Snort là một lựa chọn phổ biến cho việc chạy một hệ thống phát hiện xâm nhập mạng hoặc NIDS. Nó giám sát dữ liệu gói được gửi và nhận thông qua một giao diện mạng cụ thể. NIDS có thể bắt các mối đe dọa nhắm vào các lỗ hổng hệ thống của bạn bằng cách sử dụng các công nghệ phân tích giao thức và phát hiện dựa trên chữ ký. Phần mềm NIDS, khi được cài đặt và định cấu hình thích hợp, có thể xác định các cuộc tấn công mới nhất, nhiễm phần mềm độc hại, hệ thống bị xâm nhập và vi phạm chính sách mạng. Trong hướng dẫn này, bạn sẽ tìm thấy hướng dẫn về cách cài đặt Snort trên CentOS 7

Snort là một trong những IDS  được sử dụng phổ biến nhất. Nó là nguồn mở, nhẹ, có sẵn trên nhiều nền tảng và có thể được cài đặt thoải mái ngay cả trên các phiên bản máy chủ đám mây nhỏ nhất. Mặc dù Snort có khả năng nhiều hơn là chỉ giám sát mạng, hướng dẫn này cho thấy cách cấu hình và chạy Snort trong chế độ NIDS với một thiết lập cơ bản mà sau này bạn có thể mở rộng khi cần thiết.

chuẩn bị máy chủ của bạn

Thiết lập cấu hình cơ bản của Snort trên CentOS khá đơn giản nhưng phải mất vài bước để hoàn thành. Trước tiên, bạn sẽ cần phải cài đặt tất cả các phần mềm tiên quyết để sẵn sàng cho máy chủ đám mây của bạn để cài đặt Snort. Cài đặt các thư viện cần thiết với lệnh sau đây.

Phiên bản Snort mới nhất tại thời điểm này cũng yêu cầu libnghttp2 có thể tải xuống và cài đặt bằng lệnh bên dưới.

Ngoài ra, hãy kiểm tra xem có thể truy cập libdnet bằng cách tạo liên kết symbolic link sau đây không.

Snort có thể được cài đặt với các gói có sẵn, giúp đơn giản hóa quá trình thiết lập một cách đáng kể, và cho phép bạn cài đặt Snort dễ dàng với yum. Ngoài ra, bạn có thể tải xuống và cài đặt Snort trên CentOS theo cách thủ công từ code. sau đây tôi sẽ chỉ cho cả hai phương pháp này.

Option 1. Installing with yum

Snort cung cấp các gói rpm thuận tiện cho CentOS 7, có thể được cài đặt đơn giản với các lệnh bên dưới.

Option 2. Installing from the source

Thiết lập Snort trên CentOS từ mã nguồn bao gồm một vài bước: tải xuống mã, cấu hình nó, biên dịch mã, cài đặt nó vào một thư mục thích hợp và cuối cùng cấu hình các quy tắc phát hiện.

Trước khi bắt đầu, bạn cũng sẽ cần các gói phát triển sau ngoài các điều kiện tiên quyết đã được cài đặt.

Khi đã cài đặt song, bạn tạo thư mục tải xuống tạm thời về thư mục chính của bạn và sau đó thay đổi thành thư mục đó bằng lệnh bên dưới.

Tải xuống gói nguồn DAQ mới nhất từ trang web Snort bằng lệnh wget bên dưới. Thay thế số phiên bản trong lệnh nếu có nguồn mới hơn.

Quá trình tải xuống sẽ chỉ mất vài giây khi hoàn thành trích xuất mã nguồn và chuyển vào thư mục mới bằng các lệnh sau.

Chạy kịch bản cấu hình bằng các giá trị mặc định của nó, sau đó biên dịch chương trình bằng lệnh make và cuối cùng là cài đặt DAQ.

Với DAQ được cài đặt, bạn có thể bắt đầu với Snort, thay đổi trở lại thư mục tải xuống.

Tiếp theo, tải về mã nguồn Snort với wget. Kiểm tra số phiên bản mới nhất từ trang web Snort và thay thế nó bằng lệnh sau nếu cần.

Sau khi tải xuống hoàn tất, trích xuất nguồn và thay đổi vào thư mục mới bằng các lệnh này.

Sau đó cấu hình cài đặt với kích hoạt nguồn, chạy và thực hiện cài đặt.

Cuối cùng, nếu bạn muốn chạy Snort trên CentOS như một dịch vụ trong nền, bạn nên tải xuống một tập lệnh khởi động từ tài liệu Snort. Sử dụng các lệnh sau để nhận và cài đặt tập lệnh khởi động cho hệ thống của bạn.

Khi thực hiện xong, tiếp tục bên dưới về cách thiết lập các tệp cấu hình.

Cấu hình Snort để chạy trong chế độ NIDS

Tiếp theo, bạn sẽ cần phải thiết lập Snort cho hệ thống của bạn. Điều này bao gồm chỉnh sửa một số tệp cấu hình, tải xuống các quy tắc mà Snort sẽ theo dõi và sử dụng Snort để chạy thử nghiệm.

Bắt đầu với việc cập nhật các thư viện được chia sẻ bằng cách sử dụng lệnh bên dưới.

Snort trên CentOS được cài đặt vào thư mục / usr/local/bin/snort, tạo symbolic link đến / usr/sbin/snort.

Thiết lập cấu trúc thư mục và tên người dùng

Để chạy Snort trên CentOS một cách an toàn mà không có quyền truy cập root, bạn nên tạo một người dùng không có đặc quyền mới và một nhóm người dùng mới cho daemon để chạy dưới.

Sau đó tạo cấu trúc thư mục để định cấu hình Snort, chỉ cần sao chép qua các lệnh bên dưới. Nếu bạn đã cài đặt Snort bằng yum, những thư mục này đã được thêm vào lúc cài đặt, nhưng hãy kiểm tra để chắc chắn.

phân quyền cho các thư mục mới cho phù hợp.

Tạo các tệp mới

Sau đó, nếu bạn đã cài đặt Snort từ mã nguồn, hãy sao chép các tệp cấu hình từ thư mục tải xuống qua /etc/snort. Bỏ qua điều này nếu bạn cài đặt Snort với yum.

Tiếp theo, bạn sẽ cần phải tải xuống các quy tắc phát hiện Snort sẽ tuân theo để xác định các mối đe dọa tiềm ẩn. Snort cung cấp ba tầng quy tắc, quy tắc cộng đồng, đăng ký và người đăng ký.

  • Quy tắc cộng đồng được cung cấp miễn phí mặc dù hơi bị giới hạn
  • Bằng cách đăng ký miễn phí trên trang web của họ, bạn sẽ có quyền truy cập vào mã Oink, cho phép bạn tải xuống các bộ quy tắc người dùng đã đăng ký.
  • Cuối cùng, các quy tắc người đăng ký chỉ có sẵn, cho người dùng có đăng ký hoạt động với dịch vụ Snort.

Tùy chọn 1. Sử dụng quy tắc cộng đồng

Nếu bạn chỉ muốn nhanh chóng kiểm tra Snort, hãy lấy các quy tắc cộng đồng bằng cách sử dụng wget với lệnh bên dưới.

Trích xuất các quy tắc và sao chép chúng vào thư mục cấu hình của bạn.

Theo mặc định, Snort trên CentOS có một số tệp quy tắc khác nhau không được bao gồm trong các quy tắc cộng đồng.

Tùy chọn 2. Lấy các quy tắc người dùng đã đăng ký

Đầu tiên bạn cần đăng ksy tài khoản tại đây

Đăng ký cho phép bạn truy cập để sử dụng mã Oink của họ để tải xuống các quy tắc người dùng đã đăng ký. Bạn có thể tìm thấy mã trong chi tiết tài khoản người dùng Snort.

Thay thế <oinkcode> trong lệnh sau bằng mã cá nhân của bạn.

Sau khi tải về, trích xuất các quy tắc và sao chép chúng vào thư mục cấu hình của bạn.

Quy tắc đặt cho người dùng đã đăng ký bao gồm một số lượng lớn các quy tắc phát hiện được định cấu hình sẵn hữu ích. Nếu bạn đã thử Snort với các quy tắc cộng đồng trước, bạn có thể kích hoạt các quy tắc bổ sung bằng cách bỏ ghi chú của chúng vào cuối tệp snort.conf.

Định cấu hình mạng và bộ quy tắc

Với các tệp cấu hình và quy tắc tại chỗ, hãy chỉnh sửa snort.conf để sửa đổi một vài tham số. Mở tệp cấu hình để chỉnh sửa bằng lệnh sau.

Tìm các phần này được hiển thị bên dưới trong tệp cấu hình và thay đổi các tham số

Trong cùng một tệp snort.conf, tìm unified2 và tiến hành cấu hình như sau

Cuối cùng, cuộn xuống dưới cùng của tệp để tìm danh sách các bộ quy tắc được bao gồm. Bạn sẽ cần phải bỏ ghi chú local.rules để cho phép Snort tải bất kỳ quy tắc tùy chỉnh nào.

Nếu bạn đang sử dụng các quy tắc cộng đồng, hãy thêm dòng bên dưới vào ruleset của bạn, ví dụ ngay bên dưới dòng local.rules của bạn.

Validating settings

Snort của bạn bây giờ đã sẵn sàng để chạy. Kiểm tra cấu hình bằng tham số -T để bật chế độ kiểm tra.

Sau khi chạy thử nghiệm cấu hình Snort, bạn sẽ nhận được một thông báo như ví dụ dưới đây.

Trong trường hợp bạn gặp phải lỗi, bản in ra phải cho bạn biết vấn đề là gì và khắc phục ở đâu. Hầu hết các vấn đề có thể thiếu tập tin hoặc thư mục mà bạn thường có thể giải quyết bằng cách thêm bất kỳ thứ gì bạn có thể đã bỏ lỡ trong cài đặt ở trên hoặc bằng cách đưa ra các dòng không cần thiết trong tệp snort.conf. Kiểm tra phần cấu hình và thử lại.

Running Snort in the background

Snort trên CentOS cung cấp một kịch bản khởi động để chạy dịch vụ trong nền. Snort có thể chạy với cấu hình bạn thiết lập bằng cách sử dụng lệnh dưới đây.

Kịch bản khởi động cũng bao gồm các lệnh systemctl thông thường khác: dừng, khởi động lại và trạng thái. Ví dụ, bạn có thể kiểm tra trạng thái của dịch vụ bằng lệnh sau đây.

Tài liệu tham khảo snort 03 centos7

Leave a Reply

avatar
  Subscribe  
Notify of