Snort IPS Nedir?

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
Snort, ağ paketlerini genellikle Snort ve topluluk tarafından oluşturulan bir dizi kuralla karşılaştırarak kötü niyetli ağ trafiğini tespit eden açık kaynaklı bir Saldırı Önleme Sistemi (IPS) yazılımıdır. Snort bir paket dinleme, paket kaydı ve saldırı önleme aracı olarak kullanılabilir.
Bu yazıda, Snort'u kurmanın, yapılandırmanın ve çalıştırmanın ilk adımlarını anlatacağım, böylece yeni kullanıcılar başlamak için bir temele sahip olacaklar.

Hızlı Kurulum

Snort'u Ubuntu'ya aşağıdaki komut ile kolayca kurabilirsiniz:

sudo apt-get install snort

Kali Linux

Kali kullanan arkadaşlarım için, snort paketini yüklemeye çalışırken bulunamadığını belirten bir mesaj alabilirsiniz. Bunun nedeni, dağıtımınızın apt aracılığıyla paket ararken kontrol ettiği depoların snort içermemesidir.

Bu sorunu çözmek için aşağıdaki depoları / Etc / apt / sources.list dosyasına ekleyebilirsiniz:

deb http://http.kali.org/kali kali-rolling main non-free contrib
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security sana/updates main contrib non-free
deb http://old.kali.org/kali moto main non-free contrib

Değişiklikleri uygulayın ve Snort'u yükleyin.
sudo apt-get update
sudo apt-get install snort

Kurulum​

Tüm Ağ Trafiğinin Günlüğe Kaydedilmesi

İlk olarak, ağ bağdaştırıcımızı karışık modda çalışacak şekilde yapılandıracağız. Bu, yalnızca kendisine atanmış olanlar yerine ağdaki tüm paketleri yakalayacağı anlamına gelir. Bu, WiFi ayarları veya komut satırı aracılığıyla yapılabilir.

sudo ip link set wlan0 promisc on

Yapılandırma Dosyasının Değiştirilmesi

Ayarların çoğu /etc/snort/snort.conf dosyasında yapılacaktır.

sudo vim /etc/snort/snort.conf

Bu dosya 9 bölüme ayrılmış birçok ayar seçeneği içerir. Değişikliklerimizin çoğu bölüm 1'de yapılacaktır.

snort1.png


Yapılandırma dosyasının 45. satırında HOME_NET değerini Any 'den izlemek istediğiniz ağa değiştireceğiz. Benim durumumda, bu 192.168.1.0/24.

snort2.png


Snort'un bunları algılayabilmesi ve kuralları uygulayabilmesi için çeşitli hizmetleri çalıştıran bağlantı noktalarını ve ana bilgisayarları dahil etmek üzere yapılandırma dosyasındaki diğer değişkenlere de bakmanızı öneririm.

Kurallar 7. adımda yer almaktadır. Kural dosyaları için sözdizimi şöyledir:

include /path/to/rule.rules

Bu durumda $RULE_PATH değişkeni /etc/snort dosyasına atıfta bulunur. Birden fazla kural dosyası ekleyebilir ve kendi kurallarınızı /etc/snort/local.rules veya kendi kurallarınız için yapılandırdığınız dosya adına ekleyebilirsiniz. Bu yapı, farklı kural kümelerini organize etmenize ve düzenli tutmanıza olanak tanır.

snort3.png


Not: En son topluluk kurallarını indirmek istiyorsanız, bunları resmi web sitesinde bulabilirsiniz. Tar dosyasını çıkarmalı ve kural dosyalarını /etc/snort/snort.conf dosyasına eklemelisiniz.


Snort'u çalıştırın​

Yapılandırma dosyasını oluşturduktan sonra, aşağıdaki komutla her şeyin doğru çalışıp çalışmadığını kontrol edebilirsiniz:

sudo snort -T -i wlan0 -c /etc/snort/snort.conf

Çok fazla çıktı göreceksiniz. Bu çıktıda dikkat etmeniz gereken en önemli şey Snort kurallarıdır. Burada kaç tane kuralın yüklendiğini görebileceksiniz.

snort4.png


Snort'u bir arkaplan olarak çalıştırmak için -T seçeneğini -D olarak değiştireceksiniz.

sudo snort -D -i eth0 -c /etc/snort/snort.conf

Çalıştığını doğrulamak için ps komutunu kullanabilirsiniz.

ps aux | grep snort

Snort'tan gelen tüm bildirimler, bir komut satırı parametresinde aksi belirtilmedikçe /var/log/snort/alert adresine gönderilecektir.
 
Geri
Üst