Renifler

Configurer Snort IDS et créer des règles

Configurer Snort IDS et créer des règles
Snort est un système de détection d'intrusion open source que vous pouvez utiliser sur vos systèmes Linux.  Ce tutoriel passera en revue la configuration de base de Snort IDS et vous apprendra à créer des règles pour détecter différents types d'activités sur le système.

Pour ce tutoriel le réseau que nous utiliserons est : 10.0.0.0/24.  Modifiez votre /etc/snort/snort.conf et remplacez le « any » à côté de $HOME_NET par les informations de votre réseau, comme indiqué dans l'exemple de capture d'écran ci-dessous :

Alternativement, vous pouvez également définir des adresses IP spécifiques à surveiller séparées par des virgules entre [ ] comme indiqué dans cette capture d'écran :

Commençons maintenant et exécutons cette commande sur la ligne de commande :

# snort -d -l /var/log/snort/ -h 10.0.0.0/24 -A console -c /etc/snort/snort.conf

Où:
d= dit à snort d'afficher les données
l= détermine le répertoire des journaux
h= spécifie le réseau à surveiller
A= indique à snort d'imprimer les alertes dans la console
c= spécifie Snort le fichier de configuration

Permet de lancer une analyse rapide à partir d'un autre appareil en utilisant nmap :

Et voyons ce qui se passe dans la console snort :

Snort a détecté l'analyse, maintenant, également à partir d'un autre appareil permet d'attaquer avec DoS en utilisant hping3

# hping3 -c 10000 -d 120 -S -w 64 -p 21 --flood --rand-source 10.0.0.3

L'appareil affichant Snort détecte un trafic incorrect, comme illustré ici :

Puisque nous avons demandé à Snort d'enregistrer les journaux, nous pouvons les lire en exécutant :

# renifler -r

Introduction aux règles de Snort

Le mode NIDS de Snort fonctionne sur la base de règles spécifiées dans le fichier /etc/snort/snort.fichier de configuration.

Dans le reniflement.conf, nous pouvons trouver des règles commentées et non commentées comme vous pouvez le voir ci-dessous :

Le chemin des règles est normalement /etc/snort/rules , là nous pouvons trouver les fichiers de règles :

Voyons les règles contre les portes dérobées :

Il existe plusieurs règles pour empêcher les attaques de porte dérobée, étonnamment, il existe une règle contre NetBus, un cheval de Troie qui est devenu populaire il y a quelques décennies, regardons-le et j'expliquerai ses parties et son fonctionnement :

alert tcp $HOME_NET 20034 -> $EXTERNAL_NET tout (msg:"BACKDOOR NetBus Pro 2.0 connexion
établi" ; flux:du_serveur,établi ;
bits de flux:isset, porte dérobée.réseau_2.relier; contenu : "BN|10 00 02 00|" ; profondeur : 6 ; contenu : "|
05 00|"; depth:2; offset:8; classtype:misc-activity; sid:115; rev:9;)

Cette règle demande à snort d'alerter sur les connexions TCP sur le port 20034 transmettant à n'importe quelle source dans un réseau externe.

-> = spécifie le sens du trafic, dans ce cas de notre réseau protégé vers un réseau externe

message =  demande à l'alerte d'inclure un message spécifique lors de l'affichage

contenu = recherche de contenu spécifique dans le paquet. Il peut inclure du texte si entre " " ou des données binaires si entre | |
profondeur = Intensité d'analyse, dans la règle ci-dessus on voit deux paramètres différents pour deux contenus différents
décalage = indique à Snort l'octet de départ de chaque paquet pour commencer à rechercher le contenu
type de classe = indique de quel type d'attaque Snort alerte

sid:115 = identifiant de règle

Créer notre propre règle

Nous allons maintenant créer une nouvelle règle pour notifier les connexions SSH entrantes.  Ouvert /etc/snort/rules/votrerègle.des règles, et à l'intérieur, collez le texte suivant :

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"SSH entrant" ;
flux:sans état ; drapeaux:S+; sid:100006927; rév:1;)

Nous demandons à Snort d'alerter sur toute connexion TCP depuis n'importe quelle source externe vers notre port ssh (dans ce cas, le port par défaut), y compris le message texte "SSH INCOMING", où stateless indique à Snort d'ignorer l'état de la connexion.

Maintenant, nous devons ajouter la règle que nous avons créée à notre /etc/snort/snort.conf déposer. Ouvrez le fichier de configuration dans un éditeur et recherchez #7, qui est la section avec des règles. Ajoutez une règle non commentée comme dans l'image ci-dessus en ajoutant :

inclure $RULE_PATH/votrerègle.des règles

Au lieu de "votre règle.règles", définissez votre nom de fichier, dans mon cas c'était test3.des règles.

Une fois que c'est fait, exécutez à nouveau Snort et voyez ce qui se passe.

#snort -d -l /var/log/snort/ -h 10.0.0.0/24 -A console -c /etc/snort/snort.conf

ssh sur votre appareil depuis un autre appareil et voyez ce qui se passe :

Vous pouvez voir que SSH entrant a été détecté.

Avec cette leçon, j'espère que vous savez comment établir des règles de base et les utiliser pour détecter une activité sur un système.  Voir aussi un didacticiel sur Comment installer Snort et commencer à l'utiliser et le même didacticiel disponible en espagnol sur Linux.latitude.

Souris Le curseur saute ou se déplace de manière aléatoire lors de la saisie dans Windows 10
Le curseur saute ou se déplace de manière aléatoire lors de la saisie dans Windows 10
Si vous constatez que le curseur de votre souris saute ou se déplace tout seul, automatiquement, au hasard lors de la saisie sur un ordinateur portabl...
Souris Comment inverser le sens de défilement de la souris et des pavés tactiles dans Windows 10
Comment inverser le sens de défilement de la souris et des pavés tactiles dans Windows 10
Souris et Pavé tactiles rendent non seulement l'informatique facile, mais plus efficace et moins chronophage. Nous ne pouvons pas imaginer une vie san...
Souris Comment changer la taille, la couleur et le schéma du pointeur et du curseur de la souris sous Windows 10
Comment changer la taille, la couleur et le schéma du pointeur et du curseur de la souris sous Windows 10
Le pointeur et le curseur de la souris dans Windows 10 sont des aspects très importants du système d'exploitation. Cela peut également être dit pour d...