Keamanan adalah masalah besar untuk semua jaringan di lingkungan perusahaan saat ini. Banyak metode telah dikembangkan untuk mengamankan infrastruktur jaringan dan komunikasi melalui internet. Di antara mereka, Snort adalah sistem deteksi dan pencegahan intrusi jaringan open-source terkemuka dan kerangka kerja keamanan yang berharga. Ini adalah packet sniffer yang memantau lalu lintas jaringan secara real-time dan meneliti setiap paket secara mendalam untuk menemukan muatan berbahaya atau anomali yang mencurigakan.
Menggunakan mekanisme deteksi intrusi Snort, kami dapat mengumpulkan dan menggunakan informasi dari jenis serangan yang diketahui dan mencari tahu apakah ada yang mencoba menyerang jaringan kami atau host tertentu. Sehingga informasi yang dikumpulkan dengan cara ini dapat digunakan dengan baik untuk memperkuat jaringan kita untuk mencegah dari peretas dan penyusup yang juga dapat berguna untuk tujuan hukum.
Tutorial ini menjelaskan konfigurasi, kompilasi, dan instalasi SNORT 2.9.7.x dan DAQ-2.0.x menggunakan sistem operasi CentOS 7.0 dan komponen lainnya.
Siapkan OS
Kami akan menyiapkan SNORT IDS di bawah Sistem Operasi berikut dan komponennya
- Lingkungan Virtualisasi:VMware Workstation
- Sistem Operasi HOST:Microsoft Windows 7
- Sistem Operasi TAMU:CentOS 7.0 (versi 64-bit)
- Sumber Daya Sistem:CPU 2.0 GHz RAM 4 GB
Di Mesin Virtual CentOS 7, kami mengonfigurasi pengaturan jaringannya dengan IP Statis, Gateway, dan entri DNS untuk memastikan mesin itu terhubung dengan internet melalui antarmuka Ethernet-nya yang akan digunakan sebagai port untuk memantau lalu lintas.
Prasyarat Pemasangan
Paket-paket berikut ini wajib untuk setup SNORT, jadi pastikan untuk menginstal ini sebelum mulai mengkompilasi SNORT atau DAQ. Hampir semua library ini dapat diinstal dengan menggunakan perintah yum.
[root@centos-007 ~]# rpm -qa | grep gcc
libgcc-4.8.2-16.2.el7_0.x86_64
gcc-4.8.2-16.2.el7_0.x86_64
[root@centos-007 ~]# rpm -qa | grep flex
flex-2.5.37-3.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep bison
bison-2.7-4.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep zlib
zlib-1.2.7-13.el7.x86_64
zlib-devel-1.2.7-13.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep libpcap
libpcap-1.5.3-4.el7_1.2.x86_64
libpcap-devel-1.5.3-4.el7_1.2.x86_64
[root@centos-007 ~]# rpm -qa | grep tcpdump
tcpdump-4.5.1-2.el7.x86_64
[root@centos-007 ~]# rpm -qa | grep libdnet-devel
libdnet-devel-1.12-13.1.el7.x86_64Memasang Akuisisi Data (DAQ 2.0.5)
Kami dapat memperoleh paket instalasi terbaru SNORT dan DAQ dari situs resminya dan menyalin tautan unduhan paket RPM yang tersedia untuk CentOS.
[root@centos-007 ~]# yum install https://snort.org/downloads/snort/daq-2.0.5-1.centos7.x86_64.rpm
Menginstal SNORT 2.9.7
Demikian pula, kita akan menginstal Snort dengan menggunakan perintah di bawah ini dengan repositori yum.
[root@centos-007 ~]# yum install https://snort.org/downloads/snort/snort-2.9.7.3-1.centos7.x86_64.rpm
Menginstal Aturan SNORT:
Untuk menginstal aturan Snort, kita harus menjadi pengguna terdaftar untuk mengunduh kumpulan aturan atau telah membayar langganan. Menginstal beberapa aturan update snort diperlukan untuk memastikan bahwa snort mampu mendeteksi ancaman terbaru.
Mendaftar dengan Snort
Mari masuk dengan perangkat lunak pendeteksi tercanggih di Dunia dan untuk mengunduh aturannya yang paling penting untuk diwaspadai dari ancaman terbaru.
Mengunduh Aturan Snort
Setelah sign in ke Snort, sekarang kita bisa mendownload rules yang kita butuhkan untuk menginstal dan bekerja untuk Snort.
Memperbarui Snort Rule menggunakan Pulled Pork
Manajemen aturan Babi yang Ditarik untuk Snort dirancang untuk membuat aturan Snort terbang! Dengan maksud menangani semua aturan. Kodenya menarik aturan yang kita butuhkan untuk menangani aturan Snort kita.
Mengunduh PulledPork
Paket Pulled Pork tersedia di hub Git, dengan menggunakan perintah berikut kita akan mendapatkan paketnya di server snort dengan perintah git clone.
[root@centos-007 ~]# git clone https://github.com/shirkdog/pulledpork.git
Mengatur Daging Babi yang Ditarik
[root@centos-007 pulledpork]# cp pulledpork.pl /usr/local/bin
[root@centos-007 pulledpork]# chmod +x /usr/local/bin/pulledpork.pl
[root@centos-007 pulledpork]# cp etc/*.conf /etc/snortSekarang kita akan mengkonfigurasi PulledPork dan menempatkan Oinkcode di file konfigurasinya, kita akan menempatkannya di file konfigurasinya setelah mendapatkannya dari pengguna terdaftar.
Membuat file yang dibutuhkan PulledPork sebagai.
[root@centos-007 ~]# mkdir /etc/snort/rules/iplists
[root@centos-007 ~]# touch /etc/snort/rules/iplists/default.blacklistMenguji PullPork
Mari kita mulai tes untuk memastikan bahwa pullpork berfungsi.
[root@centos-007 ~]# /usr/local/bin/pulledpork.pl -V
PulledPork v0.7.0 - Swine Flu !Setelah PulledPork bekerja dengan hasil pengujian yang berhasil, kami sekarang bergerak maju untuk mengonfigurasinya dengan Snort dengan memperbarui beberapa parameter konfigurasi.
Konfigurasi Snort
Kami ingin mengaktifkan aturan dinamis, jadi untuk tujuan ini kami memastikan baris kedua di /etc/snort/snort.conf tidak dikomentari.
# path to dynamic preprocessor libraries
dynamicpreprocessor directory /usr/lib64/snort-2.9.7.3_dynamicpreprocessor/
# path to base preprocessor engine
dynamicengine /usr/lib64/snort-2.9.7.3_dynamicengine/libsf_engine.so
# path to dynamic rules libraries
dynamicdetection directory /usr/local/lib/snort_dynamicrulesSekarang jalankan 3 perintah berikut untuk menambahkan aturan include sebagai berikut.
echo "include \$RULE_PATH/snort.rules" >> /etc/snort/snort.conf
echo "include \$RULE_PATH/local.rules" >> /etc/snort/snort.conf
echo "include \$RULE_PATH/so_rules.rules" >> /etc/snort/snort.confMemulai Daging Babi yang Ditarik
Sekarang jalankan perintah berikut, kami akan menjalankan pullpork dan memperbarui aturan Anda seperti di bawah ini.
[root@centos-007 ~]# pulledpork.pl -c /etc/snort/pulledpork/pulledpork.conf
...
Rule Stats...
New:-------686
Deleted:---4
Enabled Rules:----365
Dropped Rules:----0
Disabled Rules:---45
Total Rules:------410
No IP Blacklist Changes
Done
Please review /var/log/sid_changes.log for additional details
Fly Piggy Fly!Kami selalu harus me-restart layanan snort setelah memperbarui aturan Anda. Jadi pastikan Anda tidak mendapatkan kesalahan apa pun selama restart. Jika Anda menerima kesalahan, periksa file /var/log/syslog dan coba perbaiki masalahnya.
[root@centos-007 ~]# service snort restart
Updating Snort Rules using Pulled PorkKesimpulan
Selamat, jika Anda memiliki output yang mirip dengan di atas setelah merestart PulledPork dan me-restart layanan snort maka Anda telah berhasil Mengkonfigurasi PulledPork dengan Snort.