Snort è un noto sistema di rilevamento e prevenzione delle intrusioni di rete (IDS) open source. Snort è molto utile per monitorare il pacco inviato e ricevuto tramite un'interfaccia di rete. È possibile specificare l'interfaccia di rete per monitorare il flusso di traffico. Snort funziona sulla base del rilevamento basato sulla firma. Snort utilizza diversi tipi di set di regole per rilevare le intrusioni nella rete come la comunità. Registrati e regole di abbonamento. Snort correttamente installato e configurato può essere molto utile per rilevare diversi tipi di attacchi e minacce come sonde SMB, infezioni malware, sistemi compromessi, ecc. In questo articolo impareremo come installare e configurare Snort su un sistema Ubuntu 20.04.
Regole Snort
Snort utilizza set di regole per rilevare le intrusioni nella rete che sono le seguenti. Sono disponibili tre tipi di set di regole:
Regole comunitarie
Queste sono le regole create dalla community di utenti snort e disponibili gratuitamente.
Regole registrate
Queste sono le regole fornite da Talos e sono disponibili solo per gli utenti registrati. La registrazione richiede solo un momento e gratuitamente. Dopo la registrazione, riceverai un codice da inviare durante l'invio della richiesta di download
Regole di abbonamento
Anche queste regole sono le stesse delle regole registrate ma vengono fornite agli utenti registrati prima del rilascio. Questi set di regole sono a pagamento e il costo si basa sull'utente personale o sull'utente aziendale.
Installazione Snort
L'installazione di snort nel sistema Linux sarebbe un processo manuale e lungo. Al giorno d'oggi l'installazione è molto semplice e facile poiché la maggior parte delle distribuzioni Linux ha reso disponibile il pacchetto Snort nei repository. Il pacchetto può essere installato sia dal sorgente che dai repository del software.
Durante l'installazione, ti verrà chiesto di fornire alcuni dettagli riguardanti l'interfaccia di rete. Esegui il comando seguente e prendi nota dei dettagli per un uso futuro.
$ ip a
Per installare lo strumento Snort in Ubuntu, usa il comando seguente.
$ sudo apt install snort
Nell'esempio sopra, ens33 è il nome dell'interfaccia di rete e 192.168.218.128 è l'indirizzo IP. Il /24 mostra che la rete è di subnet mask 255.255.255.0 . Prendi nota di queste cose poiché dobbiamo fornire questi dettagli durante l'installazione.
Ora, premi il tasto Tab per passare all'opzione ok e premi invio.
Ora fornisci il nome dell'interfaccia di rete, vai all'opzione ok usando il tasto Tab e premi invio.
Fornire l'indirizzo di rete con la subnet mask. Passare all'opzione ok utilizzando il tasto Tab e premere invio.
Una volta completata l'installazione, esegui il comando sotto la verifica.
$ snort --version
Configurazione snort
Prima di utilizzare Snort, ci sono alcune cose da fare nel file di configurazione. Snort memorizza i file di configurazione nella directory /etc/snort/ come nome del file snort.conf .
Modifica il file di configurazione con qualsiasi editor di testo e apporta le seguenti modifiche.
$ sudo vi /etc/snort/snort.conf
Trova la riga ipvar HOME_NET any nel file di configurazione e sostituirlo con il tuo indirizzo di rete.
Nell'esempio sopra, un indirizzo di rete 192.168.218.0 con subnet mask prefisso 24 viene utilizzato. Sostituiscilo con il tuo indirizzo di rete e fornisci il prefisso.
Salva il file ed esci
Scarica e aggiorna le regole di Snort
Snort utilizza set di regole per il rilevamento delle intrusioni. Esistono tre tipi di set di regole che abbiamo descritto in precedenza all'inizio dell'articolo. In questo articolo scaricheremo e aggiorneremo le regole della community.
Per installare e aggiornare le regole, crea una directory per le regole.
$ mkdir /usr/local/etc/rules
Scarica le regole della community usando il seguente comando.
$ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
Oppure puoi sfogliare il link qui sotto e scaricare il regolamento.
https://www.snort.org/downloads/#snort-3.0
Estrarre i file scaricati nella directory precedentemente creata.
$ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/
Abilita la modalità promiscua
Dobbiamo fare in modo che l'interfaccia di rete del computer Snot ascolti tutto il traffico. Per fare in modo che ciò accada, abilita la modalità promiscua. Esegui il comando seguente con il nome dell'interfaccia.
$ sudo ip link set ens33 promisc on
Dove ens33 è il nome dell'interfaccia
Correndo sbuffando
Ora siamo a posto per iniziare lo Snort. Segui la sintassi seguente e sostituisci i parametri di conseguenza.
$ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf
Dove,
-d viene utilizzato per filtrare i pacchetti del livello dell'applicazione
-l viene utilizzato per impostare la directory di registrazione
-h viene utilizzato per specificare la rete domestica
-A viene utilizzato per inviare l'avviso alle finestre della console
-c viene utilizzato per specificare la configurazione di snort
Una volta avviato Snort, otterrai il seguente output nel terminale.
Puoi controllare i file di registro per ottenere informazioni sul rilevamento delle intrusioni.
Snort funziona sulla base di set di regole. Quindi, mantieni sempre aggiornate le regole. Puoi impostare un cronjob per scaricare le regole e aggiornarle periodicamente.
Conclusione
In questo tutorial, abbiamo imparato come utilizzare snort come sistema di prevenzione delle intrusioni di rete in Linux. Inoltre, ho spiegato come installare e utilizzare snort su un sistema Ubuntu e usarlo per monitorare il traffico in tempo reale e rilevare le minacce.