерлер, вирустар және басқа қауіптер желіге кіру жолын іздеуде. Желіге қауіп төнуі үшін бір ғана хакерлік машинаны қажет етеді. Осы себептерге байланысты мен өз жүйелеріңіздің қауіпсіздігін сақтап, Интернеттегі әр түрлі қауіп-қатерлерді бақылай алатындай етіп мен кіруді анықтау жүйесін құруға кеңес беремін.
Snort - үйді немесе корпоративті желіні зиянкестерден қорғау үшін pfSense брандмауэрінде оңай орнатылатын ашық бастапқы коды. Snort-ті кірудің алдын алу жүйесі (IPS) ретінде жұмыс істейтін етіп конфигурациялауға болады, бұл оны өте икемді етеді.
Бұл мақалада мен Snort-ті pfSense 2.0-те орнату және баптау процесі туралы айтып беремін, осылайша сіз трафикті нақты уақыт режимінде талдауға кірісе аласыз.
Snort пакетін орнату
Snort-қа кірісу үшін pfSense пакет менеджерінің көмегімен пакетті орнату қажет. Пакет менеджері pfSense web GUI жүйелік мәзірінде орналасқан.
Бумалар тізімінен Snort табыңыз, содан кейін орнатуды бастау үшін оң жақтағы қосу белгісін басыңыз.
Снортты орнату үшін бірнеше минут кетуі қалыпты жағдай, оның pfSense алдымен жүктеп алып, орнатуы қажет бірнеше тәуелділіктері бар.
Орнату аяқталғаннан кейін қызметтер мәзірінде Snort пайда болады.
Snort-ты pfSense пакет менеджері арқылы орнатуға болады.
Oinkmaster кодын алу
Snort пайдалы болуы үшін оны соңғы ережелер жиынтығымен жаңарту қажет. Snort пакеті сіз үшін осы ережелерді автоматты түрде жаңарта алады, бірақ алдымен Oinkmaster кодын алуыңыз керек.
Snort ережелерінің екі түрлі жиынтығы бар:
- Абоненттерді шығару жиынтығы - бұл ең жаңа ережелер жиынтығы. Осы ережелерге нақты уақыт режимінде қол жеткізу ақылы жылдық жазылымды қажет етеді.
- Ережелердің басқа нұсқасы - Snort.org сайтында тіркелгендер үшін мүлдем тегін, тіркелген қолданушының шығарылымы.
Екі ережелер жиынтығының басты айырмашылығы - тіркелген пайдаланушының шығарылымындағы ережелер жазылу ережелерінен 30 күн артта қалады. Егер сіз ең заманауи қорғауды қаласаңыз, жазылымды алуыңыз керек.
Oinkmaster кодын алу үшін төмендегі әрекеттерді орындаңыз:
- Қажетті нұсқаны жүктеу үшін Snort Rules веб-парағына кіріңіз.
- 'Тіркелгіге тіркелу' батырмасын басыңыз және Snort тіркелгісін жасаңыз.
- Есептік жазбаңызды растағаннан кейін Snort.org сайтына кіріңіз.
- Жоғарғы сілтеме жолағында 'Менің тіркелгім' батырмасын басыңыз.
- 'Жазылымдар мен Oinkcode' қойындысын нұқыңыз.
- Oinkcodes сілтемесін нұқыңыз, содан кейін 'Код жасау' түймесін басыңыз.
Код сіздің есептік жазбаңызда сақталады, егер қажет болса, кейінірек ала аласыз. Бұл кодты pfSense-те Snort параметрлеріне енгізу қажет болады.
Snink.org сайтынан ережелерді жүктеу үшін Oinkmaster коды қажет.
Snink-те Oinkmaster кодын енгізу
Oinkcode-ны алғаннан кейін оны Snort пакетінің параметрлеріне енгізу керек. Snort параметрлері парағы веб-интерфейстің қызметтер мәзірінде пайда болады. Егер ол көрінбейтін болса, буманың орнатылғанына көз жеткізіп, қажет болса, буманы қайта орнатыңыз.
Oinkcode Snort параметрлерінің ғаламдық параметрлер бетіне енгізілуі керек. Мен сондай-ақ «Жаңа туындайтын қауіптер» ережелерін қосу үшін құсбелгіні қойғанды ұнатамын. ET ережелерін бастапқы көзі ашық қоғамдастық қолдайды және олар Snort жиынтығында кездеспейтін кейбір қосымша ережелерді ұсына алады.
Автоматты жаңартулар
Әдепкі бойынша, Snort пакеті ережелерді автоматты түрде жаңартпайды. Ұсынылатын жаңарту аралығы 12 сағатта бір рет, бірақ сіз оны қоршаған ортаңызға сәйкес өзгерте аласыз.
Өзгерістер енгізіп болғаннан кейін «сақтау» батырмасын басуды ұмытпаңыз.
Ережелерді қолмен жаңарту
Snort ешқандай ережелермен жүрмейді, сондықтан сіз оларды бірінші рет қолмен жаңартыңыз. Қолмен жаңартуды іске қосу үшін жаңартулар қойындысын басыңыз, содан кейін жаңарту ережелері түймешігін басыңыз.
Пакет Snort.org-тен соңғы ережелер жиынтығын жүктейді, егер сізде осы параметр таңдалған болса, пайда болатын қауіптер.
Жаңартулар аяқталғаннан кейін ережелер шығарылады, содан кейін пайдалануға дайын болады.
Ережелер Snort бірінші рет орнатылған кезде қолмен жүктелуі керек.
Интерфейстер қосу
Snort енуді анықтау жүйесі ретінде жұмыс істей бастамас бұрын, сіз оны бақылау үшін интерфейстер тағайындауыңыз керек. Әдеттегі конфигурация Snort кез келген WAN интерфейсін бақылауға арналған. Басқа кең таралған конфигурация Snort үшін WAN және LAN интерфейсін бақылауға арналған.
LAN интерфейсін бақылау сіздің желі ішінде болып жатқан шабуылдарға белгілі бір көріністі қамтамасыз ете алады. Желілік желідегі ДК зиянды бағдарламаны жұқтырып, желінің ішіндегі және сыртындағы жүйелерге шабуыл жасай бастауы ғажап емес.
Интерфейс қосу үшін Snort интерфейсінің қосымша бетінде белгісін басыңыз.
Интерфейсті конфигурациялау
Интерфейсті қосу батырмасын басқаннан кейін интерфейс параметрлері бетін көресіз.Параметрлер парағында көптеген опциялар бар, бірақ кейбіреулерін шынымен де іске қосу үшін алаңдау керек.
- Алдымен парақтың жоғарғы жағындағы қосу ұяшығына белгі қойыңыз.
- Әрі қарай, сіз конфигурациялағыңыз келетін интерфейсті таңдаңыз (бұл мысалда мен алдымен WAN-ды теңшеймін).
- Жад өнімділігін AC-BNFA күйіне қойыңыз.
- Barnyard2 жұмыс істейтіндіктен, «unified2 файлын қорлау туралы журнал ескертулері» құсбелгісін қойыңыз.
- Сақтау түймесін басыңыз.
Егер сіз а көп жоспарлы маршрутизатор, сіз өзіңіздің жүйеңіздегі басқа WAN интерфейстерін теңшей аласыз. Сондай-ақ, LAN интерфейсін қосуды ұсынамын.
Интерфейстерді бастамас бұрын, әр интерфейс үшін бірнеше параметрлерді конфигурациялау қажет. Қосымша параметрлерді конфигурациялау үшін Snort интерфейстері қойындысына оралып, интерфейстің жанындағы парақтың оң жағындағы «E» белгісін басыңыз. Бұл сізді нақты интерфейстің конфигурациялау парағына қайтарады. Интерфейске қосылуы керек ереже санаттарын таңдау үшін санаттар қойындысын нұқыңыз. Барлық анықтау ережелері санаттарға бөлінеді. Дамушы қауіп-қатер ережелерін қамтитын санаттар «пайда болуынан» басталады, ал Snort.org ережелері «үрейленуден» басталады. Санаттарды таңдағаннан кейін парақтың төменгі жағындағы сақтау батырмасын басыңыз. Ережелерді санаттарға бөлу арқылы сіз өзіңізді қызықтыратын тек белгілі бір санаттарды қосуға болады. Мен кейбір жалпы санаттарды қосуды ұсынамын. Егер сіз желіңізде веб немесе деректер базасының сервері сияқты белгілі бір қызметтерді басқаратын болсаңыз, онда сіз оларға қатысты санаттарды да қосуыңыз керек. Snort қосымша санатты қосқан сайын көбірек жүйелік ресурстарды қажет ететіндігін есте ұстаған жөн. Бұл жалған позитивтердің санын көбейтуі мүмкін. Жалпы, сізге қажет топтарды ғана қосқан жөн, бірақ категориялармен тәжірибе жасап, не жақсы болатынын көріңіз.Ереже санаттарын таңдау
Ереже санаттарының мақсаты қандай?
Ережелер санаттары туралы қосымша ақпаратты қалай алуға болады?
Егер сіз категорияда қандай ережелер бар екенін білгіңіз келсе және олар не істейтіні туралы көбірек білгіңіз келсе, онда сіз санатты нұқыңыз. Бұл сізді санаттағы барлық ережелер тізімімен тікелей байланыстырады.
Танымал Snort ережесінің санаттары
| Санат атауы | Сипаттама |
|---|---|
snort_botnet-cnc.rules | Белгілі ботнет командалары мен басқару хосттарын мақсат етеді. |
snort_ddos. ережелері | Қызмет шабуылдарынан бас тартуды анықтайды. |
snort_scan. ережелері | Бұл ережелер порттарды сканерлеуді, Nessus зондтарын және басқа ақпарат жинау шабуылдарын анықтайды. |
snort_virus.ережелері | Белгілі трояндардың, вирустардың және құрттардың қолтаңбаларын анықтайды. Бұл санатты қолдану өте ұсынылады. |
Препроцессор және ағын параметрлері
Препроцессорлардың параметрлері парағында бірнеше параметрді қосу керек. Анықтау ережелерінің көпшілігі жұмыс жасау үшін HTTP инспекциясын қосуды талап етеді.
- HTTP инспекциясы параметрлері астында 'Нормалану / декодтау үшін HTTP инспекциясын қолдануды' қосыңыз.
- Препроцессордың жалпы параметрлері бөлімінде «Портты іздеуді» қосыңыз.
- Параметрлерді сақтаңыз.
Интерфейстерді бастау
Snort-қа жаңа интерфейс қосылғанда, ол автоматты түрде іске қосыла бермейді. Интерфейстерді қолмен қосу үшін конфигурацияланған әр интерфейстің сол жағындағы жасыл ойнату түймесін басыңыз.
Snort жұмыс істеп тұрған кезде интерфейс атауының артындағы мәтін жасыл түсте пайда болады. Snort тоқтату үшін интерфейстің сол жағында орналасқан қызыл тоқтату батырмасын басыңыз.
Снорттың басталуына кедергі болатын бірнеше қарапайым проблемалар бар.
Егер Snort басталмаса
Ескертулерді тексеру
Snort сәтті конфигурацияланғаннан және іске қосылғаннан кейін, сіз ережелерге сәйкес келетін трафик анықталғаннан кейін ескертулерді көре бастауыңыз керек.
Егер сіз ешқандай ескерту көрмесеңіз, оған біраз уақыт беріңіз, содан кейін қайтадан тексеріңіз. Трафиктің саны мен қосылатын ережелерге байланысты ескертулерді көргенге дейін біраз уақыт кетуі мүмкін.
Егер сіз ескертулерді қашықтан қарағыңыз келсе, сіз «Ескертуді негізгі жүйелік журналдарға жіберу» интерфейс параметрін қосуға болады. Жүйелік журналдарда пайда болатын ескертулер болуы мүмкін Syslog көмегімен қашықтықтан қаралды.
Бұл мақала автордың біліміне сай дәл және шынайы. Мазмұн тек ақпараттық немесе ойын-сауық мақсаттарына арналған және іскери, қаржылық, заңгерлік немесе техникалық мәселелерде жеке кеңес немесе кәсіби кеңес алмастырмайды.
