Мазмун
- Эмне үчүн кол салууну аныктоо тутумун орнотуш керек?
- Snort топтомун орнотуу
- Oinkmaster кодун алуу
- Oinkmaster кодуңузду алуу үчүн төмөнкү кадамдарды аткарыңыз:
- Снортто Oinkmaster кодун киргизүү
- Эрежелерди кол менен жаңыртуу
- Интерфейстерди кошуу
- Интерфейсти конфигурациялоо
- Эрежелер категорияларын тандоо
- Эрежелердин категорияларынын максаты эмне?
- Эрежелер категориялары жөнүндө көбүрөөк маалыматты кантип алсам болот?
- Популярдуу Snort эрежесинин категориялары
- Preprocessor жана Flow орнотуулары
- Интерфейстерди баштоо
- Эгерде Snort башталбай калса
- Эскертүүлөр текшерилүүдө
Сэм алгоритмдик соода фирмасында тармактык талдоочу болуп иштейт. Маалыматтык технологиялар боюнча бакалавр даражасын UMKCден алган.
Эмне үчүн кол салууну аныктоо тутумун орнотуш керек?
Хакерлер, вирустар жана башка коркунучтар ар дайым тармакты текшерип, кирүүнүн жолун издешет. Бүткүл тармак бузулуп кетиши үчүн бир гана хакердик машина талап кылынат. Ушул себептерден улам, мен өз тутумуңуздун коопсуздугун камсыздап, Интернеттеги ар кандай коркунучтарды көзөмөлдөп туруу үчүн кирүүнү аныктоо тутумун түзүүнү сунуш кылам.
Snort - бул үйдү же корпоративдик тармакты кол салуучулардан коргоо үчүн pfSense брандмауэрине оңой орнотула турган ачык булактуу IDS. Снорт баскынчылыктын алдын алуу тутуму (IPS) катары иштей тургандай кылып конфигурацияланып, аны өтө ийкемдүү кылат.
Бул макалада мен Snort'ту pfSense 2.0 орнотуу жана конфигурациялоо процесси жөнүндө айтып берем, андыктан трафикти реалдуу убакытта анализдей баштайсыз.
Snort топтомун орнотуу
Snort менен баштоо үчүн, pfSense таңгак менеджери аркылуу пакетти орнотушуңуз керек. Топтом менеджери pfSense веб GUI тутумунун менюсунда жайгашкан.
Пакеттердин тизмесинен Snortту таап, орнотууну баштоо үчүн оң жактагы плюс белгисин чыкылдатыңыз.
Снорттун орнотулушуна эки мүнөт кетиши кадыресе көрүнүш, анын pfSense алгач жүктөп алып орнотушу керек болгон бир нече көзкарандылыгы бар.
Орнотуу аяктагандан кийин Snort кызматтар менюсунда көрүнөт.
Snortту pfSense таңгак менеджери аркылуу орнотсо болот.
Oinkmaster кодун алуу
Snort пайдалуу болушу үчүн, аны акыркы эрежелер топтому менен жаңыртыш керек. Snort пакети бул эрежелерди сиз үчүн автоматтык түрдө жаңырта алат, бирок алгач Oinkmaster кодун алышыңыз керек.
Snort эрежелеринин эки башка топтому бар:
- Жазылуучулардын чыгарылышы - бул эң заманбап эрежелер топтому. Бул эрежелерге реалдуу убакытта жетүү үчүн акы төлөнүүчү жылдык жазылуу талап кылынат.
- Эрежелердин башка версиясы - колдонуучунун катталган чыгарылышы, ал Snort.org сайтына катталгандарга толугу менен акысыз.
Эки эрежелер топтомунун негизги айырмачылыгы, катталган колдонуучунун чыгарылышындагы эрежелер жазылуу эрежелеринен 30 күнгө артта калгандыгында. Эгер сиз эң заманбап коргоону кааласаңыз, жазылууну алышыңыз керек.
Oinkmaster кодуңузду алуу үчүн төмөнкү кадамдарды аткарыңыз:
- Керектүү версияны жүктөп алуу үчүн Snort Rules веб-баракчасына баш багыңыз.
- 'Эсепке жазылууну' чыкылдатып, Snort каттоо эсебин түзүңүз.
- Эсебиңизди ырастагандан кийин, Snort.org сайтына кириңиз.
- Жогорудагы шилтеме тилкесинде 'Менин каттоо эсебимди' чыкылдатыңыз.
- 'Жазылуулар жана Oinkcode' кошумча барагын чыкылдатыңыз.
- Oinkcodes шилтемесин чыкылдатып, андан кийин 'Кодду түзүү' баскычын чыкылдатыңыз.
Код сиздин эсебиңизде сакталып кала берет, андыктан керек болсо кийинчерээк алсаңыз болот. Бул кодду pfSense программасында Snort орнотууларына киргизүү керек болот.
Snort.org сайтынан эрежелерди жүктөө үчүн Oinkmaster коду талап кылынат.
Снортто Oinkmaster кодун киргизүү
Oinkcode алгандан кийин, аны Snort таңгактагы орнотууларга киргизүү керек. Snort орнотуулары барагы веб интерфейстин кызматтар менюсунда пайда болот. Эгер ал көрүнбөсө, таңгак орнотулгандыгын текшерип, керек болсо пакетти кайра орнотуңуз.
Oinkcode Snort орнотууларынын глобалдык орнотуулар барагына киргизилиши керек. Ошондой эле, Өнүгүп келе жаткан Коопсуздук эрежелерин иштетүү үчүн кутучаны белгилегенди жакшы көрөм. ET эрежелери ачык булактуу жамаат тарабынан жүргүзүлөт жана Snort топтомунан табылбашы мүмкүн болгон кошумча эрежелерди камтыйт.
Автоматтык жаңыртуу
Демейки боюнча, Snort топтому эрежелерди автоматтык түрдө жаңыртпайт. Сунушталган жаңыртуу аралыгы 12 саатта бир жолу болот, бирок сиз аны айлана-чөйрөңүзгө ылайыктап өзгөртө аласыз.
Өзгөртүүлөрдү жасап бүткөндөн кийин "сактоо" баскычын басууну унутпаңыз.
Эрежелерди кол менен жаңыртуу
Снорт эч кандай эрежелерди сактабайт, андыктан аларды биринчи жолу кол менен жаңыртышыңыз керек. Кол менен жаңыртууну жүргүзүү үчүн, жаңыртуулар өтмөгүн чыкылдатып, андан соң жаңыртуу эрежелери баскычын чыкылдатыңыз.
Топтом Snort.org сайтынан акыркы эрежелер топтомун жүктөйт, эгерде сизде ушундай мүмкүнчүлүк бар болсо, анда пайда болуп жаткан коркунучтар.
Жаңыртуулар аяктагандан кийин, эрежелер чыгарылып, андан кийин колдонууга даяр болот.
Snort биринчи орнотулганда, эрежелер кол менен жүктөлүшү керек.
Интерфейстерди кошуу
Снорт кирүүнү аныктоо тутуму катары иштей баштоодон мурун, аны көзөмөлдөө үчүн интерфейстерди бөлүшүңүз. Кадимки конфигурация Snort үчүн WAN интерфейстерин көзөмөлдөйт. Башка кеңири таралган конфигурация - Snort WAN жана LAN интерфейсин көзөмөлдөшү керек.
LAN интерфейсин көзөмөлдөө тармактын ичинде болуп жаткан чабуулдарды бир аз көрүнүп турушу мүмкүн. LAN тармагындагы компьютер зыяндуу программаны жуктуруп, тармактын ичинде жана сыртында тутумдарга чабуул жасай башташы сейрек эмес.
Интерфейсти кошуу үчүн, Snort интерфейсинин кошумча бөлүгүндөгү белгини чыкылдатыңыз.
Интерфейсти конфигурациялоо
Интерфейсти кошуу баскычын чыкылдаткандан кийин, интерфейс орнотуулары барагын көрөсүз.Орнотуулар барагында көптөгөн параметрлер бар, бирок бир нечеси гана иштей башташы керек деп кооптонушуңуз керек.
- Алгач, барактын жогору жагындагы иштетүү кутучасын белгилеңиз.
- Андан кийин, конфигурациялоону каалаган интерфейсти тандаңыз (бул мисалда мен биринчи WANды конфигурациялап жатам).
- Эстутумдун аткарылышын AC-BNFA кылып коюңуз.
- Barnyard2 иштеши үчүн "unified2 файлын уктуруу үчүн журналы жөнүндө эскертүүлөр" кутучасын белгилеңиз.
- Сактоону чыкылдатыңыз.
Эгер сиз иштеп жаткан болсоңуз көп каналдуу роутер, сиз барып, тутумуңуздагы башка WAN интерфейстерин конфигурациялай аласыз. Ошондой эле LAN интерфейсин кошууну сунуштайм.
Интерфейстерди баштаардан мурун, ар бир интерфейс үчүн дагы бир нече жөндөөлөрдү конфигурациялоо керек. Кошумча орнотууларды конфигурациялоо үчүн, Snort интерфейстери өтмөгүнө кайтып, интерфейстин жанындагы барактын оң жагындагы 'E' белгисин чыкылдатыңыз. Бул сизди ошол интерфейстин конфигурация барагына алып барат. Интерфейс үчүн иштетиле турган эреже категорияларын тандоо үчүн, категориялар өтмөгүн чыкылдатыңыз. Бардык аныктоо эрежелери категорияларга бөлүнөт. Өнүгүп келе жаткан коркунучтардан эрежелерди камтыган категориялар "пайда болуу" менен башталат, ал эми Snort.org сайтындагы эрежелер "шыңгыроо" менен башталат. Категорияларды тандап алгандан кийин, барактын ылдый жагындагы сактоо баскычын чыкылдатыңыз. Эрежелерди категорияларга бөлүү менен, сиз өзүңүздү кызыктырган айрым категорияларды гана иштете аласыз. Жалпы категориялардын айрымдарын иштетүүнү сунуштайм. Эгерде сиз тармакта веб же маалыматтар базасынын сервери сыяктуу белгилүү бир кызматтарды иштетип жаткан болсоңуз, анда сиз аларга тиешелүү категорияларды дагы иштетишиңиз керек. Кошумча категория күйгүзүлгөн сайын, Snort тутуму көбүрөөк ресурстарды талап кылаарын унутпоо керек. Бул ошондой эле жалган позитивдердин санын көбөйтүшү мүмкүн. Жалпысынан, өзүңүзгө керектүү топторду гана күйгүзсөңүз болот, бирок категориялар менен тажрыйба жүргүзүп, эмне жакшы иштей тургандыгын байкаңыз.Эрежелер категорияларын тандоо
Эрежелердин категорияларынын максаты эмне?
Эрежелер категориялары жөнүндө көбүрөөк маалыматты кантип алсам болот?
Эгер сиз категорияда кандай эрежелер бар экендигин билип, алар эмне кылаары жөнүндө көбүрөөк билгиңиз келсе, анда категорияны чыкылдатып койсоңуз болот. Бул категориядагы бардык эрежелердин тизмесине түздөн-түз шилтеме берет.
Популярдуу Snort эрежесинин категориялары
| Категориянын аталышы | Сүрөттөмө |
|---|---|
snort_botnet-cnc.rules | Белгилүү ботнет буйруктары жана башкаруу хосттору. |
snort_ddos.rules | Кызмат чабуулдарынан баш тартууну аныктайт. |
snort_scan.rules | Бул эрежелер порт издөөнү, Nessus зонддорун жана башка маалымат чогултуучу чабуулдарды аныктайт. |
snort_virus.rules | Белгилүү трояндардын, вирустардын жана курттардын кол тамгаларын аныктайт. Бул категорияны колдонуу абдан сунуш кылынат. |
Preprocessor жана Flow орнотуулары
Иштетилиши керек болгон алдын ала процессорлордун орнотуулары барагында бир нече орнотуулар бар. Көпчүлүк аныктоо эрежелери иштеши үчүн HTTP текшерүүсүн иштетүүнү талап кылат.
- HTTP текшерүү жөндөөлөрүнө ылайык, 'Нормалдаштыруу / Декоддоо үчүн HTTP Текшерүүсүн колдонуңуз'
- Препроцессордун жалпы орнотуулары бөлүмүндө 'Порт издөөнү' күйгүзүңүз
- Орнотууларды сактаңыз.
Интерфейстерди баштоо
Snort'ко жаңы интерфейс кошулганда, ал автоматтык түрдө иштей бербейт. Интерфейстерди кол менен баштоо үчүн, конфигурацияланган ар бир интерфейстин сол жагындагы жашыл ойнотуу баскычын чыкылдатыңыз.
Snort иштеп жатканда, интерфейстин аталышынын артындагы текст жашыл түстө пайда болот. Snortту токтотуу үчүн, интерфейстин сол жагында жайгашкан кызыл токтоо баскычын чыкылдатыңыз.
Снорттун башталышына тоскоол боло турган бир-эки жалпы көйгөйлөр бар.
Эгерде Snort башталбай калса
Эскертүүлөр текшерилүүдө
Snort ийгиликтүү конфигурацияланып, башталгандан кийин, эрежелерге дал келген трафик аныкталгандан кийин, сиз эскертүүлөрдү көрө башташыңыз керек.
Эгерде сиз эч кандай эскертүү көрө албасаңыз, анда ага бир аз убакыт бөлүп, андан кийин дагы бир жолу текшериңиз. Трафиктин көлөмүнө жана иштетилген эрежелерге жараша, кандайдыр бир эскертмелерди көрө электе бир аз убакыт талап кылынышы мүмкүн.
Эгер сиз эскертүүлөрдү алыстан көргүңүз келсе, анда "Системанын негизги журналдарына эскертүүлөрдү жөнөтүү" интерфейсинин жөндөөсүн күйгүзө аласыз. Тутум журналдарында пайда болгон эскертүүлөр болушу мүмкүн Syslog колдонуп алыстан каралды.
Бул макала так жана автордун билими боюнча туура. Мазмун маалыматтык же көңүл ачуу максатында гана иштелип чыккан жана ишкердик, каржылык, юридикалык жана техникалык маселелерде жеке кеңеш же кесипкөй кеңеш менен алмаштырылбайт.
