NộI Dung
- Tại sao phải thiết lập một hệ thống phát hiện xâm nhập?
- Cài đặt gói Snort
- Lấy mã Oinkmaster
- Làm theo các bước bên dưới để lấy mã Oinkmaster của bạn:
- Nhập mã Oinkmaster trong Snort
- Cập nhật các quy tắc theo cách thủ công
- Thêm giao diện
- Cấu hình giao diện
- Chọn danh mục quy tắc
- Mục đích của các loại quy tắc là gì?
- Làm cách nào để có thêm thông tin về các loại quy tắc?
- Danh mục quy tắc ngủ ngắn phổ biến
- Cài đặt dòng và bộ tiền xử lý
- Khởi động các giao diện
- Nếu Snort không bắt đầu được
- Kiểm tra cảnh báo
Sam làm việc với tư cách là nhà phân tích mạng cho một công ty kinh doanh thuật toán. Anh lấy bằng cử nhân công nghệ thông tin tại UMKC.
Tại sao phải thiết lập một hệ thống phát hiện xâm nhập?
Tin tặc, vi rút và các mối đe dọa khác liên tục thăm dò mạng của bạn, tìm cách xâm nhập. Chỉ cần một máy bị tấn công là toàn bộ mạng sẽ bị xâm nhập. Vì những lý do này, tôi khuyên bạn nên thiết lập một hệ thống phát hiện xâm nhập để bạn có thể giữ an toàn cho hệ thống của mình và giám sát các mối đe dọa khác nhau trên Internet.
Snort là một IDS mã nguồn mở có thể dễ dàng được cài đặt trên tường lửa pfSense để bảo vệ mạng gia đình hoặc mạng công ty khỏi những kẻ xâm nhập. Snort cũng có thể được cấu hình để hoạt động như một hệ thống ngăn chặn xâm nhập (IPS), làm cho nó rất linh hoạt.
Trong bài viết này, tôi sẽ hướng dẫn bạn quá trình cài đặt và cấu hình Snort trên pfSense 2.0 để bạn có thể bắt đầu phân tích lưu lượng truy cập trong thời gian thực.
Cài đặt gói Snort
Để bắt đầu với Snort, bạn cần cài đặt gói bằng trình quản lý gói pfSense. Trình quản lý gói nằm trong menu hệ thống của GUI web pfSense.
Tìm Snort từ danh sách các gói và sau đó nhấp vào biểu tượng dấu cộng ở phía bên phải để bắt đầu cài đặt.
Thông thường, snort mất vài phút để cài đặt, nó có một số phụ thuộc mà pfSense phải tải xuống và cài đặt trước.
Sau khi cài đặt xong, Snort sẽ hiển thị trong menu dịch vụ.
Snort có thể được cài đặt bằng trình quản lý gói pfSense.
Lấy mã Oinkmaster
Để Snort trở nên hữu ích, nó cần được cập nhật bộ quy tắc mới nhất. Gói Snort có thể tự động cập nhật các quy tắc này cho bạn, nhưng trước tiên bạn phải lấy mã Oinkmaster.
Có hai bộ quy tắc Snort khác nhau có sẵn:
- Bộ phát hành cho người đăng ký là bộ quy tắc cập nhật nhất hiện có. Quyền truy cập theo thời gian thực vào các quy tắc này yêu cầu đăng ký trả phí hàng năm.
- Phiên bản khác của quy tắc là bản phát hành người dùng đã đăng ký, hoàn toàn miễn phí cho bất kỳ ai đăng ký trên trang Snort.org.
Sự khác biệt chính giữa hai bộ quy tắc là các quy tắc trong bản phát hành người dùng đã đăng ký chậm hơn 30 ngày so với quy tắc đăng ký. Nếu bạn muốn được bảo vệ cập nhật nhất, bạn nên đăng ký.
Làm theo các bước bên dưới để lấy mã Oinkmaster của bạn:
- Truy cập trang web quy tắc Snort để tải xuống phiên bản bạn cần.
- Nhấp vào 'Đăng ký Tài khoản' và tạo tài khoản Snort.
- Sau khi bạn đã xác nhận tài khoản của mình, hãy đăng nhập tại Snort.org.
- Nhấp vào 'Tài khoản của tôi' trên thanh liên kết phía trên.
- Nhấp vào tab 'Đăng ký và Mã liên kết'.
- Nhấp vào liên kết Oinkcodes và sau đó nhấp vào 'Tạo mã'.
Mã sẽ vẫn được lưu trữ trong tài khoản của bạn để bạn có thể lấy nó sau này nếu cần. Mã này sẽ cần được nhập vào cài đặt Snort trong pfSense.
Cần có mã Oinkmaster để tải xuống các quy tắc từ Snort.org.
Nhập mã Oinkmaster trong Snort
Sau khi lấy được mã Oinkcode, nó phải được nhập vào cài đặt gói Snort. Trang cài đặt Snort sẽ xuất hiện trong menu dịch vụ của giao diện web. Nếu nó không hiển thị, hãy đảm bảo rằng gói đã được cài đặt và cài đặt lại gói nếu cần.
Mã Oinkcode phải được nhập trên trang cài đặt chung của cài đặt Snort. Tôi cũng muốn chọn hộp để bật các quy tắc Đe doạ mới nổi. Các quy tắc ET được duy trì bởi một cộng đồng nguồn mở và có thể cung cấp một số quy tắc bổ sung có thể không được tìm thấy trong bộ Snort.
Cập nhật tự động
Theo mặc định, gói Snort sẽ không tự động cập nhật các quy tắc. Khoảng thời gian cập nhật được khuyến nghị là 12 giờ một lần, nhưng bạn có thể thay đổi điều này để phù hợp với môi trường của mình.
Đừng quên nhấp vào nút 'lưu' sau khi bạn thực hiện xong các thay đổi.
Cập nhật các quy tắc theo cách thủ công
Snort không đi kèm với bất kỳ quy tắc nào, vì vậy bạn sẽ phải cập nhật chúng theo cách thủ công trong lần đầu tiên. Để chạy cập nhật thủ công, hãy nhấp vào tab cập nhật và sau đó nhấp vào nút quy tắc cập nhật.
Gói này sẽ tải xuống các bộ quy tắc mới nhất từ Snort.org và cả các Mối đe dọa mới nổi nếu bạn đã chọn tùy chọn đó.
Sau khi cập nhật xong, các quy tắc sẽ được trích xuất và sẵn sàng để sử dụng.
Các quy tắc phải được tải xuống theo cách thủ công lần đầu tiên Snort được thiết lập.
Thêm giao diện
Trước khi Snort có thể bắt đầu hoạt động như một hệ thống phát hiện xâm nhập, bạn phải gán các giao diện để nó giám sát. Cấu hình điển hình dành cho Snort để giám sát bất kỳ giao diện WAN nào. Cấu hình phổ biến nhất khác dành cho Snort để giám sát giao diện WAN và LAN.
Giám sát giao diện LAN có thể cung cấp một số khả năng hiển thị đối với các cuộc tấn công đang diễn ra từ trong mạng của bạn. Không có gì lạ khi một PC trong mạng LAN bị nhiễm phần mềm độc hại và bắt đầu phát động các cuộc tấn công vào các hệ thống bên trong và bên ngoài mạng.
Để thêm giao diện, hãy nhấp vào biểu tượng dấu cộng được tìm thấy trên tab của giao diện Snort.
Cấu hình giao diện
Sau khi nhấp vào nút thêm giao diện, bạn sẽ thấy trang cài đặt giao diện.Trang cài đặt chứa rất nhiều tùy chọn, nhưng chỉ có một số tùy chọn mà bạn thực sự cần phải lo lắng để thiết lập và chạy mọi thứ.
- Đầu tiên, hãy chọn hộp kích hoạt ở đầu trang.
- Tiếp theo, chọn giao diện bạn muốn cấu hình (trong ví dụ này, tôi đang định cấu hình mạng WAN trước).
- Đặt hiệu suất bộ nhớ thành AC-BNFA.
- Đánh dấu vào ô "Log Alerts to snort united2 file" để barnyard2 hoạt động.
- Nhấp vào để lưu.
Nếu bạn đang chạy một bộ định tuyến nhiều wan, bạn có thể tiếp tục và định cấu hình các giao diện WAN khác trên hệ thống của mình. Tôi cũng khuyên bạn nên thêm giao diện LAN.
Trước khi bạn khởi động các giao diện, có một số cài đặt khác cần được định cấu hình cho từng giao diện. Để định cấu hình các cài đặt bổ sung, hãy quay lại tab Giao diện Snort và nhấp vào biểu tượng 'E' ở phía bên phải của trang bên cạnh giao diện. Thao tác này sẽ đưa bạn trở lại trang cấu hình cho giao diện cụ thể đó. Để chọn các danh mục quy tắc sẽ được bật cho giao diện, hãy nhấp vào tab danh mục. Tất cả các quy tắc phát hiện được chia thành các loại. Các danh mục chứa quy tắc từ Mối đe dọa mới nổi sẽ bắt đầu bằng 'mới nổi' và các quy tắc từ Snort.org bắt đầu bằng 'snort.' Sau khi chọn các danh mục, hãy nhấp vào nút lưu ở cuối trang. Bằng cách chia các quy tắc thành các danh mục, bạn chỉ có thể bật các danh mục cụ thể mà bạn quan tâm. Tôi khuyên bạn nên bật một số danh mục tổng quát hơn. Nếu bạn đang chạy các dịch vụ cụ thể trên mạng của mình, chẳng hạn như máy chủ web hoặc cơ sở dữ liệu, thì bạn cũng nên bật các danh mục liên quan đến chúng. Điều quan trọng cần nhớ là Snort sẽ yêu cầu nhiều tài nguyên hệ thống hơn mỗi khi một danh mục bổ sung được bật. Điều này cũng có thể làm tăng số lượng dương tính giả. Nói chung, tốt nhất chỉ nên bật các nhóm bạn cần, nhưng hãy thoải mái thử nghiệm với các danh mục và xem những gì hoạt động tốt nhất.Chọn danh mục quy tắc
Mục đích của các loại quy tắc là gì?
Làm cách nào để có thêm thông tin về các loại quy tắc?
Nếu bạn muốn tìm hiểu các quy tắc trong một danh mục và tìm hiểu thêm về những gì chúng làm, thì bạn có thể nhấp vào danh mục. Điều này sẽ liên kết bạn trực tiếp đến danh sách tất cả các quy tắc trong danh mục.
Danh mục quy tắc ngủ ngắn phổ biến
| tên danh mục | Sự miêu tả |
|---|---|
snort_botnet-cnc.rules | Nhắm mục tiêu các máy chủ lưu trữ lệnh và điều khiển botnet đã biết. |
snort_ddos.rules | Phát hiện các cuộc tấn công từ chối dịch vụ. |
snort_scan.rules | Các quy tắc này phát hiện quét cổng, thăm dò Nessus và các cuộc tấn công thu thập thông tin khác. |
snort_virus.rules | Phát hiện dấu hiệu của trojan, virus và sâu đã biết. Nó rất được khuyến khích để sử dụng danh mục này. |
Cài đặt dòng và bộ tiền xử lý
Có một số cài đặt trên trang cài đặt bộ tiền xử lý nên được bật. Nhiều quy tắc phát hiện yêu cầu bật kiểm tra HTTP để chúng hoạt động.
- Trong cài đặt kiểm tra HTTP, hãy bật 'Sử dụng kiểm tra HTTP để chuẩn hóa / giải mã'
- Trong phần cài đặt bộ tiền xử lý chung, hãy bật 'Phát hiện Portscan'
- Lưu cài đặt.
Khởi động các giao diện
Khi một giao diện mới được thêm vào Snort, nó không tự động bắt đầu chạy. Để khởi động giao diện theo cách thủ công, hãy nhấp vào nút phát màu xanh lá cây ở phía bên trái của mỗi giao diện được định cấu hình.
Khi Snort đang chạy, văn bản đằng sau tên của giao diện sẽ xuất hiện màu xanh lá cây. Để dừng Snort, hãy nhấp vào nút dừng màu đỏ nằm ở bên trái giao diện.
Có một số vấn đề phổ biến có thể ngăn không cho Snort khởi động.
Nếu Snort không bắt đầu được
Kiểm tra cảnh báo
Sau khi Snort đã được định cấu hình và khởi động thành công, bạn sẽ bắt đầu thấy cảnh báo khi phát hiện thấy lưu lượng truy cập phù hợp với quy tắc.
Nếu bạn không thấy bất kỳ cảnh báo nào, hãy cho nó một chút thời gian và sau đó kiểm tra lại. Có thể mất một lúc trước khi bạn thấy bất kỳ cảnh báo nào, tùy thuộc vào lượng lưu lượng truy cập và các quy tắc được bật.
Nếu bạn muốn xem cảnh báo từ xa, bạn có thể bật cài đặt giao diện "Gửi cảnh báo đến nhật ký hệ thống chính." Các cảnh báo xuất hiện trong nhật ký hệ thống có thể được xem từ xa bằng Syslog.
Bài viết này chính xác và đúng theo hiểu biết tốt nhất của tác giả. Nội dung chỉ dành cho mục đích thông tin hoặc giải trí và không thay thế cho lời khuyên cá nhân hoặc lời khuyên chuyên nghiệp trong các vấn đề kinh doanh, tài chính, pháp lý hoặc kỹ thuật.
