S: Difference between revisions

Revision as of 16:03, 15 January 2015

Sissejuhatus

Snort on tasuta vabavaraline võrgu sissetungi vältimise süsteem ja võrgu sissetungi avastamise süsteem,mis on loodud Martin Roesch´i poolt 1998. aastal. Snorti vabavaralisel võrgupõhisel sissetungi avastamise süsteemil on võime teostada reaalajas liikluse analüüsi ja pakettide logimist IP võrkudes. Snort teostab protokolli analüüsi, sisu otsimist ja sisu vastavust.

Programmi saab samuti kasutada, et avastada sonde või rünnakuid, kaasa arvatud operatsioonisüsteemi sõrmejälgede katseid, juurdepääsu liideseid, puhvri ületäitumisi, serveri sõnumiploki sonde ja salajasi portide skaneerimisi.

Siin juhendis seadistame võrgu sissetungi vältimise süsteemi snort, milleks konfigureerime SNORT´i, Barnyard2´e, MySql´i ja BASE´i Ubuntu 14.04-le.

Seda konfiguratsiooni on natuke keeruline seadistada ja diagnoosida ning vajab mõningast tarkvara kompilatsiooni.

SNORT installeerimine ja seadistamine

Siin juhendis teeme kõike sudo õigustes, selleks tuleb sisestada:

 sudo -i

Esmalt tuleb teha tavaline apt-get update/upgrade:

 apt-get update

 apt-get upgrade

ning peale seda installeerime snort´i:

 apt-get install snort

Snort´i installatsiooni ajal peab kirjutama enda koduvõrgu ehk kaitstud alamvõrgu:

 192.168.56.0/24

Seejärel peab muutma snort.conf faili:

 nano /etc/snort/snort.conf

NB: Selleks, et näha nano-s, millisel real oled, tuleb kasutada CTRL + C.

Muudame rida 51:

 ipvar HOME_NET 192.168.56.0/24

ning rida 536:

 output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types

Peale seda taaskäivitame snort´i:

 service snort restart

Eemaldame eelmised logikirjed:

 rm /var/log/snort/snort.log

Muudame /etc/snort/rules/local.rules faili:

 nano /etc/snort/rules/local.rules

lisame sinna kaks reeglit testimise eesmärgil:

alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;) 
alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test NOW!!!"; classtype:not-suspicious; sid:1000002;  rev:1;)

Snort´i testimine

Testime snort´i:

 snort -i eth1 -v

NB: CTRL + C, et peatada testimine.

Seejärel teeme konfiguratsiooni laadimise testi:

  snort -A console -u snort -g snort -c /etc/snort/snort.conf -i eth1 -T

Käivitame snort´i otse hoiatuste konsoolirežiimis:

 snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth1

@@ Line 13: / Line 13: @@
 Siin juhendis teeme kõike sudo õigustes, selleks tuleb sisestada:
-{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre
+<pre> sudo -i </pre>
-| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" |sudo -i
-|}
 Esmalt tuleb teha tavaline apt-get update/upgrade:
-{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre
+<pre> apt-get update </pre>
-| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" |apt-get update
-|}
+<pre> apt-get upgrade </pre>
-{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre
-| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" |apt-get upgrade
-|}
 ning peale seda installeerime snort´i:
-{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre
+<pre> apt-get install snort </pre>
-| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" |apt-get install snort
-|}
 Snort´i installatsiooni ajal peab kirjutama enda koduvõrgu ehk kaitstud alamvõrgu:
-{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre
+<pre> 192.168.56.0/24 </pre>
-| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" |192.168.56.0/24
-|}
 Seejärel peab muutma snort.conf faili:
-{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre
+<pre> nano /etc/snort/snort.conf </pre>
-| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" |nano /etc/snort/snort.conf
-|}
 NB: '''Selleks, et näha nano-s, millisel real oled, tuleb kasutada CTRL + C.'''
@@ Line 48: / Line 37: @@
 Muudame rida 51:
-{|style="background:lightyellow;width:600px;margin:3px;border:1px solid lightgrey" align=left
+<pre> ipvar HOME_NET 192.168.56.0/24 </pre>
-| style="padding:0px 0px 0px 0px;font-family:courier;font-size:8pt;" |ipvar HOME_NET 192.168.56.0/24
-|}
 ning rida 536:
-{|style="background:lightyellow;width:600px;margin:3px;border:1px solid lightgrey" align=left
+<pre> output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types </pre>
-| style="padding:0px 0px 0px 0px;font-family:courier;font-size:8pt;" |output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types
-|}
 Peale seda taaskäivitame snort´i:
-{|style="background:lightyellow;width:300px;margin:3px;border:1px solid lightgrey" align=centre
+<pre> service snort restart </pre>
-| style="padding:0px 0px 0px 80px;font-family:courier;font-size:8pt;" |service snort restart
-|}
+Eemaldame eelmised logikirjed:
+<pre> rm /var/log/snort/snort.log </pre>
+Muudame /etc/snort/rules/local.rules faili:
+<pre> nano /etc/snort/rules/local.rules </pre>
+lisame sinna kaks reeglit testimise eesmärgil:
+<pre>alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)
+alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test NOW!!!"; classtype:not-suspicious; sid:1000002;  rev:1;) </pre>
+== Snort´i testimine ==
+Testime snort´i:
+<pre> snort -i eth1 -v </pre>
+NB: '''CTRL + C, et peatada testimine.'''
+Seejärel teeme konfiguratsiooni laadimise testi:
+<pre>  snort -A console -u snort -g snort -c /etc/snort/snort.conf -i eth1 -T </pre>
+Käivitame snort´i otse hoiatuste konsoolirežiimis:
+<pre> snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth1 </pre>

S: Difference between revisions

Revision as of 16:03, 15 January 2015

Sissejuhatus

SNORT installeerimine ja seadistamine

Snort´i testimine

Navigation menu

Page actions

Page actions

Personal tools

Navigation

Search

Tools