תוֹכֶן
- מדוע להקים מערכת לגילוי פריצות?
- התקנת חבילת הנחירה
- השגת קוד Oinkmaster
- בצע את השלבים הבאים כדי להשיג את קוד Oinkmaster שלך:
- הזנת קוד Oinkmaster ב Snort
- עדכון ידני של הכללים
- הוספת ממשקים
- קביעת תצורה של הממשק
- בחירת קטגוריות כלל
- מה מטרת קטגוריות הכלל?
- כיצד אוכל לקבל מידע נוסף על קטגוריות הכללים?
- קטגוריות פופולריות של כלל נחר
- הגדרות מעבד מראש וזרימה
- הפעלת הממשקים
- אם נחר נכשל בהתחלה
- בודק התראות
סם עובד כאנליסט רשת בחברת סחר אלגוריתמית. הוא קיבל את התואר הראשון בטכנולוגיית מידע מ- UMKC.
מדוע להקים מערכת לגילוי פריצות?
האקרים, וירוסים ואיומים אחרים בודקים כל הזמן את הרשת שלכם ומחפשים דרך להיכנס. נדרשת רק מכונה פרוצה אחת כדי שרשת שלמה תתפשר. מסיבות אלו, אני ממליץ להקים מערכת לזיהוי פריצות כדי שתוכלו לשמור על מערכות האבטחה שלכם ולעקוב אחר האיומים השונים באינטרנט.
Snort הוא קוד פתוח IDS שניתן להתקין בקלות על חומת האש של pfSense כדי להגן על רשת ביתית או ארגונית מפני פולשים. ניתן להגדיר את הנחירה לתפקד כמערכת למניעת חדירה (IPS), מה שהופך אותה לגמישה מאוד.
במאמר זה אדריך אותך בתהליך ההתקנה והגדרת התצורה של Snort ב- pfSense 2.0, כך שתוכל להתחיל לנתח תנועה בזמן אמת.
התקנת חבילת הנחירה
כדי להתחיל עם Snort יהיה עליך להתקין את החבילה באמצעות מנהל החבילות pfSense. מנהל החבילות ממוקם בתפריט המערכת של ממשק המשתמש pfSense.
אתר את סנורט מרשימת החבילות ואז לחץ על סמל הפלוס בצד ימין כדי להתחיל בהתקנה.
זה נורמלי שלנחיר לוקח כמה דקות להתקנה, יש לו כמה תלות ש- pfSense חייבת להוריד ולהתקין תחילה.
לאחר סיום ההתקנה Snort יופיע בתפריט השירותים.
ניתן להתקין את הנחלת באמצעות מנהל החבילות pfSense.
השגת קוד Oinkmaster
כדי שנחור יהיה שימושי, צריך לעדכן אותו עם סט הכללים האחרון. חבילת Snort יכולה לעדכן את הכללים האלה באופן אוטומטי עבורך, אך תחילה עליך להשיג קוד Oinkmaster.
ישנן שתי קבוצות שונות של כללי סניפקט:
- ערכת שחרור המנויים היא מערכת החוקים העדכנית ביותר שיש. גישה בזמן אמת לכללים אלה מחייבת מנוי שנתי בתשלום.
- הגרסה האחרת של הכללים היא המהדורה הרשומה של המשתמשים שהיא בחינם לחלוטין לכל מי שנרשם באתר Snort.org.
ההבדל העיקרי בין שתי ערכות הכללים הוא שהכללים במהדורת המשתמש הרשום הם 30 יום אחרי כללי המנוי. אם אתה רוצה את ההגנה העדכנית ביותר, עליך להשיג מנוי.
בצע את השלבים הבאים כדי להשיג את קוד Oinkmaster שלך:
- בקר בדף האינטרנט של כללי הנחלה כדי להוריד את הגרסה שאתה זקוק לה.
- לחץ על 'הירשם לחשבון' וצר חשבון Snort.
- לאחר שאישרת את חשבונך, היכנס לכתובת Snort.org.
- לחץ על 'החשבון שלי' בסרגל הקישורים העליון.
- לחץ על הכרטיסייה 'מנויים ו- Oinkcode'.
- לחץ על הקישור Oinkcodes ואז לחץ על 'צור קוד'.
הקוד יישאר מאוחסן בחשבונך, כך שתוכל להשיג אותו מאוחר יותר במידת הצורך. צריך להזין קוד זה להגדרות החטט ב- pfSense.
קוד Oinkmaster נדרש להורדת כללים מ- Snort.org.
הזנת קוד Oinkmaster ב Snort
לאחר קבלת ה- Oinkcode, יש להזין אותו בהגדרות החבילה Snort. דף ההגדרות של הנחירה יופיע בתפריט השירותים של ממשק האינטרנט. אם זה לא נראה, ודא שהחבילה מותקנת והתקן מחדש את החבילה במידת הצורך.
יש להזין את קוד ה- Oink בדף ההגדרות הגלובלי של הגדרות ה- Snort. אני גם רוצה לסמן את התיבה כדי לאפשר גם את כללי האיומים המתעוררים. כללי ה- ET נשמרים על ידי קהילת קוד פתוח ויכולים לספק כמה כללים נוספים שאולי לא נמצאים בערכת Snort.
עדכונים אוטומטיים
כברירת מחדל, חבילת Snort לא תעדכן את הכללים באופן אוטומטי. מרווח העדכונים המומלץ הוא אחת ל -12 שעות, אך באפשרותך לשנות זאת כך שתתאים לסביבתך.
אל תשכח ללחוץ על כפתור 'שמור' לאחר שתסיים לבצע את השינויים.
עדכון ידני של הכללים
לנחירה אין כללים כלשהם, כך שתצטרך לעדכן אותם ידנית בפעם הראשונה. להפעלת העדכון הידני, לחץ על כרטיסיית העדכונים ואז לחץ על כפתור כללי העדכון.
החבילה תוריד את ערכות הכללים האחרונות מ- Snort.org וגם איומים מתעוררים אם נבחרה אפשרות זו.
לאחר סיום העדכונים, הכללים יחולצו והם מוכנים לשימוש.
יש להוריד את הכללים באופן ידני בפעם הראשונה שמגדירים את Snort.
הוספת ממשקים
לפני שנורט יכול להתחיל לתפקד כמערכת לזיהוי פריצות, עליך להקצות ממשקים שיוכלו לניטור. התצורה האופיינית היא שנורט יפקח על ממשקי WAN כלשהם. התצורה האחרת הנפוצה ביותר היא ש- Snort יפקח על ממשק ה- WAN וה- LAN.
ניטור ממשק ה- LAN יכול לספק נראות מסוימת להתקפות שמתרחשות מתוך הרשת שלך. לא נדיר שמחשב ברשת LAN נדבק בתוכנות זדוניות ומתחיל לצאת להתקפות על מערכות ברשת ומחוצה לה.
כדי להוסיף ממשק, לחץ על סמל הפלוס שנמצא בכרטיסייה ממשק הנחירה.
קביעת תצורה של הממשק
לאחר לחיצה על כפתור הוספת ממשק, תראה את דף הגדרות הממשק.דף ההגדרות מכיל הרבה אפשרויות, אבל יש רק כמה שאתה באמת צריך לדאוג להם כדי להפעיל את הדברים.
- ראשית, סמן את תיבת ההפעלה בראש הדף.
- לאחר מכן בחר בממשק שברצונך להגדיר (בדוגמא זו אני מגדיר תחילה את ה- WAN).
- הגדר את ביצועי הזיכרון ל- AC-BNFA.
- סמן את התיבה "יומן התראות כדי לרחרח קובץ unified2" כך ש- barnyard2 יפעל.
- לחץ על שמור.
אם אתה מפעיל א נתב מרובה-וואן, אתה יכול להמשיך ולהגדיר את ממשקי ה- WAN האחרים במערכת שלך. אני ממליץ להוסיף גם את ממשק ה- LAN.
לפני שתתחיל את הממשקים, יש להגדיר עוד כמה הגדרות עבור כל ממשק. כדי לקבוע את התצורה של ההגדרות הנוספות, חזור לכרטיסייה ממשקי החטט ולחץ על סמל 'E' בצד ימין של הדף לצד הממשק. זה יחזיר אותך לדף התצורה של ממשק מסוים זה. לבחירת קטגוריות הכללים שיש להפעיל עבור הממשק, לחץ על כרטיסיית הקטגוריות. כל כללי הגילוי מחולקים לקטגוריות. קטגוריות המכילות כללים מאימות מתעוררות יתחילו ב"מתעוררות ", וכללים מ- Snort.org מתחילים ב"נחר". לאחר בחירת הקטגוריות, לחץ על כפתור השמירה בתחתית הדף. על ידי חלוקת הכללים לקטגוריות, תוכל להפעיל רק את הקטגוריות המסוימות שאתה מעוניין בהן. אני ממליץ להפעיל כמה מהקטגוריות הכלליות יותר. אם אתה מפעיל שירותים ספציפיים ברשת שלך, כגון שרת אינטרנט או שרת מסד נתונים, עליך לאפשר גם קטגוריות הנוגעות להם. חשוב לזכור כי Snort ידרוש יותר משאבי מערכת בכל פעם שקטגוריה נוספת מופעלת. זה יכול גם להגדיל את מספר התגובות השגויות. באופן כללי, עדיף להפעיל רק את הקבוצות הדרושות לך, אך אל תהסס להתנסות בקטגוריות ולראות מה עובד הכי טוב.בחירת קטגוריות כלל
מה מטרת קטגוריות הכלל?
כיצד אוכל לקבל מידע נוסף על קטגוריות הכללים?
אם ברצונך לברר אילו חוקים נמצאים בקטגוריה וללמוד עוד על מה שהם עושים, תוכל ללחוץ על הקטגוריה. זה יקשר אותך ישירות לרשימת כל הכללים בקטגוריה.
קטגוריות פופולריות של כלל נחר
שם קטגוריה | תיאור |
---|---|
snort_botnet-cnc.rules | מכוון למארחי פיקוד ובקרה ידועים של botnet. |
snort_ddos.rules | מגלה התקפות של מניעת שירות. |
snort_scan.rules | כללים אלה מגלים סריקות נמל, בדיקות נסוס והתקפות אחרות לאיסוף מידע. |
snort_virus.rules | מגלה חתימות של סוסים טרויאניים ידועים, נגיפים ותולעים. מומלץ מאוד להשתמש בקטגוריה זו. |
הגדרות מעבד מראש וזרימה
ישנן כמה הגדרות בדף הגדרות המעבדים המוקדמות שאמורות להיות מופעלות. רבים מכללי האיתור דורשים הפעלת בדיקת HTTP על מנת שיפעלו.
- תחת הגדרות בדיקת HTTP, הפעל את 'השתמש ב- HTTP בדיקה כדי לנרמל / לפענח'
- בסעיף הגדרות מעבד מקדימות כלליות, הפעל את 'זיהוי פורטסקור'
- שמור את ההגדרות.
הפעלת הממשקים
כאשר מתווסף ממשק חדש ל- Snort, הוא אינו מתחיל לפעול באופן אוטומטי. להפעלת ממשקים ידנית, לחץ על כפתור ההפעלה הירוק בצד שמאל של כל ממשק שהוגדר.
כאשר Snort פועל, הטקסט שמאחורי שם הממשק יופיע בירוק. כדי לעצור את סנורט, לחץ על כפתור העצירה האדום הממוקם בצד שמאל של הממשק.
ישנן כמה בעיות נפוצות שיכולות למנוע מהנחילה להתחיל.אם נחר נכשל בהתחלה
בודק התראות
לאחר הגדרת התצורה של Snort והתחלתה, עליך להתחיל לראות התראות לאחר שזוהה תנועה התואמת את הכללים.
אם אינך רואה התראות, הקדש לו זמן ואז בדוק שוב. יכול להימשך זמן מה עד שתראה התראות כלשהן, תלוי בכמות התעבורה והכללים המופעלים.
אם ברצונך להציג את ההתראות מרחוק, תוכל להפעיל את הגדרת הממשק "שלח התראות ליומני המערכת הראשיים." התראות המופיעות ביומני המערכת יכולות להיות נצפה מרחוק באמצעות סיסלוג.
מאמר זה מדויק ונכון למיטב ידיעת המחבר. התוכן מיועד למטרות מידע או בידור ואינו מחליף ייעוץ אישי או ייעוץ מקצועי בעניינים עסקיים, פיננסיים, משפטיים או טכניים.