Tarkib
- Hujumni aniqlash tizimini nima uchun o'rnatish kerak?
- Snort paketini o'rnatish
- Oinkmaster kodini olish
- Oinkmaster kodingizni olish uchun quyidagi amallarni bajaring:
- Snort-da Oinkmaster kodini kiritish
- Qoidalarni qo'lda yangilash
- Interfeyslarni qo'shish
- Interfeysni sozlash
- Qoida toifalarini tanlash
- Qoida toifalarining maqsadi nima?
- Qoidalar toifalari haqida qanday qilib qo'shimcha ma'lumot olishim mumkin?
- Mashhur Snort qoidalari toifalari
- Preprocessor va oqim sozlamalari
- Interfeyslarni boshlash
- Agar Snort boshlamasa
- Ogohlantirishlarni tekshirish
Sem algoritmik savdo firmasi uchun tarmoq tahlilchisi bo'lib ishlaydi. Axborot texnologiyalari bo'yicha bakalavr darajasini UMKC-dan olgan.
Hujumni aniqlash tizimini nima uchun o'rnatish kerak?
Hackerlar, viruslar va boshqa tahdidlar sizning tarmog'ingizni doimiy ravishda tekshirmoqda, kirish yo'lini izlamoqda. Butun tarmoq buzilishi uchun faqat bitta xakerlik mashinasi kerak bo'ladi. Shu sabablarga ko'ra, siz o'z tizimlaringizni xavfsiz saqlashingiz va Internetdagi turli tahdidlarni kuzatib borishingiz uchun kirishni aniqlash tizimini o'rnatishni tavsiya etaman.
Snort - pfSense xavfsizlik devoriga osongina o'rnatiladigan, uy yoki korporativ tarmoqni bosqinchilardan himoya qilish uchun o'rnatiladigan ochiq kodli IDS. Snort shuningdek, kirishni oldini olish tizimi (IPS) sifatida ishlashi uchun sozlanishi mumkin, bu uni juda moslashuvchan qiladi.
Ushbu maqolada sizni Snort-ni pfSense 2.0-ga o'rnatish va sozlash jarayoni bilan tanishaman, shunda siz trafikni real vaqtda tahlil qilishni boshlaysiz.
Snort paketini o'rnatish
Snort bilan ishlashni boshlash uchun pfSense paket menejeri yordamida paketni o'rnatishingiz kerak bo'ladi. Paket menejeri pfSense web GUI tizim menyusida joylashgan.
Paketlar ro'yxatidan Snort-ni toping va o'rnatishni boshlash uchun o'ng tomondagi ortiqcha belgisini bosing.
Snortni o'rnatish uchun bir necha daqiqa vaqt ketishi odatiy holdir, u pfSense avval yuklab olish va o'rnatishi kerak bo'lgan bir nechta bog'liqliklarga ega.
O'rnatish tugagandan so'ng Snort xizmatlar menyusida paydo bo'ladi.
Snortni pfSense paket menejeri yordamida o'rnatish mumkin.
Oinkmaster kodini olish
Snort foydali bo'lishi uchun uni so'nggi qoidalar to'plami bilan yangilash kerak. Snort to'plami ushbu qoidalarni siz uchun avtomatik ravishda yangilashi mumkin, ammo avval siz Oinkmaster kodini olishingiz kerak.
Snort qoidalarining ikki xil to'plami mavjud:
- Abonentlarni chiqarish to'plami mavjud bo'lgan eng dolzarb qoidalar to'plamidir. Ushbu qoidalarga real vaqtda kirish uchun pullik yillik obuna talab qilinadi.
- Qoidalarning boshqa versiyasi - Snort.org saytida ro'yxatdan o'tgan har bir kishiga to'liq bepul ro'yxatdan o'tgan foydalanuvchi versiyasi.
Ikkala qoida to'plamining asosiy farqi shundaki, ro'yxatdan o'tgan foydalanuvchi chiqarilishidagi qoidalar obuna qoidalaridan 30 kun orqada. Agar siz eng zamonaviy himoyani istasangiz, obuna olishingiz kerak.
Oinkmaster kodingizni olish uchun quyidagi amallarni bajaring:
- Sizga kerak bo'lgan versiyani yuklab olish uchun Snort qoidalari veb-sahifasiga tashrif buyuring.
- "Hisobga yozilish" tugmachasini bosing va Snort hisobini yarating.
- Hisobingizni tasdiqlaganingizdan so'ng, Snort.org saytiga kiring.
- Yuqori havoladagi panelda "Mening hisobim" tugmasini bosing.
- "Obunalar va Oinkcode" yorlig'ini bosing.
- Oinkcodes havolasini bosing va "Kod yaratish" tugmasini bosing.
Kod sizning hisobingizda saqlanib qoladi, agar kerak bo'lsa, uni keyinroq olishingiz mumkin. Ushbu kodni pfSense-da Snort sozlamalariga kiritish kerak bo'ladi.
Snort.org saytidan qoidalarni yuklab olish uchun Oinkmaster kodi talab qilinadi.
Snort-da Oinkmaster kodini kiritish
Oinkcode-ni olgandan so'ng, uni Snort to'plami sozlamalariga kiritish kerak. Snort sozlamalari sahifasi veb-interfeysning xizmatlar menyusida paydo bo'ladi. Agar u ko'rinmasa, paket o'rnatilganligiga ishonch hosil qiling va agar kerak bo'lsa paketni qayta o'rnating.
Oinkcode Snort sozlamalarining global sozlamalar sahifasiga kiritilishi kerak. Shuningdek, "Rivojlanayotgan tahdidlar" qoidalarini yoqish uchun katakchani belgilashni yaxshi ko'raman. ET qoidalari ochiq manbali hamjamiyat tomonidan qo'llab-quvvatlanadi va Snort to'plamida topilmasligi mumkin bo'lgan ba'zi qo'shimcha qoidalarni taqdim etishi mumkin.
Avtomatik yangilanishlar
Odatiy bo'lib, Snort to'plami qoidalarni avtomatik ravishda yangilamaydi. Tavsiya etilgan yangilanish oralig'i har 12 soatda bir marta, ammo siz buni atrof-muhitingizga mos ravishda o'zgartirishingiz mumkin.
O'zgarishlarni tugatgandan so'ng "saqlash" tugmasini bosishni unutmang.
Qoidalarni qo'lda yangilash
Snort hech qanday qoidalarga ega emas, shuning uchun ularni birinchi marta qo'lda yangilashingiz kerak bo'ladi. Qo'lda yangilanishni ishlatish uchun yangilanishlar yorlig'ini bosing va keyin yangilash qoidalari tugmachasini bosing.
Paket Snort.org-dan so'nggi qoidalar to'plamini va agar siz ushbu parametr tanlangan bo'lsa, paydo bo'layotgan tahdidlarni yuklab oladi.
Yangilanishlar tugagandan so'ng, qoidalar chiqariladi va undan keyin foydalanishga tayyor bo'ladi.
Snort birinchi o'rnatilganda qoidalar qo'lda yuklab olinishi kerak.
Interfeyslarni qo'shish
Snort kirishni aniqlash tizimi sifatida ishlashni boshlashidan oldin, siz uni nazorat qilish uchun interfeyslarni tayinlashingiz kerak. Oddiy konfiguratsiya Snort uchun har qanday WAN interfeyslarini kuzatishi mumkin. Boshqa keng tarqalgan konfiguratsiya - Snort uchun WAN va LAN interfeysini kuzatish.
LAN interfeysini nazorat qilish sizning tarmog'ingizdan sodir bo'layotgan hujumlarga ma'lum bir ko'rinishni ta'minlashi mumkin. LAN tarmog'idagi shaxsiy kompyuter zararli dasturlarni yuqtirib, tarmoq ichidagi va tashqarisidagi tizimlarga hujumlarni boshlashi odatiy hol emas.
Interfeys qo'shish uchun Snort interfeysi yorlig'ida joylashgan ortiqcha belgisini bosing.
Interfeysni sozlash
Interfeysni qo'shish tugmachasini bosgandan so'ng, interfeys sozlamalari sahifasini ko'rasiz.Sozlamalar sahifasida juda ko'p imkoniyatlar mavjud, ammo ishlarni boshlash uchun faqat bir nechtasi haqida tashvishlanishingiz kerak.
- Avval sahifaning yuqori qismidagi yoqish katagiga belgi qo'ying.
- Keyin, sozlashni xohlagan interfeysni tanlang (ushbu misolda men avval WAN-ni sozlayman).
- Xotira ishlashini AC-BNFA ga sozlang.
- Barnyard2 ishlashi uchun "unified2 faylini tortib olish uchun jurnalni ogohlantirishlari" katagiga belgi qo'ying.
- Saqlashni bosing.
Agar siz ishlayotgan bo'lsangiz ko'p tarmoqli yo'riqnoma, siz davom etishingiz va tizimdagi boshqa WAN interfeyslarini sozlashingiz mumkin. Shuningdek, men LAN interfeysini qo'shishni maslahat beraman.
Interfeyslarni ishga tushirishdan oldin, har bir interfeys uchun sozlanishi kerak bo'lgan yana bir nechta sozlamalar mavjud. Qo'shimcha sozlamalarni sozlash uchun Snort interfeyslari yorlig'iga qayting va interfeys yonidagi sahifaning o'ng tomonidagi 'E' belgisini bosing. Bu sizni ushbu interfeys uchun konfiguratsiya sahifasiga qaytaradi. Interfeys uchun yoqilishi kerak bo'lgan qoida toifalarini tanlash uchun toifalar yorlig'ini bosing. Barcha aniqlash qoidalari toifalarga bo'lingan. Rivojlanayotgan tahdidlar qoidalarini o'z ichiga olgan toifalar "paydo bo'lish" bilan boshlanadi va Snort.org saytidagi qoidalar "xo'rlash" bilan boshlanadi. Kategoriyalarni tanlagandan so'ng, sahifaning pastki qismidagi saqlash tugmasini bosing. Qoidalarni toifalarga ajratish orqali siz faqat o'zingiz qiziqqan toifalarni yoqishingiz mumkin. Men ba'zi umumiy toifalarga kirishni tavsiya etaman. Agar siz o'zingizning tarmoqingizda veb yoki ma'lumotlar bazasi serveri kabi maxsus xizmatlardan foydalanayotgan bo'lsangiz, unda siz ularga tegishli toifalarni ham yoqishingiz kerak. Shuni esda tutish kerakki, Snort har bir qo'shimcha toifani yoqish uchun ko'proq tizim resurslarini talab qiladi. Bu, shuningdek, noto'g'ri pozitivlar sonini ko'paytirishi mumkin. Umuman olganda, faqat o'zingizga kerak bo'lgan guruhlarni yoqsangiz yaxshi bo'ladi, lekin bemalol toifalar bilan tajriba o'tkazing va nima yaxshi ishlashini ko'ring.Qoida toifalarini tanlash
Qoida toifalarining maqsadi nima?
Qoidalar toifalari haqida qanday qilib qo'shimcha ma'lumot olishim mumkin?
Agar siz toifadagi qaysi qoidalar mavjudligini bilmoqchi bo'lsangiz va ular nima qilayotgani haqida ko'proq bilmoqchi bo'lsangiz, unda siz ushbu toifani bosishingiz mumkin. Bu sizni toifadagi barcha qoidalar ro'yxatiga to'g'ridan-to'g'ri bog'laydi.
Mashhur Snort qoidalari toifalari
Turkum nomi | Tavsif |
---|---|
snort_botnet-cnc.rules | Ma'lum bo'lgan botnet buyruqlar va boshqaruv xostlarini maqsad qiladi. |
snort_ddos.rule | Xizmat hujumlarini rad etishni aniqlaydi. |
snort_scan.rulelar | Ushbu qoidalar portni skanerlash, Nessus zondlari va boshqa ma'lumotlarni to'plash hujumlarini aniqlaydi. |
snort_virus.qoidalar | Ma'lum bo'lgan troyan, virus va qurtlarning imzolarini aniqlaydi. Ushbu toifadan foydalanish juda tavsiya etiladi. |
Preprocessor va oqim sozlamalari
Protsessorlar sozlamalari sahifasida bir nechta sozlamalar mavjud, ular yoqilishi kerak. Ko'pgina aniqlash qoidalari ishlashi uchun HTTP tekshiruvini yoqishni talab qiladi.
- HTTP tekshiruvi sozlamalari ostida "Normalizatsiya / dekodlash uchun HTTP tekshiruvidan foydalaning" ni yoqing.
- Umumiy protsessor sozlamalari bo'limida "Portscan Detection" -ni yoqing
- Sozlamalarni saqlang.
Interfeyslarni boshlash
Snort-ga yangi interfeys qo'shilsa, u avtomatik ravishda ishlay olmaydi. Interfeyslarni qo'lda ishga tushirish uchun har bir interfeysning chap tomonidagi sozlangan yashil ijro etish tugmasini bosing.
Snort ishlayotganda interfeys nomi ortidagi matn yashil rangda paydo bo'ladi. Snortni to'xtatish uchun interfeysning chap tomonida joylashgan qizil to'xtatish tugmachasini bosing.
Snortni boshlashga to'sqinlik qiladigan bir nechta umumiy muammolar mavjud.Agar Snort boshlamasa
Ogohlantirishlarni tekshirish
Snort muvaffaqiyatli sozlanganidan va ishga tushirilgandan so'ng, qoidalarga mos keladigan trafik aniqlangandan so'ng siz ogohlantirishlarni ko'rishni boshlashingiz kerak.
Agar siz ogohlantirishlarni ko'rmasangiz, unga biroz vaqt bering va keyin qayta tekshiring. Trafik miqdori va yoqilgan qoidalarga qarab ogohlantirishlarni ko'rishingizdan oldin biroz vaqt ketishi mumkin.
Agar siz ogohlantirishlarni masofadan ko'rishni istasangiz, "Asosiy tizim jurnallariga ogohlantirishlarni yuborish" interfeysi sozlamasini yoqishingiz mumkin. Tizim jurnallarida paydo bo'ladigan ogohlantirishlar bo'lishi mumkin masofadan turib Syslog yordamida ko'rib chiqildi.
Ushbu maqola aniq va muallifning eng yaxshi bilimlariga mos keladi. Tarkib faqat axborot yoki ko'ngilochar maqsadlar uchun mo'ljallangan va biznes, moliyaviy, yuridik yoki texnik masalalarda shaxsiy maslahat yoki professional maslahat o'rnini bosmaydi.