|
|
| (5 intermediate revisions by the same user not shown) |
| Line 1: |
Line 1: |
| == Sissejuhatus ==
| | {{db-g7}} |
| Snort on tasuta vabavaraline võrgu sissetungi vältimise süsteem ja võrgu sissetungi avastamise süsteem,mis on loodud Martin Roesch´i poolt 1998. aastal. Snorti vabavaralisel võrgupõhisel sissetungi avastamise süsteemil on võime teostada reaalajas liikluse analüüsi ja pakettide logimist IP võrkudes. Snort teostab protokolli analüüsi, sisu otsimist ja sisu vastavust.
| |
| | |
| Programmi saab samuti kasutada, et avastada sonde või rünnakuid, kaasa arvatud operatsioonisüsteemi sõrmejälgede katseid,
| |
| juurdepääsu liideseid, puhvri ületäitumisi, serveri sõnumiploki sonde ja salajasi portide skaneerimisi.
| |
| | |
| Siin juhendis seadistame võrgu sissetungi vältimise süsteemi snort, milleks konfigureerime SNORT´i, Barnyard2´e, MySql´i ja BASE´i Ubuntu 14.04-le.
| |
| | |
| Seda konfiguratsiooni on natuke keeruline seadistada ja diagnoosida ning vajab mõningast tarkvara kompilatsiooni.
| |
| | |
| == SNORT installeerimine ja seadistamine ==
| |
| | |
| Siin juhendis teeme kõike sudo õigustes, selleks tuleb sisestada:
| |
| | |
| <pre> sudo -i </pre>
| |
| | |
| Esmalt tuleb teha tavaline apt-get update/upgrade:
| |
| | |
| <pre> apt-get update </pre>
| |
| | |
| <pre> apt-get upgrade </pre>
| |
| | |
| ning peale seda installeerime snort´i:
| |
| | |
| <pre> apt-get install snort </pre>
| |
| | |
| Snort´i installatsiooni ajal peab kirjutama enda koduvõrgu ehk kaitstud alamvõrgu:
| |
| | |
| <pre> 192.168.56.0/24 </pre>
| |
| | |
| Seejärel peab muutma snort.conf faili:
| |
| | |
| <pre> nano /etc/snort/snort.conf </pre>
| |
| | |
| NB: '''Selleks, et näha nano-s, millisel real oled, tuleb kasutada CTRL + C.'''
| |
| | |
| Muudame rida 51:
| |
| | |
| <pre> ipvar HOME_NET 192.168.56.0/24 </pre>
| |
| | |
| ning rida 536:
| |
| | |
| <pre> output unified2: filename snort.log, limit 128, mpls_event_types, vlan_event_types </pre>
| |
| | |
| Peale seda taaskäivitame snort´i:
| |
| | |
| <pre> service snort restart </pre>
| |
| | |
| Eemaldame eelmised logikirjed:
| |
| | |
| <pre> rm /var/log/snort/snort.log </pre>
| |
| | |
| Muudame /etc/snort/rules/local.rules faili:
| |
| | |
| <pre> nano /etc/snort/rules/local.rules </pre>
| |
| | |
| lisame sinna kaks reeglit testimise eesmärgil:
| |
| | |
| <pre>alert icmp any any -> $HOME_NET any (msg:"ICMP Test NOW!!!"; classtype:not-suspicious; sid:1000001; rev:1;)
| |
| alert tcp any any -> $HOME_NET 80 (msg:"HTTP Test NOW!!!"; classtype:not-suspicious; sid:1000002; rev:1;) </pre>
| |
| | |
| == Snort´i testimine ==
| |
| | |
| Testime snort´i:
| |
| | |
| <pre> snort -i eth1 -v </pre>
| |
| | |
| NB: '''CTRL + C, et peatada testimine.'''
| |
| | |
| Seejärel teeme konfiguratsiooni laadimise testi:
| |
| | |
| <pre> snort -A console -u snort -g snort -c /etc/snort/snort.conf -i eth1 -T </pre>
| |
| | |
| Käivitame snort´i otse hoiatuste konsoolirežiimis:
| |
| | |
| <pre> snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth1 </pre>
| |
