MəZmun
- Niyə müdaxilənin aşkarlanması sistemini qurmalısınız?
- Snort Paketinin quraşdırılması
- Oinkmaster Kodunun alınması
- Oinkmaster kodunuzu almaq üçün aşağıdakı adımları izləyin:
- Snort'a Oinkmaster Kodunun daxil edilməsi
- Qaydaların Əl ilə Yenilənməsi
- Arayüzlər əlavə olunur
- İnterfeysi konfiqurasiya etmək
- Qayda kateqoriyalarının seçilməsi
- Qayda kateqoriyalarının məqsədi nədir?
- Qaydalar kateqoriyaları haqqında daha çox məlumat necə əldə edə bilərəm?
- Məşhur Snort Qayda kateqoriyası
- Preprocessor və Flow Settings
- Arayüzlərə başlamaq
- Snort Başlamazsa
- Uyarılar yoxlanılır
Sam alqoritmik ticarət firması üçün şəbəkə analitiki kimi çalışır. İnformasiya texnologiyaları üzrə bakalavr dərəcəsini UMKC-dən almışdır.
Niyə müdaxilənin aşkarlanması sistemini qurmalısınız?
Hakerlər, viruslar və digər təhdidlər şəbəkənizi davamlı olaraq araşdırır, daxil olmağın bir yolunu axtarır. Bütün şəbəkənin güzəştə getməsi üçün yalnız bir hacked maşın tələb olunur. Bu səbəblərdən sistemlərinizi təhlükəsiz saxlaya və İnternetdəki müxtəlif təhdidləri izləyə bilmək üçün müdaxiləni aşkarlama sistemi qurmağı məsləhət görürəm.
Snort, ev və ya korporativ şəbəkəni qəsbkarlardan qorumaq üçün pfSense firewall-a asanlıqla quraşdırıla bilən açıq mənbəli bir IDSdir. Snort, müdaxilənin qarşısının alınması sistemi (IPS) kimi fəaliyyət göstərəcək şəkildə qurula bilər və onu çox elastik edir.
Bu yazıda, Snort'u pfSense 2.0-da quraşdırmaq və konfiqurasiya etmək prosesi boyunca sizə məlumat verəcəyəm, belə ki trafiği real vaxt rejimində analiz etməyə başlaya bilərsiniz.
Snort Paketinin quraşdırılması
Snort ilə işə başlamaq üçün pfSense paket menecerindən istifadə edərək paketi quraşdırmalısınız. Paket meneceri pfSense web GUI-nin sistem menyusunda yerləşir.
Paket siyahısından Snort'u tapın və quraşdırmaya başlamaq üçün sağ tərəfdəki artı işarəsini vurun.
Snortun quraşdırılması üçün bir neçə dəqiqə çəkməsi normaldır, pfSense-in əvvəlcə yükləməsi və qurması lazım olan bir neçə asılılıq var.
Quraşdırma başa çatdıqdan sonra Snort xidmətlər menyusunda görünəcəkdir.
Snort, pfSense paket meneceri istifadə edərək quraşdırıla bilər.
Oinkmaster Kodunun alınması
Snortun faydalı olması üçün ən son qaydalarla yenilənməsi lazımdır. Snort paketi bu qaydaları sizin üçün avtomatik olaraq yeniləyə bilər, ancaq əvvəlcə Oinkmaster kodu əldə etməlisiniz.
İki müxtəlif Snort qaydaları mövcuddur:
- Abunəçi buraxılışı dəsti, mövcud olan ən müasir qaydalar dəstidir. Bu qaydalara real vaxtda giriş pullu illik abunə tələb edir.
- Qaydaların digər versiyası Snort.org saytında qeydiyyatdan keçən hər kəs üçün tamamilə pulsuz olan qeydiyyatdan keçmiş istifadəçi versiyasıdır.
İki qayda dəsti arasındakı əsas fərq, qeydiyyatdan keçmiş istifadəçi buraxılışındakı qaydaların abunə qaydalarından 30 gün geri qalmasıdır. Ən müasir qorunma istəyirsinizsə, bir abunə almalısınız.
Oinkmaster kodunuzu almaq üçün aşağıdakı adımları izləyin:
- İhtiyacınız olan versiyanı yükləmək üçün Snort qaydaları veb səhifəsini ziyarət edin.
- 'Hesab üçün qeydiyyatdan keçin' düyməsinə vurun və Snort hesabı yaradın.
- Hesabınızı təsdiqlədikdən sonra Snort.org-a daxil olun.
- Üst keçid çubuğunda 'Hesabım' düyməsini vurun.
- 'Abunəliklər və Oinkcode' sekmesini vurun.
- Oinkcodes bağlantısını vurun və sonra 'Kod yaradın' düyməsini basın.
Kod hesabınızda saxlanacaq, belə ki, ehtiyac olduqda daha sonra əldə edə bilərsiniz. Bu kodun pfSense-də Snort ayarlarına daxil edilməsi lazımdır.
Snort.org saytından qaydaları yükləmək üçün Oinkmaster kodu tələb olunur.
Snort'a Oinkmaster Kodunun daxil edilməsi
Oinkcode əldə edildikdən sonra, Snort paket parametrlərinə daxil edilməlidir. Snort ayarları səhifəsi veb interfeysinin xidmətlər menyusunda görünəcəkdir. Görünmürsə, paketin quraşdırıldığından əmin olun və lazım olduqda paketi yenidən quraşdırın.
Oinkcode, Snort ayarlarının qlobal parametrlər səhifəsinə daxil edilməlidir. İnkişaf etməkdə olan Təhlükələr qaydalarını da təmin etmək üçün qutuyu yoxlamaq istəyirəm. ET qaydaları açıq mənbəli bir cəmiyyət tərəfindən aparılır və Snort setində tapıla bilməyən bəzi əlavə qaydalar təmin edə bilər.
Avtomatik yeniləmələr
Varsayılan olaraq, Snort paketi qaydaları avtomatik olaraq yeniləməyəcəkdir. Tövsiyə olunan yeniləmə intervalı hər 12 saatda bir dəfədir, ancaq bunu mühitinizə uyğun dəyişdirə bilərsiniz.
Dəyişiklikləri tamamladıqdan sonra 'saxla' düyməsini vurmağı unutmayın.
Qaydaların Əl ilə Yenilənməsi
Snort heç bir qayda gətirmir, ona görə də ilk dəfə onları əl ilə yeniləməlisən. Əl ilə yeniləməni işə salmaq üçün yeniləmələr nişanını vurun və sonra yeniləmə qaydaları düyməsini basın.
Paket Snort.org-dan ən son qayda dəstlərini və bu seçdiyiniz halda ortaya çıxan təhlükələri yükləyəcək.
Yeniləmələr bitdikdən sonra qaydalar çıxarılacaq və sonra istifadəyə hazır olacaq.
Snort ilk dəfə qurulduqda qaydalar əl ilə yüklənməlidir.
Arayüzlər əlavə olunur
Snort müdaxiləni aşkarlama sistemi kimi işə başlamazdan əvvəl izləməsi üçün interfeyslər təyin etməlisiniz. Tipik konfiqurasiya Snortun istənilən WAN interfeysini izləməsidir. Digər ən geniş yayılmış konfiqurasiya Snort-un WAN və LAN interfeysini izləməsidir.
LAN interfeysinə nəzarət şəbəkəniz daxilində gedən hücumlara bir az görünürlük təmin edə bilər. LAN şəbəkəsindəki bir kompüterin zərərli proqrama yoluxması və şəbəkənin içərisində və xaricindəki sistemlərə hücumlar başlatması qeyri-adi deyil.
Bir interfeys əlavə etmək üçün Snort interfeysinin nişanında tapılan artı işarəsini vurun.
İnterfeysi konfiqurasiya etmək
İnterfeys əlavə et düyməsini vurduqdan sonra interfeys parametrləri səhifəsini görəcəksiniz.Ayarlar səhifəsində çox sayda seçim var, ancaq işlərin düzəldilməsi üçün narahat olmağınız lazım olan yalnız bir neçəsi var.
- Əvvəlcə səhifənin yuxarı hissəsindəki imkan qutusunu yoxlayın.
- Sonra, konfiqurasiya etmək istədiyiniz interfeysi seçin (bu nümunədə əvvəlcə WAN-ı konfiqurasiya edirəm).
- Yaddaş performansını AC-BNFA olaraq təyin edin.
- Barnyard2 işləməsi üçün "unified2 faylını qarışdırmaq üçün giriş xəbərdarlıqları" qutusunu işarələyin.
- Saxla düyməsini basın.
Bir işləyirsinizsə multi-wan router, davam edə və sisteminizdəki digər WAN interfeyslərini konfiqurasiya edə bilərsiniz. LAN interfeysi əlavə etməyinizi də məsləhət görürəm.
Arayüzlərə başlamazdan əvvəl, hər bir interfeys üçün konfiqurasiya edilməsi lazım olan bir neçə daha çox parametr var. Əlavə parametrləri konfiqurasiya etmək üçün Snort interfeyslər nişanına qayıdın və interfeysin yanında səhifənin sağ tərəfindəki 'E' işarəsini vurun. Bu sizi həmin interfeys üçün konfiqurasiya səhifəsinə aparacaq. İnterfeys üçün aktivləşdirilməli qayda kateqoriyalarını seçmək üçün kateqoriyalar sekmesini vurun. Bütün aşkarlama qaydaları kateqoriyalara bölünür. İnkişaf etməkdə olan Təhlükələrdən qaydaları ehtiva edən kateqoriyalar 'ortaya çıxmaq' ilə başlayacaq və Snort.org'dakı qaydalar 'xırıltı' ilə başlayacaq. Kateqoriyalarları seçdikdən sonra səhifənin altındakı saxla düyməsini vurun. Qaydaları kateqoriyalara bölməklə yalnız maraqlandığınız kateqoriyaları təmin edə bilərsiniz. Daha ümumi kateqoriyalardan bəzilərini aktivləşdirməyi məsləhət görürəm. Şəbəkənizdə bir veb və ya verilənlər bazası serveri kimi xüsusi xidmətlər işlədirsinizsə, onda bunlara aid kateqoriyalara da imkan verməlisiniz. Snortun hər dəfə əlavə bir kateqoriya açıldıqda daha çox sistem mənbəyi tələb edəcəyini xatırlamaq vacibdir. Bu, yanlış pozitivlərin sayını da artıra bilər. Ümumiyyətlə, yalnız ehtiyac duyduğunuz qrupları açmaq yaxşıdır, ancaq kateqoriyalarla sınaqdan keçməkdən və nəyin daha yaxşı işlədiyini görməkdən çəkinməyin.Qayda kateqoriyalarının seçilməsi
Qayda kateqoriyalarının məqsədi nədir?
Qaydalar kateqoriyaları haqqında daha çox məlumat necə əldə edə bilərəm?
Bir kateqoriyada hansı qaydaların olduğunu öyrənmək və nə etdikləri barədə daha çox məlumat əldə etmək istəyirsinizsə, kateqoriyanı vura bilərsiniz. Bu sizi birbaşa kateqoriya daxilindəki bütün qaydaların siyahısına bağlayacaqdır.
Məşhur Snort Qayda kateqoriyası
| Kateqoriya Adı | Təsvir |
|---|---|
snort_botnet-cnc.rules | Bilinən botnet əmri və nəzarət hostlarını hədəf alır. |
snort_ddos.rules | Xidmət hücumlarının rədd edilməsini aşkarlayır. |
snort_scan.rules | Bu qaydalar liman taramalarını, Nessus sondalarını və digər məlumat toplama hücumlarını aşkar edir. |
snort_virus.qaydalar | Məlum troyanların, virusların və qurdların imzalarını aşkarlayır. Bu kateqoriyadan istifadə etmək çox tövsiyə olunur. |
Preprocessor və Flow Settings
Preprocessors parametrləri səhifəsində aktivləşdirilməli olan bir neçə parametr var. Algılama qaydalarının bir çoxu HTTP yoxlamalarının işləməsi üçün aktivləşdirilməsini tələb edir.
- HTTP yoxlama parametrləri altında 'Normallaşdırmaq / Dekodlaşdırmaq üçün HTTP Təftişindən istifadə edin' aktivləşdirin
- Ümumi ön prosessor parametrləri bölməsində 'Portscan Detection' funksiyasını aktivləşdirin
- Parametrləri saxla.
Arayüzlərə başlamaq
Snort'a yeni bir interfeys əlavə edildikdə, avtomatik olaraq işə başlamaz. Arayüzləri əl ilə başlamaq üçün, hər bir interfeysin sol tərəfindəki yaşıl oynat düyməsini vurun.
Snort işləyərkən interfeys adının arxasındakı mətn yaşıl rəngdə görünür. Snortu dayandırmaq üçün interfeysin sol tərəfində yerləşən qırmızı dur düyməsini vurun.
Snortun başlamasına mane ola biləcək bir neçə ümumi problem var.
Snort Başlamazsa
Uyarılar yoxlanılır
Snort uğurla konfiqurasiya olunduqdan və işə salındıqdan sonra qaydalara uyğun trafik aşkarlandıqdan sonra siqnalları görməyə başlamalısınız.
Heç bir xəbərdarlıq görmürsənsə, bir az vaxt verin və sonra yenidən yoxlayın. Trafik miqdarından və aktiv edilmiş qaydalardan asılı olaraq hər hansı bir xəbərdarlıq görməyiniz biraz vaxt ala bilər.
Uyarıları uzaqdan görmək istəyirsinizsə, "Əsas sistem qeydlərinə xəbərdarlıq göndərin" interfeys ayarını aktivləşdirə bilərsiniz. Sistem qeydlərində görünən xəbərdarlıqlar ola bilər Syslog istifadə edərək uzaqdan baxıldı.
Bu məqalə müəllifin bildiyi qədər dəqiq və doğrudur. Məzmun yalnız məlumat və ya əyləncə məqsədi daşıyır və iş, maliyyə, hüquqi və ya texniki məsələlərdə şəxsi məsləhət və ya peşəkar məsləhət əvəz etmir.
