اینترنت

نحوه تنظیم تشخیص نفوذ با استفاده از Snort در pfSense 2.0

نویسنده: Peter Berry
تاریخ ایجاد: 18 جولای 2021
تاریخ به روزرسانی: 10 ممکن است 2024
Anonim
Snort IDS (Intrusion Detection System) | سیستم تشخیص/پیشگیری از نفود اسنورت
ویدیو: Snort IDS (Intrusion Detection System) | سیستم تشخیص/پیشگیری از نفود اسنورت

محتوا

سام به عنوان تحلیلگر شبکه در یک شرکت تجارت الگوریتمی کار می کند. وی لیسانس خود را در رشته فناوری اطلاعات از UMKC اخذ کرد.

چرا می توان سیستم تشخیص نفوذ را تنظیم کرد؟

هکرها ، ویروس ها و سایر تهدیدها به طور مداوم شبکه شما را جستجو می کنند و به دنبال راهی برای ورود هستند. فقط یک دستگاه هک شده نیاز دارد تا کل شبکه به خطر بیفتد. به همین دلایل ، من توصیه می کنم یک سیستم تشخیص نفوذ ایجاد کنید تا بتوانید سیستم های خود را ایمن نگه دارید و تهدیدهای مختلف را در اینترنت کنترل کنید.

Snort یک IDS منبع باز است که به راحتی می توان روی فایروال pfSense نصب کرد تا از یک شبکه خانگی یا شرکتی در برابر مزاحمان محافظت کند. Snort همچنین می تواند به گونه ای پیکربندی شود که به عنوان یک سیستم پیشگیری از نفوذ (IPS) عمل کند و آن را بسیار انعطاف پذیر کند.


در این مقاله ، شما را در مراحل نصب و پیکربندی Snort در pfSense 2.0 قرار می دهم تا بتوانید تجزیه و تحلیل ترافیک را در زمان واقعی شروع کنید.

نصب بسته Snort

برای شروع کار با Snort باید بسته را با استفاده از مدیر بسته pfSense نصب کنید. مدیر بسته در منوی سیستم GUI وب pfSense واقع شده است.

Snort را از لیست بسته ها پیدا کرده و سپس روی علامت بعلاوه سمت راست کلیک کنید تا نصب آغاز شود.

نصب snort چند دقیقه طول می کشد طبیعی است ، چندین وابستگی دارد که pfSense ابتدا باید بارگیری و نصب کند.

پس از اتمام نصب ، Snort در منوی خدمات نشان داده می شود.

Snort را می توان با استفاده از مدیر بسته pfSense نصب کرد.

دریافت کد Oinkmaster

برای اینکه Snort مفید باشد ، باید با جدیدترین مجموعه قوانین به روز شود. بسته Snort می تواند به طور خودکار این قوانین را برای شما به روز کند ، اما در ابتدا باید یک کد Oinkmaster دریافت کنید.

دو مجموعه مختلف از قوانین خرخر موجود است:

  • مجموعه انتشار مشترکین به روزترین مجموعه قوانین موجود است. دسترسی به این قوانین در زمان واقعی نیاز به اشتراک سالانه پولی دارد.
  • نسخه دیگر قوانین ، انتشار کاربر ثبت شده است که برای هر کسی که در سایت Snort.org ثبت نام می کند کاملاً رایگان است.

تفاوت اصلی بین دو مجموعه قانون این است که قوانین موجود در انتشار کاربر ثبت شده 30 روز از قوانین اشتراک عقب هستند. اگر به روزترین محافظت را می خواهید ، باید اشتراک دریافت کنید.

برای دریافت کد Oinkmaster خود مراحل زیر را دنبال کنید:

  1. برای بارگیری نسخه مورد نیاز خود به صفحه قوانین Snort مراجعه کنید.
  2. بر روی "ثبت نام برای یک حساب" کلیک کنید و یک حساب Snort ایجاد کنید.
  3. بعد از اینکه حساب خود را تأیید کردید ، در Snort.org وارد شوید.
  4. روی "حساب من" در نوار پیوند بالای صفحه کلیک کنید.
  5. روی برگه "اشتراک ها و کد Oink" کلیک کنید.
  6. روی پیوند Oinkcodes کلیک کنید و سپس روی "ایجاد کد" کلیک کنید.

کد در حساب شما ذخیره می شود بنابراین در صورت لزوم می توانید بعداً آن را دریافت کنید. این کد باید در تنظیمات Snort در pfSense وارد شود.


برای بارگیری قوانین از Snort.org ، کد Oinkmaster لازم است.

وارد کردن کد Oinkmaster در Snort

پس از به دست آوردن Oinkcode ، باید آن را در تنظیمات بسته Snort وارد کنید. صفحه تنظیمات Snort در فهرست خدمات رابط وب ظاهر می شود. اگر قابل مشاهده نیست ، مطمئن شوید که بسته نصب شده است و در صورت لزوم بسته را دوباره نصب کنید.

Oinkcode باید در صفحه تنظیمات جهانی تنظیمات Snort وارد شود. من همچنین می خواهم برای فعال کردن قوانین تهدیدهای نوظهور ، کادر را علامت بزنم. قوانین ET توسط یک جامعه منبع باز حفظ می شود و می تواند برخی از قوانین اضافی را ارائه دهد که ممکن است در مجموعه Snort یافت نشود.

بروزرسانی های خودکار

به طور پیش فرض ، بسته Snort به طور خودکار قوانین را به روز نمی کند. فاصله به روزرسانی توصیه شده هر 12 ساعت یک بار است ، اما شما می توانید متناسب با محیط خود این تغییر را تغییر دهید.

فراموش نکنید که پس از اتمام تغییرات بر روی دکمه "ذخیره" کلیک کنید.

به روزرسانی دستی قوانین

Snort هیچ قانونی ندارد ، بنابراین باید اولین بار آنها را به صورت دستی به روز کنید. برای اجرای به روزرسانی دستی ، روی برگه به ​​روزرسانی ها کلیک کنید و سپس روی دکمه قوانین به روزرسانی کلیک کنید.

در صورت انتخاب آن گزینه ، آخرین مجموعه قوانین از Snort.org و همچنین Emerging Threats بارگیری خواهد شد.

پس از اتمام به روزرسانی ، قوانین استخراج شده و سپس برای استفاده آماده می شوند.

اولین بار که Snort تنظیم می شود ، باید قوانین به صورت دستی بارگیری شود.

افزودن رابط ها

قبل از اینکه Snort به عنوان یک سیستم تشخیص نفوذ شروع به کار کند ، باید رابط هایی را برای نظارت اختصاص دهید. تنظیمات معمول این است که Snort بتواند هر رابط WAN را کنترل کند. رایج ترین پیکربندی دیگر ، نظارت بر رابط WAN و LAN برای Snort است.

نظارت بر رابط LAN می تواند تا حدی حملاتی را که از داخل شبکه شما در حال انجام است ، فراهم کند. غیر معمول نیست که یک رایانه شخصی در شبکه LAN به بدافزار آلوده می شود و حملات خود را به سیستم های داخل و خارج شبکه آغاز می کند.

برای افزودن رابط ، روی نماد بعلاوه موجود در برگه رابط Snort کلیک کنید.

پیکربندی رابط

پس از کلیک روی دکمه add interface ، صفحه تنظیمات رابط را مشاهده خواهید کرد.صفحه تنظیمات گزینه های زیادی را شامل می شود ، اما فقط چند مورد وجود دارد که برای راه اندازی کار باید نگران آنها باشید.

  1. ابتدا جعبه فعال را در بالای صفحه علامت بزنید.
  2. بعد ، رابط مورد نظر برای پیکربندی را انتخاب کنید (در این مثال ابتدا WAN را پیکربندی می کنم).
  3. عملکرد حافظه را روی AC-BNFA تنظیم کنید.
  4. کادر "ورود هشدارها برای خرناس کردن پرونده unified2" را علامت بزنید تا barnyard2 کار کند.
  5. ذخیره را کلیک کنید.

اگر در حال اجرا هستید روتر چند وان، می توانید پیش بروید و سایر رابط های WAN موجود در سیستم خود را پیکربندی کنید. من همچنین توصیه می کنم رابط LAN را اضافه کنید.

انتخاب دسته های قانون

قبل از شروع رابط ها ، چند تنظیم دیگر وجود دارد که باید برای هر رابط پیکربندی شود. برای پیکربندی تنظیمات اضافی ، به برگه رابط Snort برگردید و روی نماد "E" در سمت راست صفحه کنار رابط کلیک کنید. با این کار شما به صفحه پیکربندی آن رابط خاص باز خواهید گشت.

برای انتخاب دسته های قانونی که باید برای رابط فعال شوند ، روی برگه دسته ها کلیک کنید. همه قوانین تشخیص به دسته ها تقسیم می شوند. دسته های حاوی قوانین مربوط به تهدیدهای نوظهور با "ظهور" و قوانین مربوط به Snort.org با "خرخر" آغاز می شوند.

پس از انتخاب دسته ها ، روی دکمه ذخیره در پایین صفحه کلیک کنید.

هدف از دسته های قانون چیست؟

با تقسیم قوانین به دسته ها ، می توانید فقط دسته های خاصی را که به آنها علاقه دارید فعال کنید. توصیه می کنم برخی از دسته های کلی تر را فعال کنید. اگر در شبکه خود از سرویس های خاصی مانند وب یا سرور پایگاه داده استفاده می کنید ، باید دسته های مربوط به آنها را نیز فعال کنید.

لازم به یادآوری است که Snort هربار که یک دسته اضافی روشن شود به منابع سیستم بیشتری نیاز خواهد داشت. این امر همچنین می تواند باعث افزایش تعداد مثبت کاذب شود. به طور کلی ، بهتر است فقط گروه های مورد نیاز خود را روشن کنید ، اما در صورت تمایل ، دسته ها را آزمایش کنید و ببینید چه چیزی بهتر کار می کند.

چگونه می توانم اطلاعات بیشتری در مورد دسته بندی قوانین بدست آورم؟

اگر می خواهید بدانید که چه قوانینی در یک گروه وجود دارد و درباره کارهایی که انجام می دهند بیشتر بدانید ، می توانید روی دسته کلیک کنید. با این کار شما مستقیماً به لیست کلیه قوانین موجود در این گروه پیوند داده می شود.

دسته های معروف قاعده خرخر

اینها برخی از محبوب ترین دسته های قوانین Snort هستند که شما می خواهید فعال کنید.

نام دستهشرح

snort_botnet-cnc.rules

میزبانهای شناخته شده فرمان و کنترل botnet را هدف قرار می دهد.

snort_ddos.rules

حملات انکار سرویس را تشخیص می دهد.

snort_scan.rules

این قوانین اسکن پورت ، کاوشگرهای Nessus و سایر حملات جمع آوری اطلاعات را تشخیص می دهد.

snort_virus.rules

امضای تروجان ها ، ویروس ها و کرم های شناخته شده را تشخیص می دهد. استفاده از این دسته بسیار توصیه می شود.

تنظیمات پیش پردازنده و جریان

در صفحه تنظیمات پیش پردازنده چند تنظیم وجود دارد که باید فعال شوند. بسیاری از قوانین تشخیص برای کار کردن ، نیاز به فعال کردن بازرسی HTTP دارند.

  1. در بخش تنظیمات بازرسی HTTP ، "استفاده از HTTP بازرسی برای عادی سازی و رمزگشایی" را فعال کنید
  2. در بخش تنظیمات پیش پردازنده عمومی ، "Portscan Detection" را فعال کنید
  3. تنظیمات را ذخیره کنید.

شروع رابط ها

هنگامی که یک رابط جدید به Snort اضافه می شود ، به طور خودکار شروع به کار نمی کند. برای شروع دستی رابط ها ، روی دکمه سبز بازی در سمت چپ هر رابط کاربری که پیکربندی شده است ، کلیک کنید.

وقتی Snort در حال اجرا است ، متن پشت نام واسط به رنگ سبز ظاهر می شود. برای متوقف کردن Snort ، روی دکمه قرمز توقف واقع در سمت چپ رابط کلیک کنید.

اگر Snort نتواند شروع کند

چند مشکل مشترک وجود دارد که می تواند از شروع Snort جلوگیری کند.

  • قوانین را بررسی کنید: برای تأیید نصب قوانین ، روی برگه به ​​روزرسانی ها کلیک کنید و در بخش تنظیمات قانون امضای نصب شده به دنبال یک هش باشید. باید چیزی مانند SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70" را ببینید.
  • تنظیمات پیش پردازنده: چندین قانون مستلزم فعال بودن گزینه HTTP inspect در تنظیمات پیش پردازنده است ، بنابراین مطمئن شوید که این ویژگی را روشن کرده اید.
  • گزارش های سیستم را بررسی کنید: اگر Snort با خطایی روبرو شود ، پیام را در سیاهههای مربوط به سیستم مشاهده خواهید کرد. گزارش های سیستم را می توان در وضعیت / سیستم گزارش ها یافت. این خطا اغلب به شما می گوید که مشکل دقیقاً چیست.

بررسی هشدارها

بعد از اینکه Snort با موفقیت پیکربندی و راه اندازی شد ، باید پس از شناسایی ترافیک با قوانین ، هشدارها را مشاهده کنید.

اگر هشدار مشاهده نکردید ، کمی به آن زمان دهید و سپس دوباره بررسی کنید. بسته به میزان ترافیک و قوانینی که فعال هستند ، ممکن است مدتی طول بکشد تا هرگونه هشدار را مشاهده کنید.

اگر می خواهید هشدارها را از راه دور مشاهده کنید ، می توانید تنظیمات رابط "ارسال هشدار به گزارش های اصلی سیستم" را فعال کنید. هشدارهایی که در گزارش های سیستم ظاهر می شوند می توانند باشند با استفاده از Syslog از راه دور مشاهده شد.

این مقاله از نظر دانش نویسنده دقیق و درست است. محتوا فقط برای اطلاع رسانی و سرگرمی است و جایگزین مشاوره شخصی یا مشاوره حرفه ای در امور تجاری ، مالی ، حقوقی یا فنی نمی شود.

مقاله قبلی

دستگاه جانبی چیست؟ تعریف و 10 مثال

مقاله بعدی

4 راه اصلی برای گسترش وب سایت یا وبلاگ خود

توصیه شده

پست های جالب

عیب یابی یک درایو CD لپ تاپ
 کامپیوتر

عیب یابی یک درایو CD لپ تاپ

از تلفن های همراه و رایانه های لوحی گرفته تا سیستم عامل ، دوست دارم اطلاعات ، راهنماها ، بررسی ها و آموزش های مفصلی را بنویسم.درایو CD نوت بوک شما یکی از اولین م component لفه هایی است که شکم شما را ب...
آموزش Adobe Photoshop: جلوه متنی مشکی براق
 کامپیوتر

آموزش Adobe Photoshop: جلوه متنی مشکی براق

دنیز سالهاست که در عکاسی و فتوشاپ تسلط دارد و برخی از کارهای خود را به فروش می رساند. او مهارت های خود را برای کمک به مردم استخدام می کند.این آموزش در مورد ایجاد جلوه فلز سیاه براق برای متن و تصاویر د...