- vừa được xem lúc

Phần 2 - Snort và hướng dẫn cài đặt snort cơ bản trên ubuntu

0 0 14

Người đăng: Manh Thin Nguyen

Theo Viblo Asia

Mở đầu

Tiếp tục series, đầu bài mình khái quát lại Phần 1 với Snort là một mã nguồn mở miễn phí với nhiều tính năng trong việc bảo vệ hệ thống bên trong, phát hiện sự tấn công từ bên ngoài vào hệ thống - một kiểu IDS/IPS, thực hiện giám sát các gói tin ra vào hệ thống.

Cấu hình snort

Các bước để tiến hành cấu hình snort: • Bước 1: Set the network variables – cấu hình các thành phần của mạng . • Bước 2: Configure the decoder : cấu hình thành phần module giải mã • Bước 3: Configure the base detection engine - công cụ phát hiện cơ sở. • Bước 4: Configure dynamic loaded libraries - thư viện được tải động • Bước 5: Configure preprocessors – Cấu hình tiền sử lý • Bước 6: Configure output plugins – cấu hình các plugin đầu ra • Bước 7: Customize your rule set – cấu hình luật • Bước 8: Customize preprocessor and decoder rule set – Cấu hình luật tiền xử lý và luật bộ giải mã • Bước 9: Customize shared object rule set – cấu hình bộ luật đối tượng chia sẻ

Các bước cấu hình chi tiết và demo

Cài đặt Snort:

Thực hiện update và cài đặt các gói hỗ trợ: Pcap, PCRE, libdnet, DAQ, lib

apt install -y build-essential
apt install -y libpcap-dev libpcre3-dev libdumbnet-dev
apt install -y bison flex
apt install -y zlib1g-dev liblzma-dev openssl libssl-dev libnghttp2-
dev

Tạo thư mục chứa sources code cài đặt và cài đặt:

mkdir -p ~/snort_src
cd ~/snort_src

Tải, giải nén, cài đặt gói DAQ:

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
tar -xzvf daq-2.0.7.tar.gz
cd daq-2.0.7
./configure
make
make install

Tải gói Snort:

Trong hướng dẫn này, mình sử dụng phiên bản 2.9.18.1 Các bạn có thể sử dụng các phiên bản mới hơn ở trang chủ nhé.

wget https://www.snort.org/downloads/snort/snort-2.9.18.1.tar.gz
tar -xzvf snort-2.9.18.1.tar.gz
cd snort-2.9.18.1
./configure --enable-sourcefire
make
make install

Cập nhật thư viện:

ldconfig

Tạo các thư mục Snort và các thư mục chứa các bộ rule

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/rules/iplists
mkdir /etc/snort/preproc_rules
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/so_rules

Tạo file để lưu trữ rule và danh sách IP

touch /etc/snort/rules/iplists/black_list.rules
touch /etc/snort/rules/iplists/white_list.rules
touch /etc/snort/rules/local.rules
touch /etc/snort/sid-msg.map

Tạo thư mục lưu trữ log

mkdir /var/log/snort
mkdir /var/log/snort/archived_logs

Phân quyền

chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /etc/snort/so_rules
chmod -R 5775 /usr/local/lib/snort_dynamicrules

Chuyển quyền

chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules

Sử dụng cấu hình có sẵn coppy vào thư mục /etc/snort

cd ~/snort_src/snort-2.9.18.1/etc/
cp *.conf* /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snort
cd~/snort_src/snort-2.9.18.1/src/dynamicpreprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
cp * /usr/local/lib/snort_dynamicpreprocessor

Chỉnh sửa các cấu hình cơ bản trong snort.conf

sudo nano /etc/snort/snort.conf

Chỉnh sửa HOMENET trong cấu hình image.png Thêm đường dẫn các thư mục chứa cấu hình Rules image.png

Cuối cùng, khởi động lại dịch vụ để áp đặt cấu hình mới nhất.

Kết luận

Như vậy là đã hoàn tất quá trình cài đặt snort với cấu hình cơ bản. Trong phần tiếp theo, mình sẽ thực hiện cấu hình các bộ luật phù hợp và demo tấn công để đưa ra cảnh báo! Nhớ theo dõi và upvote bài viết để mình ra phần tiếp theo sớm nhé! Thanks yall.

Bình luận

Bài viết tương tự

- vừa được xem lúc

Linux Hardening and System Auditing (P1)

. Ngày nay, các hệ thống Linux được sử dụng trong suốt quá trình tính toán, từ các hệ thống nhúng đến hầu như tất cả các siêu máy tính, đồng thời đảm bảo một vị trí quan trọng trong các hệ thống máy chủ trên toàn thế giới. Linux đem lại cho người dùng khả năng tùy biến cao, sự ổn định và độ tin cậy

0 0 43

- vừa được xem lúc

Tìm bug với Eyewitness

. Chào các bạn, trong bài này mình sẽ viết về tool Eyewitness. Eyewiteness có tính năng chính là chụp hình lại giao diện trang web sau đó tạo một report thông qua file .

0 0 35

- vừa được xem lúc

Tôi đã debug code PHP như nào!

. Nhân dịp đầu xuân năm mới, mình xin gửi lời chúc an lành tới tất cả thành viên của viblo.asia.

0 0 56

- vừa được xem lúc

OAuth 2.0 và vài vấn đề bảo mật liên quan (Phần 2)

III. Demo một số tấn công vào cơ chế OAuth. Trong phần này mình sẽ demo một số kiểu tấn công của OAuth dựa trên các bài lab được thiết kế bởi Portswigger. a.

0 0 97

- vừa được xem lúc

OAuth 2.0 và vài vấn đề bảo mật liên quan (Phần 1)

Trong thời đại công nghệ ngày nay, việc đăng nhập bằng các tài khoản của các nền tảng khác không phải điều gì xa lạ đối với mỗi người dùng chúng ta. Việc này khả thi nhờ một vài cơ chế khác nhau, một trong số đó là OAuth 2.

0 0 50

- vừa được xem lúc

Hành trình pass OSCP trong lần thi đầu tiên (2020)

Vào một chiều đông 17/12/2020, tôi nhận được cái email thông báo đã pass OSCP ngay lần thử đầu tiên. Sau đó, tôi bắt đầu tìm hiểu về Security và quyết định học cái gì đó cho riêng mình.

0 0 195