- Katılım
- 21 Ocak 2024
- Mesajlar
- 164
- Tepkime puanı
- 36
- Puanları
- 28
Snort, ağ paketlerini genellikle Snort ve topluluk tarafından oluşturulan bir dizi kuralla karşılaştırarak kötü niyetli ağ trafiğini tespit eden açık kaynaklı bir Saldırı Önleme Sistemi (IPS) yazılımıdır. Snort bir paket dinleme, paket kaydı ve saldırı önleme aracı olarak kullanılabilir.
Bu yazıda, Snort'u kurmanın, yapılandırmanın ve çalıştırmanın ilk adımlarını anlatacağım, böylece yeni kullanıcılar başlamak için bir temele sahip olacaklar.
Hızlı Kurulum
Snort'u Ubuntu'ya aşağıdaki komut ile kolayca kurabilirsiniz:
Kali Linux
Kali kullanan arkadaşlarım için, snort paketini yüklemeye çalışırken bulunamadığını belirten bir mesaj alabilirsiniz. Bunun nedeni, dağıtımınızın apt aracılığıyla paket ararken kontrol ettiği depoların snort içermemesidir.
Bu sorunu çözmek için aşağıdaki depoları / Etc / apt / sources.list dosyasına ekleyebilirsiniz:
Değişiklikleri uygulayın ve Snort'u yükleyin.
İlk olarak, ağ bağdaştırıcımızı karışık modda çalışacak şekilde yapılandıracağız. Bu, yalnızca kendisine atanmış olanlar yerine ağdaki tüm paketleri yakalayacağı anlamına gelir. Bu, WiFi ayarları veya komut satırı aracılığıyla yapılabilir.
Yapılandırma Dosyasının Değiştirilmesi
Ayarların çoğu /etc/snort/snort.conf dosyasında yapılacaktır.
Bu dosya 9 bölüme ayrılmış birçok ayar seçeneği içerir. Değişikliklerimizin çoğu bölüm 1'de yapılacaktır.
Yapılandırma dosyasının 45. satırında HOME_NET değerini Any 'den izlemek istediğiniz ağa değiştireceğiz. Benim durumumda, bu 192.168.1.0/24.
Snort'un bunları algılayabilmesi ve kuralları uygulayabilmesi için çeşitli hizmetleri çalıştıran bağlantı noktalarını ve ana bilgisayarları dahil etmek üzere yapılandırma dosyasındaki diğer değişkenlere de bakmanızı öneririm.
Kurallar 7. adımda yer almaktadır. Kural dosyaları için sözdizimi şöyledir:
Bu durumda $RULE_PATH değişkeni /etc/snort dosyasına atıfta bulunur. Birden fazla kural dosyası ekleyebilir ve kendi kurallarınızı /etc/snort/local.rules veya kendi kurallarınız için yapılandırdığınız dosya adına ekleyebilirsiniz. Bu yapı, farklı kural kümelerini organize etmenize ve düzenli tutmanıza olanak tanır.
Not: En son topluluk kurallarını indirmek istiyorsanız, bunları resmi web sitesinde bulabilirsiniz. Tar dosyasını çıkarmalı ve kural dosyalarını /etc/snort/snort.conf dosyasına eklemelisiniz.
Çok fazla çıktı göreceksiniz. Bu çıktıda dikkat etmeniz gereken en önemli şey Snort kurallarıdır. Burada kaç tane kuralın yüklendiğini görebileceksiniz.
Snort'u bir arkaplan olarak çalıştırmak için -T seçeneğini -D olarak değiştireceksiniz.
Çalıştığını doğrulamak için ps komutunu kullanabilirsiniz.
Snort'tan gelen tüm bildirimler, bir komut satırı parametresinde aksi belirtilmedikçe /var/log/snort/alert adresine gönderilecektir.
Bu yazıda, Snort'u kurmanın, yapılandırmanın ve çalıştırmanın ilk adımlarını anlatacağım, böylece yeni kullanıcılar başlamak için bir temele sahip olacaklar.
Hızlı Kurulum
Snort'u Ubuntu'ya aşağıdaki komut ile kolayca kurabilirsiniz:
sudo apt-get install snort
Kali Linux
Kali kullanan arkadaşlarım için, snort paketini yüklemeye çalışırken bulunamadığını belirten bir mesaj alabilirsiniz. Bunun nedeni, dağıtımınızın apt aracılığıyla paket ararken kontrol ettiği depoların snort içermemesidir.
Bu sorunu çözmek için aşağıdaki depoları / Etc / apt / sources.list dosyasına ekleyebilirsiniz:
deb http://http.kali.org/kali kali-rolling main non-free contrib
deb http://http.kali.org/kali sana main non-free contrib
deb http://security.kali.org/kali-security sana/updates main contrib non-free
deb http://old.kali.org/kali moto main non-free contrib
Değişiklikleri uygulayın ve Snort'u yükleyin.
sudo apt-get update
sudo apt-get install snort
Kurulum
Tüm Ağ Trafiğinin Günlüğe Kaydedilmesiİlk olarak, ağ bağdaştırıcımızı karışık modda çalışacak şekilde yapılandıracağız. Bu, yalnızca kendisine atanmış olanlar yerine ağdaki tüm paketleri yakalayacağı anlamına gelir. Bu, WiFi ayarları veya komut satırı aracılığıyla yapılabilir.
sudo ip link set wlan0 promisc on
Yapılandırma Dosyasının Değiştirilmesi
Ayarların çoğu /etc/snort/snort.conf dosyasında yapılacaktır.
sudo vim /etc/snort/snort.conf
Bu dosya 9 bölüme ayrılmış birçok ayar seçeneği içerir. Değişikliklerimizin çoğu bölüm 1'de yapılacaktır.
Yapılandırma dosyasının 45. satırında HOME_NET değerini Any 'den izlemek istediğiniz ağa değiştireceğiz. Benim durumumda, bu 192.168.1.0/24.
Snort'un bunları algılayabilmesi ve kuralları uygulayabilmesi için çeşitli hizmetleri çalıştıran bağlantı noktalarını ve ana bilgisayarları dahil etmek üzere yapılandırma dosyasındaki diğer değişkenlere de bakmanızı öneririm.
Kurallar 7. adımda yer almaktadır. Kural dosyaları için sözdizimi şöyledir:
include /path/to/rule.rules
Bu durumda $RULE_PATH değişkeni /etc/snort dosyasına atıfta bulunur. Birden fazla kural dosyası ekleyebilir ve kendi kurallarınızı /etc/snort/local.rules veya kendi kurallarınız için yapılandırdığınız dosya adına ekleyebilirsiniz. Bu yapı, farklı kural kümelerini organize etmenize ve düzenli tutmanıza olanak tanır.
Not: En son topluluk kurallarını indirmek istiyorsanız, bunları resmi web sitesinde bulabilirsiniz. Tar dosyasını çıkarmalı ve kural dosyalarını /etc/snort/snort.conf dosyasına eklemelisiniz.
wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
tar -xf snort3-community-rules.tar.gz
Snort'u çalıştırın
Yapılandırma dosyasını oluşturduktan sonra, aşağıdaki komutla her şeyin doğru çalışıp çalışmadığını kontrol edebilirsiniz:sudo snort -T -i wlan0 -c /etc/snort/snort.conf
Çok fazla çıktı göreceksiniz. Bu çıktıda dikkat etmeniz gereken en önemli şey Snort kurallarıdır. Burada kaç tane kuralın yüklendiğini görebileceksiniz.
Snort'u bir arkaplan olarak çalıştırmak için -T seçeneğini -D olarak değiştireceksiniz.
sudo snort -D -i eth0 -c /etc/snort/snort.conf
Çalıştığını doğrulamak için ps komutunu kullanabilirsiniz.
ps aux | grep snort
Snort'tan gelen tüm bildirimler, bir komut satırı parametresinde aksi belirtilmedikçe /var/log/snort/alert adresine gönderilecektir.