Installieren Sie das Snort Intrusion Detection System in Ubuntu

In diesem Tutorial wird erläutert, wie Sie das Snort IDS (Intrusion Detection System) in Debian-basierten Linux-Distributionen, einschließlich Ubuntu, installieren und damit beginnen.

Nach der Einrichtung eines Servers gehören zu den ersten üblichen Schritten, die mit der Sicherheit verbunden sind, die Firewall, Updates und Upgrades, SSH-Schlüssel (Secure Shell) und angreifbare Hardwaregeräte (z. B. Router ohne PIN-Unterstützung).

Die meisten Systemadministratoren scannen jedoch weder ihre eigenen Server, um Sicherheitslücken zu entdecken, noch richten sie Honeypots oder Intrusion Detection Systems (IDS) ein, wie sie in diesem Handbuch ausführlich erläutert werden.

In diesem Dokument wird Schritt für Schritt erklärt, wie Sie mit Snort, dem beliebtesten IDS, beginnen. Alle beschriebenen Schritte sind mit echten Screenshots versehen, sodass der Leser sie leicht nachvollziehen kann.

Notiz: Die Installation der Debian- und RedHat-basierten Linux-Distributionen wird unter https://linuxhint.com/intrusion_detection_snort_tutorial/ erläutert.

Kurze IDS- und Snort-Beschreibung

Intrusion-Detection-Systeme sind Verkehrs- und Paketanalyseprogramme zur Erkennung von Anomalien wie böswilligem Datenverkehr (Offensive Scan, Verbindungsversuche mit sensiblen Ports usw.). IDS erkennt verdächtiges Verhalten und meldet es dem Systemadministrator.

Mit IDS können Systemadministratoren Regeln einrichten, die die zu meldenden verdächtigen oder verbotenen Pakete definieren.

Snort ist das beliebteste IDS, wahrscheinlich auch das beste. Es ermöglicht Ihnen, die vordefinierten Regeln aus einem aktuellen Repository zu implementieren oder benutzerdefinierte Regeln zu erstellen. Mit Snort können Sie außerdem zwischen den sieben Alarmmodi wählen, die in diesem Artikel ausführlich erläutert werden.

Erste Schritte mit Snort

Zunächst muss sich der Benutzer bei registrieren https://www.snort.org/users/sign_up Das ist die offizielle Snort-Website.

Geben Sie alle erforderlichen Informationen ein, stimmen Sie den Snort-Lizenzbedingungen zu, validieren Sie das Captcha und klicken Sie auf die Schaltfläche „Anmelden“.

Nach der Registrierung muss der Benutzer die Bestätigungs-E-Mail überprüfen. Nach der Bestätigung melden Sie sich an. Klicken Sie im linken Menü auf die Schaltfläche „Oinkcode“, um auf den sogenannten Oinkcode zuzugreifen, der im folgenden Screenshot gezeigt wird und zum Aktualisieren von Snort nützlich ist. Benutzer müssen lediglich den Oinkcode behalten oder bei Bedarf darauf zugreifen, wie im Folgenden erläutert:

Nach der Registrierung (oder davor, das ist egal) kann Snort mit dem apt-Paketmanager installiert werden, wie im Folgenden gezeigt:

sudo apt install snort -y

Während des Installationsvorgangs zeigt Ihnen Snort, wie Sie im nächsten Schritt das/die Netzwerk(e) angeben (CIDR). Diese Konfiguration kann bearbeitet werden und wird im gespeichert /etc/snort.conf Datei wie im nächsten Abschnitt dieses Tutorials erläutert.

Um mit der Installation fortzufahren, drücken Sie die TAB-Taste, um auszuwählen Taste. Drücken Sie dann die ENTER-Taste.

Definieren Sie Ihr(e) Netzwerk(e) im CIDR-Format, wie im vorherigen Schritt beschrieben. Normalerweise erkennt Snort das/die Netzwerk(e) automatisch korrekt. Wenn Sie die zusätzlichen Netzwerke definieren möchten, implementieren Sie ein Komma.

Snort beendet den Installationsvorgang. Der erste empfohlene Schritt besteht darin, die Regeln mithilfe des Oinkcodes zu aktualisieren, den Sie im zweiten Schritt dieses Snort-Tutorials erhalten.

Der Oinkcode wird zusammen mit der installierten Snort-Version im folgenden URL-Format implementiert, wobei <Ausführung> muss durch die installierte Version (ohne Punkte) und < ersetzt werdenOinkcode> muss durch den Oinkcode ersetzt werden.

https://www.snort.org/rules/snortrules-snapshot-.tar.gz?oinkcode=

Im folgenden Beispiel ist die installierte Snort-Version 2.9.151 und der Oinkcode ist d606c9a064edc39523d77f8762f0fe881c3001c4.

Führen Sie Folgendes aus, um die aktualisierten Regeln herunterzuladen:

https://www.snort.org/rules/snortrules-snapshot-29151.tar.gz?oinkcode=d606c9a0edc393d77f8762f0fe881c3001c4

Die ausgeführte URL lädt die komprimierten Regeldateien herunter.

Der Inhalt der Datei „tar.gz“ muss in das Verzeichnis /etc/snort/rules extrahiert werden. Sie können den Befehl „xzf“ und das Flag -C verwenden, um das Ziel der extrahierten Dateien anzugeben, wie im folgenden Screenshot gezeigt:

sudo tar xzf snortrules-snapshot-29151.tar.gz -C /etc/snort/rules

Nach Ausführung aller vorherigen Anweisungen kann der Benutzer davon ausgehen, dass Snort ordnungsgemäß einschließlich der neuesten Regeln installiert ist. Dennoch müssen einige Einstellungen konfiguriert werden, wie im folgenden Abschnitt beschrieben.

Konfigurieren von Snort in Ubuntu (Die Snort.conf-Datei)

Die Snort-Konfigurationsdatei ist /etc/snort/snort.conf. Es ist die erste Datei, mit der sich der Benutzer nach der Installation befassen muss.

Notiz: Für Debian-Benutzer lautet die Snort-Konfigurationsdatei /etc/snort/snort.debian.conf.

Öffnen Sie zunächst die Datei /etc/snort.conf mit einem Texteditor, wie im Folgenden gezeigt (verwenden Sie Berechtigungen):

sudo nano /etc/snort/snort.conf

In der folgenden Abbildung können Sie sehen, wie die Datei „snort.conf“ aussieht:

Durch Scrollen nach unten werden dem Benutzer die netzwerkbezogenen Einstellungen angezeigt. Wie Sie sehen, ist die Standardeinstellung für das lokale Netzwerk „Any“, was Snort anweist, alle erkannten Subnetzwerke zu überwachen.

Die ersten Snort-Netzwerkeinstellungsfunktionen sind die folgenden:

  • ipvar HOME_NET: Hier gibt der Benutzer das/die lokale(n) Netzwerk(e) im CIDR-Format an. Die Standardoption (beliebig) überprüft alle lokalen Netzwerke.
  • ipvar EXTERNAL_NET: Hier kann der Benutzer das externe Netzwerk definieren.
  • ipvar $HOME_NET: Dem Benutzer wird eine Liste von Diensten in diesem Format angezeigt, in denen die muss durch die zu überwachenden Dienste wie HTTPS, FTP, SSH usw. ersetzt werden.

Scrollen Sie nach unten, um weitere Dienst- und Portoptionen anzuzeigen, wie im Folgenden dargestellt:

Scrollen Sie weiter nach unten und stellen Sie sicher, dass das Regelverzeichnis korrekt angegeben ist, wie im folgenden Bild (/etc/snort/snort.conf) gezeigt:

In der folgenden Abbildung sehen Sie die kommentierten (aktivierten) oder unkommentierten (deaktivierten) Regeln. Wie Sie sehen, werden die Regeln im Verzeichnis /etc/snort/rules gespeichert und über die Datei „snort.conf“ verwaltet.

Im folgenden Screenshot sind die Regeln für Angriffsreaktion, fehlerhaften Datenverkehr, DDOS, Hintertür usw. aktiviert:

Alle Regeln finden Sie im Verzeichnis /etc/snort/rules.

ls /etc/snort/rules

Die Benutzer können die zusätzlichen Regeln nicht nur herunterladen, sondern auch eigene erstellen. Um zu erfahren, wie Sie die benutzerdefinierten Snort-Regeln erstellen, folgen Sie diesem Link.

Schnupfenwarnungen

Bei den Warnmodi handelt es sich um eine Reihe verfügbarer Berichtsmechanismen, die die Benutzer auswählen können.

Das Snort IDS unterstützt sieben Alarmmodi, darunter einen Testalarmmodus und den Modus „Überhaupt keine Alarme“.

Voll: Der vollständige Alarmmodus gibt, wie der Name schon sagt, den vollständigsten Bericht einschließlich der detaillierten Datagramminformationen zurück. Der Vollmodus wird durch Hinzufügen des Flags -A full definiert.
Schnell: Der Schnellmodus, der mithilfe des Fast-Flags -A implementiert wird, ist benutzerfreundlicher als der Vollmodus.
Konsole: Die Konsolenoption -A druckt die Echtzeitwarnungen auf dem Linux-Terminal.
Syslog: Das System Logging Protocol sendet die Alarmprotokolle remote. Implementieren Sie diesen Modus mit dem Flag -s.
Ausziehen: Snort kann eine Warnung an die Unix-Sockets exportieren.
Keiner: Benachrichtigungen überspringen.
Befehl: Der CMG-Modus wird nur zu Testzwecken verwendet.

Notiz: Wie die Snort-Regeln verdienen auch die Snort-Warnungen ein spezielles Tutorial, auf das Sie unter https://linuxhint.com/snort_alerts/ zugreifen können.

Im folgenden Beispiel gibt das Flag -h den Host oder das Netzwerk an. Snort wird mit dem Flag -A ausgeführt, das den Konsolenalarmmodus implementiert. Das Flag -c wird in die Snort-Konfigurationsdatei gedruckt.

sudo snort -d -h 192.168.0.0/24 -A console -c /etc/snort/snort.conf

Im nächsten Beispiel wird ein schneller Scan ausgeführt.

sudo snort -A fast -c /etc/snort/snort.conf

Standardmäßig werden Snort-Ergebnisse im Verzeichnis /var/log/snort gespeichert, wie im folgenden Screenshot gezeigt:

Abschluss

Snort wie IDS sind hervorragende Tools, um bösartiges Verhalten innerhalb eines Netzwerks zu erkennen. Es kann die definierten Scanmethoden erkennen und die Daten über die Quelle melden. Aber Snort kann gegen alle Arten von verdächtigem Datenverkehr konfiguriert werden. Snort umfasst eine umfassende Regelquelle, die einfach zu konfigurieren und auf dem neuesten Stand zu halten ist. Benutzer können die benutzerdefinierten Regeln schreiben und die verschiedenen Alarmmodi auswählen.

Die IDS-Implementierung ist eine Grundvoraussetzung zur Sicherung der Netzwerke, die in der Linux-Sicherheitshärtungsliste enthalten sind.

Snort ist Open Source und eine einfach zu verwaltende Sicherheitsressource. Die Nutzung ist kostenlos und stellt für viele Nutzer eine gute Alternative dar. Wir empfehlen Ihnen dringend, weiterhin unsere Artikel zu lesen, die in diesem Dokument mit Links zitiert werden und sich jedem Aspekt von Snort widmen.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen