מרשתת

כיצד להגדיר איתור חדירה באמצעות סנורט ב- pfSense 2.0

מְחַבֵּר: Peter Berry
תאריך הבריאה: 18 יולי 2021
תאריך עדכון: 10 מאי 2024
Anonim
כיצד להגדיר איתור חדירה באמצעות סנורט ב- pfSense 2.0 - מרשתת
כיצד להגדיר איתור חדירה באמצעות סנורט ב- pfSense 2.0 - מרשתת

תוֹכֶן

סם עובד כאנליסט רשת בחברת סחר אלגוריתמית. הוא קיבל את התואר הראשון בטכנולוגיית מידע מ- UMKC.

מדוע להקים מערכת לגילוי פריצות?

האקרים, וירוסים ואיומים אחרים בודקים כל הזמן את הרשת שלכם ומחפשים דרך להיכנס. נדרשת רק מכונה פרוצה אחת כדי שרשת שלמה תתפשר. מסיבות אלו, אני ממליץ להקים מערכת לזיהוי פריצות כדי שתוכלו לשמור על מערכות האבטחה שלכם ולעקוב אחר האיומים השונים באינטרנט.

Snort הוא קוד פתוח IDS שניתן להתקין בקלות על חומת האש של pfSense כדי להגן על רשת ביתית או ארגונית מפני פולשים. ניתן להגדיר את הנחירה לתפקד כמערכת למניעת חדירה (IPS), מה שהופך אותה לגמישה מאוד.


במאמר זה אדריך אותך בתהליך ההתקנה והגדרת התצורה של Snort ב- pfSense 2.0, כך שתוכל להתחיל לנתח תנועה בזמן אמת.

התקנת חבילת הנחירה

כדי להתחיל עם Snort יהיה עליך להתקין את החבילה באמצעות מנהל החבילות pfSense. מנהל החבילות ממוקם בתפריט המערכת של ממשק המשתמש pfSense.

אתר את סנורט מרשימת החבילות ואז לחץ על סמל הפלוס בצד ימין כדי להתחיל בהתקנה.

זה נורמלי שלנחיר לוקח כמה דקות להתקנה, יש לו כמה תלות ש- pfSense חייבת להוריד ולהתקין תחילה.

לאחר סיום ההתקנה Snort יופיע בתפריט השירותים.

ניתן להתקין את הנחלת באמצעות מנהל החבילות pfSense.

השגת קוד Oinkmaster

כדי שנחור יהיה שימושי, צריך לעדכן אותו עם סט הכללים האחרון. חבילת Snort יכולה לעדכן את הכללים האלה באופן אוטומטי עבורך, אך תחילה עליך להשיג קוד Oinkmaster.

ישנן שתי קבוצות שונות של כללי סניפקט:

  • ערכת שחרור המנויים היא מערכת החוקים העדכנית ביותר שיש. גישה בזמן אמת לכללים אלה מחייבת מנוי שנתי בתשלום.
  • הגרסה האחרת של הכללים היא המהדורה הרשומה של המשתמשים שהיא בחינם לחלוטין לכל מי שנרשם באתר Snort.org.

ההבדל העיקרי בין שתי ערכות הכללים הוא שהכללים במהדורת המשתמש הרשום הם 30 יום אחרי כללי המנוי. אם אתה רוצה את ההגנה העדכנית ביותר, עליך להשיג מנוי.

בצע את השלבים הבאים כדי להשיג את קוד Oinkmaster שלך:

  1. בקר בדף האינטרנט של כללי הנחלה כדי להוריד את הגרסה שאתה זקוק לה.
  2. לחץ על 'הירשם לחשבון' וצר חשבון Snort.
  3. לאחר שאישרת את חשבונך, היכנס לכתובת Snort.org.
  4. לחץ על 'החשבון שלי' בסרגל הקישורים העליון.
  5. לחץ על הכרטיסייה 'מנויים ו- Oinkcode'.
  6. לחץ על הקישור Oinkcodes ואז לחץ על 'צור קוד'.

הקוד יישאר מאוחסן בחשבונך, כך שתוכל להשיג אותו מאוחר יותר במידת הצורך. צריך להזין קוד זה להגדרות החטט ב- pfSense.


קוד Oinkmaster נדרש להורדת כללים מ- Snort.org.

הזנת קוד Oinkmaster ב Snort

לאחר קבלת ה- Oinkcode, יש להזין אותו בהגדרות החבילה Snort. דף ההגדרות של הנחירה יופיע בתפריט השירותים של ממשק האינטרנט. אם זה לא נראה, ודא שהחבילה מותקנת והתקן מחדש את החבילה במידת הצורך.

יש להזין את קוד ה- Oink בדף ההגדרות הגלובלי של הגדרות ה- Snort. אני גם רוצה לסמן את התיבה כדי לאפשר גם את כללי האיומים המתעוררים. כללי ה- ET נשמרים על ידי קהילת קוד פתוח ויכולים לספק כמה כללים נוספים שאולי לא נמצאים בערכת Snort.

עדכונים אוטומטיים

כברירת מחדל, חבילת Snort לא תעדכן את הכללים באופן אוטומטי. מרווח העדכונים המומלץ הוא אחת ל -12 שעות, אך באפשרותך לשנות זאת כך שתתאים לסביבתך.

אל תשכח ללחוץ על כפתור 'שמור' לאחר שתסיים לבצע את השינויים.

עדכון ידני של הכללים

לנחירה אין כללים כלשהם, כך שתצטרך לעדכן אותם ידנית בפעם הראשונה. להפעלת העדכון הידני, לחץ על כרטיסיית העדכונים ואז לחץ על כפתור כללי העדכון.

החבילה תוריד את ערכות הכללים האחרונות מ- Snort.org וגם איומים מתעוררים אם נבחרה אפשרות זו.

לאחר סיום העדכונים, הכללים יחולצו והם מוכנים לשימוש.

יש להוריד את הכללים באופן ידני בפעם הראשונה שמגדירים את Snort.

הוספת ממשקים

לפני שנורט יכול להתחיל לתפקד כמערכת לזיהוי פריצות, עליך להקצות ממשקים שיוכלו לניטור. התצורה האופיינית היא שנורט יפקח על ממשקי WAN כלשהם. התצורה האחרת הנפוצה ביותר היא ש- Snort יפקח על ממשק ה- WAN וה- LAN.

ניטור ממשק ה- LAN יכול לספק נראות מסוימת להתקפות שמתרחשות מתוך הרשת שלך. לא נדיר שמחשב ברשת LAN נדבק בתוכנות זדוניות ומתחיל לצאת להתקפות על מערכות ברשת ומחוצה לה.

כדי להוסיף ממשק, לחץ על סמל הפלוס שנמצא בכרטיסייה ממשק הנחירה.

קביעת תצורה של הממשק

לאחר לחיצה על כפתור הוספת ממשק, תראה את דף הגדרות הממשק.דף ההגדרות מכיל הרבה אפשרויות, אבל יש רק כמה שאתה באמת צריך לדאוג להם כדי להפעיל את הדברים.

  1. ראשית, סמן את תיבת ההפעלה בראש הדף.
  2. לאחר מכן בחר בממשק שברצונך להגדיר (בדוגמא זו אני מגדיר תחילה את ה- WAN).
  3. הגדר את ביצועי הזיכרון ל- AC-BNFA.
  4. סמן את התיבה "יומן התראות כדי לרחרח קובץ unified2" כך ש- barnyard2 יפעל.
  5. לחץ על שמור.

אם אתה מפעיל א נתב מרובה-וואן, אתה יכול להמשיך ולהגדיר את ממשקי ה- WAN האחרים במערכת שלך. אני ממליץ להוסיף גם את ממשק ה- LAN.

בחירת קטגוריות כלל

לפני שתתחיל את הממשקים, יש להגדיר עוד כמה הגדרות עבור כל ממשק. כדי לקבוע את התצורה של ההגדרות הנוספות, חזור לכרטיסייה ממשקי החטט ולחץ על סמל 'E' בצד ימין של הדף לצד הממשק. זה יחזיר אותך לדף התצורה של ממשק מסוים זה.

לבחירת קטגוריות הכללים שיש להפעיל עבור הממשק, לחץ על כרטיסיית הקטגוריות. כל כללי הגילוי מחולקים לקטגוריות. קטגוריות המכילות כללים מאימות מתעוררות יתחילו ב"מתעוררות ", וכללים מ- Snort.org מתחילים ב"נחר".

לאחר בחירת הקטגוריות, לחץ על כפתור השמירה בתחתית הדף.

מה מטרת קטגוריות הכלל?

על ידי חלוקת הכללים לקטגוריות, תוכל להפעיל רק את הקטגוריות המסוימות שאתה מעוניין בהן. אני ממליץ להפעיל כמה מהקטגוריות הכלליות יותר. אם אתה מפעיל שירותים ספציפיים ברשת שלך, כגון שרת אינטרנט או שרת מסד נתונים, עליך לאפשר גם קטגוריות הנוגעות להם.

חשוב לזכור כי Snort ידרוש יותר משאבי מערכת בכל פעם שקטגוריה נוספת מופעלת. זה יכול גם להגדיל את מספר התגובות השגויות. באופן כללי, עדיף להפעיל רק את הקבוצות הדרושות לך, אך אל תהסס להתנסות בקטגוריות ולראות מה עובד הכי טוב.

כיצד אוכל לקבל מידע נוסף על קטגוריות הכללים?

אם ברצונך לברר אילו חוקים נמצאים בקטגוריה וללמוד עוד על מה שהם עושים, תוכל ללחוץ על הקטגוריה. זה יקשר אותך ישירות לרשימת כל הכללים בקטגוריה.

קטגוריות פופולריות של כלל נחר

אלו הן חלק מהקטגוריות הפופולריות ביותר של סנארט שאולי תרצה להפעיל.

שם קטגוריהתיאור

snort_botnet-cnc.rules

מכוון למארחי פיקוד ובקרה ידועים של botnet.

snort_ddos.rules

מגלה התקפות של מניעת שירות.

snort_scan.rules

כללים אלה מגלים סריקות נמל, בדיקות נסוס והתקפות אחרות לאיסוף מידע.

snort_virus.rules

מגלה חתימות של סוסים טרויאניים ידועים, נגיפים ותולעים. מומלץ מאוד להשתמש בקטגוריה זו.

הגדרות מעבד מראש וזרימה

ישנן כמה הגדרות בדף הגדרות המעבדים המוקדמות שאמורות להיות מופעלות. רבים מכללי האיתור דורשים הפעלת בדיקת HTTP על מנת שיפעלו.

  1. תחת הגדרות בדיקת HTTP, הפעל את 'השתמש ב- HTTP בדיקה כדי לנרמל / לפענח'
  2. בסעיף הגדרות מעבד מקדימות כלליות, הפעל את 'זיהוי פורטסקור'
  3. שמור את ההגדרות.

הפעלת הממשקים

כאשר מתווסף ממשק חדש ל- Snort, הוא אינו מתחיל לפעול באופן אוטומטי. להפעלת ממשקים ידנית, לחץ על כפתור ההפעלה הירוק בצד שמאל של כל ממשק שהוגדר.

כאשר Snort פועל, הטקסט שמאחורי שם הממשק יופיע בירוק. כדי לעצור את סנורט, לחץ על כפתור העצירה האדום הממוקם בצד שמאל של הממשק.

אם נחר נכשל בהתחלה

ישנן כמה בעיות נפוצות שיכולות למנוע מהנחילה להתחיל.

  • בדוק את הכללים: כדי לאמת את התקנת הכללים, לחץ על כרטיסיית העדכונים וחפש hash תחת סעיף ערכת כללי החתימה המותקנת. אתה אמור לראות משהו כמו SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70."
  • הגדרות מעבד מקדים: כמה מהכללים דורשים כי אפשרות בדיקת HTTP מופעלת בהגדרות המעבד המוקדם, לכן וודא שהפעלת תכונה זו.
  • בדוק את יומני המערכת: אם Snort נתקל בשגיאה, תראה את ההודעה ביומני המערכת. את יומני המערכת ניתן למצוא תחת סטטוס / יומני מערכת. לעתים קרובות השגיאה תגיד לך בדיוק מה הבעיה.

בודק התראות

לאחר הגדרת התצורה של Snort והתחלתה, עליך להתחיל לראות התראות לאחר שזוהה תנועה התואמת את הכללים.

אם אינך רואה התראות, הקדש לו זמן ואז בדוק שוב. יכול להימשך זמן מה עד שתראה התראות כלשהן, תלוי בכמות התעבורה והכללים המופעלים.

אם ברצונך להציג את ההתראות מרחוק, תוכל להפעיל את הגדרת הממשק "שלח התראות ליומני המערכת הראשיים." התראות המופיעות ביומני המערכת יכולות להיות נצפה מרחוק באמצעות סיסלוג.

מאמר זה מדויק ונכון למיטב ידיעת המחבר. התוכן מיועד למטרות מידע או בידור ואינו מחליף ייעוץ אישי או ייעוץ מקצועי בעניינים עסקיים, פיננסיים, משפטיים או טכניים.

סעיף הקודם

המדריך האולטימטיבי לארדואינו

לידיעה הבאה

מאפייני רשת מחשבים: טופולוגיה

פופולרי

מעניין

כיצד לעצב ולהדפיס תלת מימד קולב מעילי רכוב (מדריך Solidworks)
 שונה

כיצד לעצב ולהדפיס תלת מימד קולב מעילי רכוב (מדריך Solidworks)

אני אוהב ללמוד על טכנולוגיה ו- IOT. אני מתעסק גם בעיצוב תלת ממדי והדפסת תלת מימד.אחד התחביבים שלי שנרכשו לאחרונה הוא תלת מימד. ברגע שקיבלתי מדפסת תלת מימד, רציתי לדעת איך לעצב את הדברים שלי. בהתחלה הת...
סוגים נפוצים של אנטנות UHF ו- VHF
 שונה

סוגים נפוצים של אנטנות UHF ו- VHF

תמרה ווילהייט היא סופרת טכנית, מהנדסת תעשייה, אם לשניים, ומחברת מדע בדיוני ואימה שפורסמה.אנטנות VHF או אנטנות "בתדירות גבוהה מאוד" מיועדות לקליטת אותות בין 30 מגה-הרץ ל -300 מגה-הרץ. אותות V...