Efni.
- Hvers vegna að setja upp uppgötvunarkerfi?
- Setja upp hrotupakkann
- Að fá Oinkmaster kóða
- Fylgdu skrefunum hér að neðan til að fá Oinkmaster kóðann þinn:
- Sláðu inn Oinkmaster kóðann í hrotunni
- Handvirkt uppfæra reglurnar
- Bæta við tengi
- Stilla viðmótið
- Velja regluflokka
- Hver er tilgangur regluflokka?
- Hvernig get ég fengið frekari upplýsingar um regluflokkana?
- Vinsælir flokkar hrotureglu
- Stillingar forvinnsluaðila og rennslis
- Að hefja tengi
- Ef hrotur tekst ekki að byrja
- Að leita að tilkynningum
Sam starfar sem netgreinandi hjá reikniritfyrirtæki. Hann lauk BS gráðu í upplýsingatækni frá UMKC.
Hvers vegna að setja upp uppgötvunarkerfi?
Tölvuþrjótar, vírusar og aðrar ógnir leita stöðugt í netkerfinu þínu og leita leiða til að komast inn. Það þarf aðeins eina tölvusnápur til að allt net geti orðið í hættu. Af þessum ástæðum mæli ég með því að setja upp uppgötvunarkerfi vegna ágangs svo að þú getir haldið kerfunum þínum öruggum og fylgst með ýmsum ógnum á Netinu.
Snort er auðkenni auðkennis sem auðvelt er að setja upp á pfSense eldvegg til að vernda heimili eða fyrirtækjanet fyrir boðflenna. Einnig er hægt að stilla hrotuna til að virka sem innrásarvörnarkerfi (IPS), sem gerir það mjög sveigjanlegt.
Í þessari grein mun ég leiða þig í gegnum ferlið við að setja upp og stilla Snort á pfSense 2.0 svo þú getir byrjað að greina umferð í rauntíma.
Setja upp hrotupakkann
Til að byrja með Snort þarftu að setja upp pakkann með pfSense pakkastjóra. Pakkastjóri er staðsettur í kerfisvalmynd pfSense vefur GUI.
Finndu Snort af pakkalistanum og smelltu síðan á plús táknið hægra megin til að hefja uppsetninguna.
Það er eðlilegt að hrjóta tekur nokkrar mínútur í uppsetningu, það hefur nokkrar háðir sem pfSense verður fyrst að hlaða niður og setja upp.
Eftir að uppsetningu er lokið mun Snort birtast í þjónustuvalmyndinni.
Hrotur er hægt að setja upp með pfSense pakkastjóra.
Að fá Oinkmaster kóða
Til þess að Snort sé gagnlegt þarf að uppfæra það með nýjustu reglugerðinni. Snortapakkinn getur sjálfkrafa uppfært þessar reglur fyrir þig, en fyrst verður þú að fá Oinkmaster kóða.
Það eru tvö mismunandi sett af hrotureglum í boði:
- Útgáfusett áskrifenda er nýjasta regluverkið sem völ er á. Í rauntímaaðgangi að þessum reglum þarf árlega áskrift að greiða.
- Hin útgáfan af reglunum er skráð útgáfa notenda sem er ókeypis fyrir alla sem skrá sig á Snort.org síðuna.
Helsti munurinn á reglusettunum tveimur er að reglurnar í skráðu notendaskránni eru 30 dögum á eftir áskriftarreglunum. Ef þú vilt fá nýjustu verndina ættirðu að fá áskrift.
Fylgdu skrefunum hér að neðan til að fá Oinkmaster kóðann þinn:
- Farðu á vefsíðu Snort reglna til að hlaða niður þeirri útgáfu sem þú þarft.
- Smelltu á 'Skráðu þig fyrir reikning' og stofnaðu Snort reikning.
- Eftir að þú hefur staðfest reikninginn þinn skaltu skrá þig inn á Snort.org.
- Smelltu á 'Reikningurinn minn' á efri hlekkjastikunni.
- Smelltu á flipann 'Áskriftir og Oinkcode'.
- Smelltu á Oinkcodes hlekkinn og smelltu síðan á 'Búa til kóða'.
Kóðinn verður áfram geymdur á reikningnum þínum svo þú getir fengið hann seinna ef þörf krefur. Þessa kóða verður að slá inn í hrotustillingarnar í pfSense.
Oinkmaster kóða er krafist til að hlaða niður reglum af Snort.org.
Sláðu inn Oinkmaster kóðann í hrotunni
Eftir að hafa fengið Oinkcode verður það að vera fært inn í stillingum Snort pakkans. Stillingarsíðan Hrotur birtist í þjónustuvalmynd vefviðmótsins. Ef það er ekki sýnilegt skaltu ganga úr skugga um að pakkinn sé uppsettur og setja upp pakkann aftur ef þörf krefur.
Oinkcode verður að slá inn á alþjóðlegu stillingarsíðunni í Snort stillingunum. Mér finnst líka gaman að merkja í reitinn til að virkja reglurnar um ógnandi ógn. ET-reglunum er haldið af opnu samfélagi og geta veitt nokkrar viðbótarreglur sem eru kannski ekki að finna í Snort-settinu.
Sjálfvirkar uppfærslur
Sjálfgefið, Snort pakkinn mun ekki uppfæra reglurnar sjálfkrafa. Ráðlagt uppfærslubil er einu sinni á 12 tíma fresti, en þú getur breytt þessu til að falla að umhverfi þínu.
Ekki gleyma að smella á 'vista' hnappinn þegar þú hefur lokið við að gera breytingarnar.
Handvirkt uppfæra reglurnar
Hrotur kemur ekki með neinar reglur, svo þú verður að uppfæra þær handvirkt í fyrsta skipti. Til að keyra handvirku uppfærsluna, smelltu á uppfærsluflipann og smelltu síðan á hnappinn fyrir uppfærslureglur.
Pakkinn mun hlaða niður nýjustu reglusettunum frá Snort.org og einnig ógnandi ef þú hefur valið þann möguleika.
Eftir að uppfærslunum er lokið verða reglurnar dregnar út og eru þá tilbúnar til notkunar.
Reglunum verður að hlaða niður handvirkt í fyrsta skipti sem Snort er sett upp.
Bæta við tengi
Áður en Snort getur byrjað að virka sem átroðningarkerfi verður þú að úthluta tengi til að fylgjast með því. Dæmigerð stilling er fyrir Snort að fylgjast með hvaða WAN tengi sem er. Önnur algengasta stillingin er að Snort fylgist með WAN og LAN tengi.
Eftirlit með LAN-tengi getur veitt sýnilegum árásum innan netkerfisins þíns. Það er ekki óalgengt að PC á LAN netinu smitist af spilliforritum og byrjar að ráðast á kerfi innan og utan netsins.
Til að bæta við viðmóti, smelltu á plús táknið sem er að finna á flipanum Snort tengi.
Stilla viðmótið
Eftir að smella á hnappinn Bæta við viðmóti, sérðu síðuna fyrir stillingar tengisins.Stillingasíðan inniheldur marga möguleika, en þeir eru aðeins fáir sem þú þarft virkilega að hafa áhyggjur af til að koma hlutunum í gang.
- Fyrst skaltu athuga virkjunarreitinn efst á síðunni.
- Veldu næst viðmótið sem þú vilt stilla (í þessu dæmi stilli ég WAN fyrst).
- Stilltu minni frammistöðu á AC-BNFA.
- Merktu við reitinn „Log Alerts to snort unified2 file“ svo barnyard2 muni virka.
- Smelltu á Vista.
Ef þú ert að keyra a multi-wan leið, getur þú haldið áfram og stillt önnur WAN tengi á vélinni þinni. Ég mæli líka með að bæta við LAN tengi.
Áður en þú byrjar viðmótið eru nokkrar fleiri stillingar sem þarf að stilla fyrir hvert viðmót. Til að stilla viðbótarstillingarnar skaltu fara aftur í flipann Snort tengi og smella á 'E' táknið hægra megin á síðunni við hliðina á viðmótinu. Þetta mun leiða þig aftur að stillingar síðu fyrir viðkomandi tengi. Til að velja þá regluflokka sem ættu að vera virkir fyrir viðmótið, smelltu á flokka flokka. Öllum greiningarreglum er skipt í flokka. Flokkar sem innihalda reglur frá ógnandi myndum munu byrja á „að koma upp“ og reglur frá Snort.org byrja með „hrjóta“. Eftir að þú hefur valið flokka, smelltu á Vista hnappinn neðst á síðunni. Með því að skipta reglunum í flokka geturðu aðeins virkjað þá tilteknu flokka sem þú hefur áhuga á. Ég mæli með að virkja nokkra af almennari flokkunum. Ef þú ert að keyra sérstakar þjónustur á netinu þínu, svo sem vefþjónustu eða gagnagrunnsþjón, þá ættir þú að gera kleift að flokka sem tilheyra þeim líka. Það er mikilvægt að muna að Snort mun þurfa meira á kerfisgögnum í hvert skipti sem kveikt er á viðbótarflokki. Þetta getur líka aukið fjölda rangra jákvæða. Almennt er best að kveikja aðeins á þeim hópum sem þú þarft en ekki hika við að gera tilraunir með flokkana og sjá hvað virkar best.Velja regluflokka
Hver er tilgangur regluflokka?
Hvernig get ég fengið frekari upplýsingar um regluflokkana?
Ef þú vilt komast að því hvaða reglur eru í flokki og læra meira um hvað þær gera, þá geturðu smellt á flokkinn. Þetta mun tengja þig beint við listann yfir allar reglur innan flokksins.
Vinsælir flokkar hrotureglu
| Flokkanafn | Lýsing |
|---|---|
snort_botnet-cnc.reglur | Miðar við þekktan stjórnanda og stjórn vélar botnet. |
snort_ddos.reglur | Skynjar afneitun á árásum á þjónustu. |
snort_scan.reglur | Þessar reglur uppgötva hafnarskannanir, Nessus-rannsóknir og aðrar árásir sem safna upplýsingum. |
snort_virus.reglur | Finnur undirskriftir þekktra tróverja, vírusa og orma. Það er mjög mælt með því að nota þennan flokk. |
Stillingar forvinnsluaðila og rennslis
Það eru nokkrar stillingar á stillingar síðu forvinnsluaðila sem ætti að vera virk. Margar greiningarreglurnar krefjast þess að HTTP-skoðun sé virk til að þær geti virkað.
- Kveiktu á 'Notaðu HTTP skoðun til að staðla / afkóða' undir HTTP skoðunarstillingum
- Í almennum stillingum kafla forvinnsluaðila skaltu virkja 'Portscan Detection'
- Vista stillingarnar.
Að hefja tengi
Þegar nýju viðmóti er bætt við Snort byrjar það ekki sjálfkrafa að keyra. Til að ræsa tengi handvirkt, smelltu á græna spilunarhnappinn vinstra megin við hvert viðmót sem er stillt.
Þegar Snort er í gangi birtist textinn á bak við heiti viðmótsins grænt. Til að stöðva Snort skaltu smella á rauða stopphnappinn vinstra megin viðmótið.
Það eru nokkur algeng vandamál sem geta komið í veg fyrir að Snortur byrji.
Ef hrotur tekst ekki að byrja
Að leita að tilkynningum
Eftir að Snort hefur verið stillt og byrjað, þá ættir þú að byrja að sjá viðvaranir þegar umferð sem passar við reglurnar hefur fundist.
Ef þú sérð engar viðvaranir, gefðu því smá tíma og athugaðu aftur. Það getur tekið nokkurn tíma áður en þú sérð einhverjar viðvaranir, háð því hversu mikið er um umferð og reglur sem eru virkar.
Ef þú vilt skoða viðvaranirnar lítillega geturðu gert viðmótsstillinguna „Senda viðvaranir í aðalkerfisdagbækur“. Tilkynningar sem birtast í kerfisskrám geta verið skoðað lítillega með Syslog.
Þessi grein er nákvæm og sönn eftir bestu vitund höfundar. Innihald er eingöngu til upplýsinga eða skemmtunar og kemur ekki í stað persónulegs ráðgjafar eða faglegrar ráðgjafar í viðskipta-, fjárhags-, lögfræðilegum eða tæknilegum málum.
