Snort ile Saldırı Tespiti

Bu makale, Snort’un nasıl kurulacağını ve bir Yetkisiz Giriş Tespit Sistemini başarılı bir şekilde uygulamak için Snort uyarıları ve kurallarını kullanmaya nasıl başlayacağınızı açıklamaktadır.

Snort, kötü amaçlı trafik gibi anormallikleri tespit etmek ve raporlamak için trafiği ve paketleri analiz eden bir İzinsiz Giriş Tespit Sistemidir. İzinsiz Giriş Tespit Sistemlerine aşina değilseniz, bunlarla ilgili nihai sonucu okumaya başlamak isteyebilirsiniz. Doğrudan pratik talimatlara geçmek istiyorsanız, okumaya devam edin.

Bu makaleyi okuduktan sonra Debian ve RedHat tabanlı Linux dağıtımları üzerinde Snort kurabilecek, farklı Snort modları ayarlayabilecek, uyarı ve kurallar tanımlayabileceksiniz. Bu eğitimdeki Snort kullanım talimatları tüm Linux dağıtımları için geçerlidir.

Bu belgedeki tüm talimatlar, tüm Linux kullanıcılarının bunları anlamasını ve uygulamasını kolaylaştırmak için ekran görüntüleri içerir.

Snort’u Yükleme

Aşağıdaki ekran görüntüsünde gösterildiği gibi, Debian veya Ubuntu’daki apt paket yöneticisini kullanarak Snort’u kurabilirsiniz:

sudo apt install snort

Kurulum işlemi sırasında, ağınızı tanımlamanız istenecektir. Bir sonraki adıma devam etmek için Tamam’a basın.

Şimdi, ağ adresinizi CIDR formatında yazın. Normalde, Snort otomatik olarak başarılı bir şekilde algılar.

Ardından, OK veya ENTER’a basın. Bu adım için endişelenmeyin; bu yapılandırma daha sonra düzenlenebilir.

Red Hat tabanlı Linux dağıtım kullanıcıları, Snort paketini https://www.snort.org/downloads#snort-downloads adresinden indirebilir ve ardından aşağıdaki komutu çalıştırarak yükleyebilir; burada <Sürüm>, kullandığınız geçerli sürümle değiştirilmelidir.

sudoyum snort-<<em>Version</em>>.rpm

Snort Kurallarını Güncel Tutmak

Snort iki ana kural türü içerir: Snort topluluğu tarafından geliştirilen topluluk kuralları ve resmi kurallar. Topluluk kurallarını varsayılan olarak her zaman güncelleyebilirsiniz. Ancak resmi kuralları güncellemek için, en son kuralları indirmenize izin veren bir kod olan Oink Koduna ihtiyacınız vardır.

Oink Kodu almak için https://www.snort.org/users/sign_up adresinden kayıt olun.

Kaydolduktan sonra, e-postanızdan hesabı onaylayın ve Snort sitesine giriş yapın.

Gösterge tablosunun sol tarafındaki menüde OinkCode’a basın, kodunuzu göreceksiniz.

https://www.snort.org/rules/snortrules-snapshot-<Version>.tar.gz?oinkcode=<OinkCode>

Benim durumumda, kuralları indirmek için Snort 2.9.15.1’i ve aşağıdaki bağlantıyı kullandım:

https://www.snort.org/rules/snortrules-snapshot-29151.tar.gz?oinkcode=15e4f48aab11b956bb27801172720f2be9f3686d

Kuralları indirmek ve uygun dizine çıkarmak için bir cron betiği oluşturabilirsiniz.

Snort’u Yapılandırma

Snort yapılandırma dosyası /etc/snort/snort.conf şeklindedir. Başlamadan önce, Debian kullanıcılarının aşağıda belirtilen adımları izlemesi gerekir. Diğer dağıtım kullanıcıları /etc/snort/snort.conf dosya sürümünden okumaya devam edebilir.

Debian kullanıcıları için not: Debian Linux, Snort varsayılan yapılandırma dosyasındaki bazı ağ ayarlarının üzerine yazar. /etc/snort dizini altında, Debian ağ ayarlarının import edildiği /etc/snort/snort.debian.conf dosyası bulunmaktadır.

Bir Debian kullanıcısıysanız, aşağıdaki kodu çalıştırın:

sudo nano /etc/snort/snort.debian.conf

CIDR adresi, ağ cihazı vb. dahil olmak üzere bu yapılandırma dosyasındaki tüm bilgilerin doğru olduğunu kontrol edin.

Dosya ‘yı kaydedin. Snort’u yapılandırmaya başlayalım.

Snort’u yapılandırmak için, /etc/snort/snort.conf dosyasını açmak için aşağıda gösterilen herhangi bir metin düzenleyiciyi kullanın (ben nano kullandım).

sudo nano /etc/snort/snort.conf

Ağ yapılandırmanızı kontrol edin ve aşağı kaydırın.

İzlemek istediğiniz bağlantı noktalarını tanımlayın.

Dosyayı kapatmayın ve sonraki bölümü okumaya devam edin (yapılandırma dosyasını açık tutun).

Snort Kuralları

Snort kuralları, /etc/snort/snort.conf dosyasındaki satırların yorumlanması veya yorumlanmasının kaldırılmasıyla etkinleştirilir veya devre dışı bırakılır. Ancak kurallar /etc/snort/rules dosyasında saklanır.

Kuralları etkinleştirmek veya devre dışı bırakmak için /etc/snort/snort.conf dosyasını bir metin düzenleyiciyle açın. Kurallar dosyanın sonunda bulunur.

Dosyanın sonuna geldiğinizde, farklı amaçlar için bir kurallar listesi göreceksiniz. Etkinleştirmek istediğiniz kuralların açıklamasını kaldırın ve devre dışı bırakmak istediğiniz kuralları yorumlayın.

Örneğin, DOS saldırılarıyla ilgili trafiği algılamak için DOS kuralının açıklamasını kaldırın. Veya 21 numaralı bağlantı noktalarını izlemek için FTP kuralının açıklamasını kaldırın.

sudo nano /etc/snort/snort.conf

Kuralların açıklamasını kaldırdıktan sonra belgeyi etkinleştirin, kaydedin ve çıkın.

7 Snort Uyarı Modu

Snort, olaylar veya olaylar hakkında bilgilendirilmek için 7 farklı uyarı modu içerir. 7 mod şunlardır:

  • Fast: Snort uyarıları, zaman damgasını, bir uyarı mesajı göndermeyi, kaynak ve hedef IP adreslerini ve bağlantı noktalarını göstermeyi içerir. Bu modu uygulamak için -A fast kullanın
  • Full: Ek olarak, hızlı modda önceden bildirilen bilgilerde, tam modda TTL, datagram uzunluğu ve paket başlıkları, pencere boyutu, ACK ve sıra numarası da yazdırılır. Bu modu uygulamak için -A full kullanın
  • Console: Konsolda gerçek zamanlı uyarıları gösterir. Bu mod -A console ile etkinleştirilir
  • Cmg: Bu mod yalnızca test amaçlı olarak kullanışlıdır.
  • Unsock: Bu, uyarıları Unix yuvalarına aktarmak için kullanılır.
  • Syslog: Bu mod (Sistem Günlüğü Protokolü), Snort’a uzak bir uyarı günlüğü göndermesi talimatını verir. Bu modu çalıştırmak için -s ekleyin
  • None: Uyarı yok.

Bu makaleyi bitirmek için, aşağıdaki komutu çalıştırarak tam modu deneyelim; burada -A fast, hızlı mod taramasını ve -c yapılandırma dosyasını (/etc/snort/snort.conf) belirtir.

sudo snort -A fast -c/etc/snort/snort.conf

Şimdi, bazı Nmap taramaları başlatın veya SSH veya FTP yoluyla bilgisayarınıza bağlanmayı deneyin ve trafiğin nasıl raporlandığını kontrol etmek için /var/log/snort/snort.alert.fast son satırlarını okuyun. Gördüğünüz gibi, agresif bir Nmap taraması başlattım ve bunun kötü niyetli bir trafik olduğu tespit edildi.

tail /var/log/snort/snort.alert.fast

Umarız bu eğitim, Snort’a iyi bir giriş niteliğindedir. Ancak Snort’u kullanmaya başlamak için Snort Uyarılarını ve Snort kuralları oluşturma öğreticilerini okuyarak öğrenmeye devam etmelisiniz.

Saldırı Tespit Sistemleri Hakkında

Genel düşünce, bir kişinin ağını bir güvenlik duvarı koruyorsa, ağın güvenli olduğu kabul edilir. Ancak, bu tamamen doğru değil. Güvenlik duvarları bir ağın temel bir bileşenidir, ancak ağı zorunlu girişlerden veya düşmanca amaçlardan tam olarak koruyamazlar. Saldırı Tespit Sistemleri, agresif veya beklenmeyen paketleri değerlendirmek ve bu programlar ağa zarar vermeden önce bir uyarı oluşturmak için kullanılır. Ana bilgisayar tabanlı Saldırı Tespit Sistemi, bir ağdaki tüm cihazlarda çalışır veya bir kuruluşun dahili ağına bağlanır. Bunun yerine, gelen ve giden tüm trafiğin izlenebileceği belirli bir nokta veya noktalar grubuna ağ tabanlı bir Saldırı Tespit Sistemi yerleştirilir. Ana bilgisayar tabanlı İzinsiz Giriş Tespit Sisteminin avantajı, ana bilgisayarın kötü amaçlı yazılımdan etkilenmesi gibi ana bilgisayarın kendisinden kaynaklanan anormallikleri veya kötü amaçlı trafiği de algılayabilmesidir. İzinsiz Giriş Tespit Sistemleri (IDS), saldırıları izleyerek ve analiz ederek çalışır. ağ trafiğini inceler ve ağ için nelerin normal kabul edilmesi gerektiğini (bağlantı noktaları, bant genişlikleri vb. için) ve nelere daha yakından bakılacağını belirlemek için yerleşik bir kural kümesiyle karşılaştırır.

Ağın boyutuna bağlı olarak bir Saldırı Tespit Sistemi kurulabilir. Düzinelerce kaliteli ticari IDS vardır, ancak birçok şirket ve küçük işletme bunları karşılayamaz. Snort, küçükten büyüğe değişen ağ ihtiyaçlarına göre dağıtılabilen ve ücretli bir IDS’nin tüm özelliklerini sağlayan esnek, hafif ve popüler bir Saldırı Tespit Sistemidir. Snort’un herhangi bir maliyeti yoktur ancak bu, elit, ticari bir IDS ile aynı işlevleri sağlayamayacağı anlamına gelmez. Snort, pasif bir IDS olarak kabul edilir, yani ağ paketlerini koklar, kural seti ile karşılaştırır ve kötü amaçlı bir günlük veya giriş tespit etmesi durumunda (bir izinsiz girişi tespit eder), bir uyarı oluşturur veya bir günlüğe bir giriş yerleştirir. dosya. Snort, yönlendiricilerin, güvenlik duvarlarının ve sunucuların işlemlerini ve etkinliklerini izlemek için kullanılır. Snort, IDS’ye aşina olmayan bir kişiye çok yardımcı olabilecek bir dizi kural seti içeren kullanıcı dostu bir arayüz sağlar. Snort, bir izinsiz giriş durumunda (arabellek taşması saldırıları, DNS zehirlenmesi, işletim sistemi parmak izi, bağlantı noktası taramaları ve çok daha fazlası) bir alarm oluşturarak bir kuruluşa ağ trafiğinin daha iyi görünürlüğünü sağlar ve güvenlik düzenlemelerini karşılamayı çok daha kolay hale getirir.

Özet

Snort gibi İzinsiz Giriş Tespit Sistemleri, kötü niyetli bir kullanıcı tarafından ağa zarar vermeden veya etkilemeden önce bir saldırı gerçekleştirildiğini tespit etmek için ağ trafiğini izlemek için kullanılır. Saldırgan bir ağda port taraması yaparsa, saldırı, yapılan girişim sayısı, saldırganın IP adresi ve diğer ayrıntılarla birlikte tespit edilebilir. Snort, her türlü anomaliyi tespit etmek için kullanılır. Kullanıcının ihtiyaçlarına göre kendi kurallarını yazma seçeneği ile birlikte, önceden yapılandırılmış çok sayıda kuralla birlikte gelir. Ağın boyutuna bağlı olarak Snort, diğer ücretli ticari Saldırı Tespit Sistemlerine kıyasla hiçbir harcama yapmadan kolayca kurulabilir ve kullanılabilir. Yakalanan paketler, saldırı sırasında saldırganın zihninden neler geçtiğini ve gerçekleştirilen tarama veya komut türlerini analiz etmek ve parçalamak için Wireshark gibi bir paket algılayıcı kullanılarak daha fazla analiz edilebilir. Snort ücretsiz, açık kaynaklı ve yapılandırması kolay bir araçtır. Herhangi bir orta ölçekli ağı bir saldırıdan korumak için harika bir seçim olabilir.

Yazının orijinalini buradan okuyabilirsiniz.

Görüntüleme: 58
Şununla etiketlenmiş: ,