Snort

Configurar Snort IDS e criar regras

Configurar Snort IDS e criar regras
Snort é um sistema de detecção de intrusão de código aberto que você pode usar em seus sistemas Linux.  Este tutorial irá repassar a configuração básica do Snort IDS e ensiná-lo a criar regras para detectar diferentes tipos de atividades no sistema.

Para este tutorial, a rede que usaremos é: 10.0.0.0/24.  Edite seu / etc / snort / snort.arquivo conf ee substitua “any” ao lado de $ HOME_NET pelas informações de sua rede, conforme mostrado na captura de tela de exemplo abaixo:

Como alternativa, você também pode definir endereços IP específicos para monitorar separados por vírgula entre [], conforme mostrado nesta captura de tela:

Agora vamos começar e executar este comando na linha de comando:

# snort -d -l / var / log / snort / -h 10.0.0.0/24 -A console -c / etc / snort / snort.conf

Onde:
d = diz ao snort para mostrar os dados
l = determina o diretório de logs
h = especifica a rede para monitorar
A = instrui o snort a imprimir alertas no console
c = especifica Snort o arquivo de configuração

Vamos iniciar uma varredura rápida de um dispositivo diferente usando nmap:

E vamos ver o que acontece no console do snort:

Snort detectou a varredura, agora, também de um dispositivo diferente, permite atacar com DoS usando hping3

# hping3 -c 10000 -d 120 -S -w 64 -p 21 --flood --rand-source 10.0.0.3

O dispositivo que exibe o Snort está detectando tráfego ruim, conforme mostrado aqui:

Como instruímos o Snort a salvar os logs, podemos lê-los executando:

# snort -r

Introdução às regras do Snort

O modo NIDS do Snort funciona com base nas regras especificadas em / etc / snort / snort.arquivo conf.

Dentro do bufo.arquivo conf, podemos encontrar regras comentadas e não comentadas, como você pode ver abaixo:

O caminho das regras normalmente é / etc / snort / rules, onde podemos encontrar os arquivos de regras:

Vamos ver as regras contra backdoors:

Existem várias regras para evitar ataques backdoor, surpreendentemente, há uma regra contra o NetBus, um cavalo de tróia que se tornou popular algumas décadas atrás, vamos dar uma olhada nele e vou explicar suas partes e como funciona:

alert tcp $ HOME_NET 20034 -> $ EXTERNAL_NET any (msg: "BACKDOOR NetBus Pro 2.0 conexão
estabelecido "; fluxo: from_server, estabelecido;
flowbits: isset, backdoor.netbus_2.conectar; conteúdo: "BN | 10 00 02 00 |"; profundidade: 6; conteúdo: "|
05 00 | "; profundidade: 2; deslocamento: 8; tipo de classe: atividade diversa; sid: 115; rev: 9;)

Esta regra instrui o snort a alertar sobre conexões TCP na porta 20034 transmitindo para qualquer fonte em uma rede externa.

-> = especifica a direção do tráfego, neste caso de nossa rede protegida para uma externa

msg = Instrui o alerta a incluir uma mensagem específica ao exibir

contente = pesquisa por conteúdo específico dentro do pacote. Pode incluir texto se estiver entre ““ ou dados binários se estiver entre | |
profundidade = Intensidade de análise, na regra acima, vemos dois parâmetros diferentes para dois conteúdos diferentes
Deslocamento = diz ao Snort o byte inicial de cada pacote para começar a procurar pelo conteúdo
tipo de classe = diz que tipo de ataque o Snort está alertando

sid: 115 = identificador de regra

Criando nossa própria regra

Agora vamos criar uma nova regra para notificar sobre conexões SSH de entrada.  Abrir / etc / snort / rules / yourrule.as regras, e cole o seguinte texto:

alerta tcp $ EXTERNAL_NET any -> $ HOME_NET 22 (msg: "SSH entrando";
fluxo: sem estado; sinalizadores: S +; sid: 100006927; rev: 1;)

Estamos dizendo ao Snort para alertar sobre qualquer conexão tcp de qualquer fonte externa para nossa porta ssh (neste caso a porta padrão), incluindo a mensagem de texto “SSH INCOMING”, onde stateless instrui o Snort a ignorar o estado da conexão.

Agora, precisamos adicionar a regra que criamos ao nosso / etc / snort / snort.conf Arquivo. Abra o arquivo de configuração em um editor e pesquise # 7, que é a seção com regras. Adicione uma regra não comentada como na imagem acima, adicionando:

incluir $ RULE_PATH / sua regra.as regras

Em vez de “sua regra.regras ”, defina o seu nome de arquivo, no meu caso era test3.as regras.

Assim que terminar, execute o Snort novamente e veja o que acontece.

#snort -d -l / var / log / snort / -h 10.0.0.0/24 -A console -c / etc / snort / snort.conf

ssh para o seu dispositivo a partir de outro dispositivo e veja o que acontece:

Você pode ver que o SSH de entrada foi detectado.

Com esta lição, espero que você saiba como fazer regras básicas e usá-las para detectar atividade em um sistema.  Veja também um tutorial sobre como configurar o Snort e começar a usá-lo e o mesmo tutorial disponível em espanhol no Linux.lat.

Jogos Jogos HD Remasterizados para Linux que nunca tiveram uma versão Linux anterior
Jogos HD Remasterizados para Linux que nunca tiveram uma versão Linux anterior
Muitos desenvolvedores e editores de jogos estão apresentando remasterização em HD de jogos antigos para estender a vida da franquia, por favor, os fã...
Jogos Como usar o AutoKey para automatizar jogos Linux
Como usar o AutoKey para automatizar jogos Linux
AutoKey é um utilitário de automação de desktop para Linux e X11, programado em Python 3, GTK e Qt. Usando sua funcionalidade de script e MACRO, você ...
Jogos Como mostrar o contador de FPS em jogos Linux
Como mostrar o contador de FPS em jogos Linux
Os jogos Linux tiveram um grande impulso quando a Valve anunciou o suporte Linux para o cliente Steam e seus jogos em 2012. Desde então, muitos jogos ...