Internet

PfSense 2.0-dagi Snort yordamida hujumni aniqlashni qanday o'rnatish kerak

Muallif: Peter Berry
Yaratilish Sanasi: 18 Iyul 2021
Yangilanish Sanasi: 10 Mayl 2024
Anonim
PfSense 2.0-dagi Snort yordamida hujumni aniqlashni qanday o'rnatish kerak - Internet
PfSense 2.0-dagi Snort yordamida hujumni aniqlashni qanday o'rnatish kerak - Internet

Tarkib

Sem algoritmik savdo firmasi uchun tarmoq tahlilchisi bo'lib ishlaydi. Axborot texnologiyalari bo'yicha bakalavr darajasini UMKC-dan olgan.

Hujumni aniqlash tizimini nima uchun o'rnatish kerak?

Hackerlar, viruslar va boshqa tahdidlar sizning tarmog'ingizni doimiy ravishda tekshirmoqda, kirish yo'lini izlamoqda. Butun tarmoq buzilishi uchun faqat bitta xakerlik mashinasi kerak bo'ladi. Shu sabablarga ko'ra, siz o'z tizimlaringizni xavfsiz saqlashingiz va Internetdagi turli tahdidlarni kuzatib borishingiz uchun kirishni aniqlash tizimini o'rnatishni tavsiya etaman.

Snort - pfSense xavfsizlik devoriga osongina o'rnatiladigan, uy yoki korporativ tarmoqni bosqinchilardan himoya qilish uchun o'rnatiladigan ochiq kodli IDS. Snort shuningdek, kirishni oldini olish tizimi (IPS) sifatida ishlashi uchun sozlanishi mumkin, bu uni juda moslashuvchan qiladi.


Ushbu maqolada sizni Snort-ni pfSense 2.0-ga o'rnatish va sozlash jarayoni bilan tanishaman, shunda siz trafikni real vaqtda tahlil qilishni boshlaysiz.

Snort paketini o'rnatish

Snort bilan ishlashni boshlash uchun pfSense paket menejeri yordamida paketni o'rnatishingiz kerak bo'ladi. Paket menejeri pfSense web GUI tizim menyusida joylashgan.

Paketlar ro'yxatidan Snort-ni toping va o'rnatishni boshlash uchun o'ng tomondagi ortiqcha belgisini bosing.

Snortni o'rnatish uchun bir necha daqiqa vaqt ketishi odatiy holdir, u pfSense avval yuklab olish va o'rnatishi kerak bo'lgan bir nechta bog'liqliklarga ega.

O'rnatish tugagandan so'ng Snort xizmatlar menyusida paydo bo'ladi.

Snortni pfSense paket menejeri yordamida o'rnatish mumkin.

Oinkmaster kodini olish

Snort foydali bo'lishi uchun uni so'nggi qoidalar to'plami bilan yangilash kerak. Snort to'plami ushbu qoidalarni siz uchun avtomatik ravishda yangilashi mumkin, ammo avval siz Oinkmaster kodini olishingiz kerak.

Snort qoidalarining ikki xil to'plami mavjud:

  • Abonentlarni chiqarish to'plami mavjud bo'lgan eng dolzarb qoidalar to'plamidir. Ushbu qoidalarga real vaqtda kirish uchun pullik yillik obuna talab qilinadi.
  • Qoidalarning boshqa versiyasi - Snort.org saytida ro'yxatdan o'tgan har bir kishiga to'liq bepul ro'yxatdan o'tgan foydalanuvchi versiyasi.

Ikkala qoida to'plamining asosiy farqi shundaki, ro'yxatdan o'tgan foydalanuvchi chiqarilishidagi qoidalar obuna qoidalaridan 30 kun orqada. Agar siz eng zamonaviy himoyani istasangiz, obuna olishingiz kerak.

Oinkmaster kodingizni olish uchun quyidagi amallarni bajaring:

  1. Sizga kerak bo'lgan versiyani yuklab olish uchun Snort qoidalari veb-sahifasiga tashrif buyuring.
  2. "Hisobga yozilish" tugmachasini bosing va Snort hisobini yarating.
  3. Hisobingizni tasdiqlaganingizdan so'ng, Snort.org saytiga kiring.
  4. Yuqori havoladagi panelda "Mening hisobim" tugmasini bosing.
  5. "Obunalar va Oinkcode" yorlig'ini bosing.
  6. Oinkcodes havolasini bosing va "Kod yaratish" tugmasini bosing.

Kod sizning hisobingizda saqlanib qoladi, agar kerak bo'lsa, uni keyinroq olishingiz mumkin. Ushbu kodni pfSense-da Snort sozlamalariga kiritish kerak bo'ladi.


Snort.org saytidan qoidalarni yuklab olish uchun Oinkmaster kodi talab qilinadi.

Snort-da Oinkmaster kodini kiritish

Oinkcode-ni olgandan so'ng, uni Snort to'plami sozlamalariga kiritish kerak. Snort sozlamalari sahifasi veb-interfeysning xizmatlar menyusida paydo bo'ladi. Agar u ko'rinmasa, paket o'rnatilganligiga ishonch hosil qiling va agar kerak bo'lsa paketni qayta o'rnating.

Oinkcode Snort sozlamalarining global sozlamalar sahifasiga kiritilishi kerak. Shuningdek, "Rivojlanayotgan tahdidlar" qoidalarini yoqish uchun katakchani belgilashni yaxshi ko'raman. ET qoidalari ochiq manbali hamjamiyat tomonidan qo'llab-quvvatlanadi va Snort to'plamida topilmasligi mumkin bo'lgan ba'zi qo'shimcha qoidalarni taqdim etishi mumkin.

Avtomatik yangilanishlar

Odatiy bo'lib, Snort to'plami qoidalarni avtomatik ravishda yangilamaydi. Tavsiya etilgan yangilanish oralig'i har 12 soatda bir marta, ammo siz buni atrof-muhitingizga mos ravishda o'zgartirishingiz mumkin.

O'zgarishlarni tugatgandan so'ng "saqlash" tugmasini bosishni unutmang.

Qoidalarni qo'lda yangilash

Snort hech qanday qoidalarga ega emas, shuning uchun ularni birinchi marta qo'lda yangilashingiz kerak bo'ladi. Qo'lda yangilanishni ishlatish uchun yangilanishlar yorlig'ini bosing va keyin yangilash qoidalari tugmachasini bosing.

Paket Snort.org-dan so'nggi qoidalar to'plamini va agar siz ushbu parametr tanlangan bo'lsa, paydo bo'layotgan tahdidlarni yuklab oladi.

Yangilanishlar tugagandan so'ng, qoidalar chiqariladi va undan keyin foydalanishga tayyor bo'ladi.

Snort birinchi o'rnatilganda qoidalar qo'lda yuklab olinishi kerak.

Interfeyslarni qo'shish

Snort kirishni aniqlash tizimi sifatida ishlashni boshlashidan oldin, siz uni nazorat qilish uchun interfeyslarni tayinlashingiz kerak. Oddiy konfiguratsiya Snort uchun har qanday WAN interfeyslarini kuzatishi mumkin. Boshqa keng tarqalgan konfiguratsiya - Snort uchun WAN va LAN interfeysini kuzatish.

LAN interfeysini nazorat qilish sizning tarmog'ingizdan sodir bo'layotgan hujumlarga ma'lum bir ko'rinishni ta'minlashi mumkin. LAN tarmog'idagi shaxsiy kompyuter zararli dasturlarni yuqtirib, tarmoq ichidagi va tashqarisidagi tizimlarga hujumlarni boshlashi odatiy hol emas.

Interfeys qo'shish uchun Snort interfeysi yorlig'ida joylashgan ortiqcha belgisini bosing.

Interfeysni sozlash

Interfeysni qo'shish tugmachasini bosgandan so'ng, interfeys sozlamalari sahifasini ko'rasiz.Sozlamalar sahifasida juda ko'p imkoniyatlar mavjud, ammo ishlarni boshlash uchun faqat bir nechtasi haqida tashvishlanishingiz kerak.

  1. Avval sahifaning yuqori qismidagi yoqish katagiga belgi qo'ying.
  2. Keyin, sozlashni xohlagan interfeysni tanlang (ushbu misolda men avval WAN-ni sozlayman).
  3. Xotira ishlashini AC-BNFA ga sozlang.
  4. Barnyard2 ishlashi uchun "unified2 faylini tortib olish uchun jurnalni ogohlantirishlari" katagiga belgi qo'ying.
  5. Saqlashni bosing.

Agar siz ishlayotgan bo'lsangiz ko'p tarmoqli yo'riqnoma, siz davom etishingiz va tizimdagi boshqa WAN interfeyslarini sozlashingiz mumkin. Shuningdek, men LAN interfeysini qo'shishni maslahat beraman.

Qoida toifalarini tanlash

Interfeyslarni ishga tushirishdan oldin, har bir interfeys uchun sozlanishi kerak bo'lgan yana bir nechta sozlamalar mavjud. Qo'shimcha sozlamalarni sozlash uchun Snort interfeyslari yorlig'iga qayting va interfeys yonidagi sahifaning o'ng tomonidagi 'E' belgisini bosing. Bu sizni ushbu interfeys uchun konfiguratsiya sahifasiga qaytaradi.

Interfeys uchun yoqilishi kerak bo'lgan qoida toifalarini tanlash uchun toifalar yorlig'ini bosing. Barcha aniqlash qoidalari toifalarga bo'lingan. Rivojlanayotgan tahdidlar qoidalarini o'z ichiga olgan toifalar "paydo bo'lish" bilan boshlanadi va Snort.org saytidagi qoidalar "xo'rlash" bilan boshlanadi.

Kategoriyalarni tanlagandan so'ng, sahifaning pastki qismidagi saqlash tugmasini bosing.

Qoida toifalarining maqsadi nima?

Qoidalarni toifalarga ajratish orqali siz faqat o'zingiz qiziqqan toifalarni yoqishingiz mumkin. Men ba'zi umumiy toifalarga kirishni tavsiya etaman. Agar siz o'zingizning tarmoqingizda veb yoki ma'lumotlar bazasi serveri kabi maxsus xizmatlardan foydalanayotgan bo'lsangiz, unda siz ularga tegishli toifalarni ham yoqishingiz kerak.

Shuni esda tutish kerakki, Snort har bir qo'shimcha toifani yoqish uchun ko'proq tizim resurslarini talab qiladi. Bu, shuningdek, noto'g'ri pozitivlar sonini ko'paytirishi mumkin. Umuman olganda, faqat o'zingizga kerak bo'lgan guruhlarni yoqsangiz yaxshi bo'ladi, lekin bemalol toifalar bilan tajriba o'tkazing va nima yaxshi ishlashini ko'ring.

Qoidalar toifalari haqida qanday qilib qo'shimcha ma'lumot olishim mumkin?

Agar siz toifadagi qaysi qoidalar mavjudligini bilmoqchi bo'lsangiz va ular nima qilayotgani haqida ko'proq bilmoqchi bo'lsangiz, unda siz ushbu toifani bosishingiz mumkin. Bu sizni toifadagi barcha qoidalar ro'yxatiga to'g'ridan-to'g'ri bog'laydi.

Mashhur Snort qoidalari toifalari

Bu siz kiritishingiz mumkin bo'lgan eng mashhur Snort qoidalari toifalari.

Turkum nomiTavsif

snort_botnet-cnc.rules

Ma'lum bo'lgan botnet buyruqlar va boshqaruv xostlarini maqsad qiladi.

snort_ddos.rule

Xizmat hujumlarini rad etishni aniqlaydi.

snort_scan.rulelar

Ushbu qoidalar portni skanerlash, Nessus zondlari va boshqa ma'lumotlarni to'plash hujumlarini aniqlaydi.

snort_virus.qoidalar

Ma'lum bo'lgan troyan, virus va qurtlarning imzolarini aniqlaydi. Ushbu toifadan foydalanish juda tavsiya etiladi.

Preprocessor va oqim sozlamalari

Protsessorlar sozlamalari sahifasida bir nechta sozlamalar mavjud, ular yoqilishi kerak. Ko'pgina aniqlash qoidalari ishlashi uchun HTTP tekshiruvini yoqishni talab qiladi.

  1. HTTP tekshiruvi sozlamalari ostida "Normalizatsiya / dekodlash uchun HTTP tekshiruvidan foydalaning" ni yoqing.
  2. Umumiy protsessor sozlamalari bo'limida "Portscan Detection" -ni yoqing
  3. Sozlamalarni saqlang.

Interfeyslarni boshlash

Snort-ga yangi interfeys qo'shilsa, u avtomatik ravishda ishlay olmaydi. Interfeyslarni qo'lda ishga tushirish uchun har bir interfeysning chap tomonidagi sozlangan yashil ijro etish tugmasini bosing.

Snort ishlayotganda interfeys nomi ortidagi matn yashil rangda paydo bo'ladi. Snortni to'xtatish uchun interfeysning chap tomonida joylashgan qizil to'xtatish tugmachasini bosing.

Agar Snort boshlamasa

Snortni boshlashga to'sqinlik qiladigan bir nechta umumiy muammolar mavjud.

  • Qoidalarni tekshiring: Qoidalarning o'rnatilishini tekshirish uchun yangilanishlar yorlig'ini bosing va o'rnatilgan imzo qoidalari to'plami ostida xashni qidiring. Siz SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70" ga o'xshash narsani ko'rishingiz kerak.
  • Preprocessor sozlamalari: Bir nechta qoidalar HTTP inspektsiyasi parametrini oldindan protsessor sozlamalarida yoqilishini talab qiladi, shuning uchun ushbu xususiyat yoqilganligiga ishonch hosil qiling.
  • Tizim jurnallarini tekshiring: Agar Snort xatoga duch kelsa, siz tizim jurnallarida xabarni ko'rasiz. Tizim jurnallarini Status / System Logs ostida topish mumkin. Xato ko'pincha sizga qanday muammo borligini aniq aytib beradi.

Ogohlantirishlarni tekshirish

Snort muvaffaqiyatli sozlanganidan va ishga tushirilgandan so'ng, qoidalarga mos keladigan trafik aniqlangandan so'ng siz ogohlantirishlarni ko'rishni boshlashingiz kerak.

Agar siz ogohlantirishlarni ko'rmasangiz, unga biroz vaqt bering va keyin qayta tekshiring. Trafik miqdori va yoqilgan qoidalarga qarab ogohlantirishlarni ko'rishingizdan oldin biroz vaqt ketishi mumkin.

Agar siz ogohlantirishlarni masofadan ko'rishni istasangiz, "Asosiy tizim jurnallariga ogohlantirishlarni yuborish" interfeysi sozlamasini yoqishingiz mumkin. Tizim jurnallarida paydo bo'ladigan ogohlantirishlar bo'lishi mumkin masofadan turib Syslog yordamida ko'rib chiqildi.

Ushbu maqola aniq va muallifning eng yaxshi bilimlariga mos keladi. Tarkib faqat axborot yoki ko'ngilochar maqsadlar uchun mo'ljallangan va biznes, moliyaviy, yuridik yoki texnik masalalarda shaxsiy maslahat yoki professional maslahat o'rnini bosmaydi.

Maqola

Vikipediya Sandbox qo'llanmasi: Vikipediya sahifasini qanday yaratish

Keyingi Maqola

Huawei Mate X va boshqalar Samsung Galaxy Fold: chiqish sanalari, narxlari, xususiyatlari, dizayni - katlamalarni taqqoslash

Nashrlar

Sovet

Corsair Themed Ryzen 7 1700 O'yinlar va mahsuldorlik kompyuterlarini yaratish
 Kompyuterlar

Corsair Themed Ryzen 7 1700 O'yinlar va mahsuldorlik kompyuterlarini yaratish

Men oddiy yordamchi ifatida oddiy i h bilan hug'ullanadigan kichik odamman. Mening i htiyoqim hax iy kompyuterlarni yarati h va kompyuter u kunalarini ina h / ko'rib chiqi h.Hammaga alom. Bu e...
Codesys 3.5 bilan narvon mantig'iga kirish
 Kompyuterlar

Codesys 3.5 bilan narvon mantig'iga kirish

Avtomatla htiri h, PLC va HMIlarda 10+ yil. Avtomatla htiri h va a bob ozlik bo'yicha eng yirik otuvchilar bilan i hla hLadder Logic, odatda oddiy "Ladder" deb nomlanadi, PLC da turla hd...