Internet

Cara Mengatur Deteksi Intrusi Menggunakan Snort di pfSense 2.0

Pengarang: Peter Berry
Tanggal Pembuatan: 18 Juli 2021
Tanggal Pembaruan: 10 Boleh 2024
Anonim
How To Setup Snort on pfSense - Intrusion Detection & OpenAppID
Video: How To Setup Snort on pfSense - Intrusion Detection & OpenAppID

Isi

Sam bekerja sebagai analis jaringan untuk perusahaan perdagangan algoritmik. Ia memperoleh gelar Sarjana Teknologi Informasi dari UMKC.

Mengapa Mengatur Sistem Deteksi Intrusi?

Peretas, virus, dan ancaman lainnya terus-menerus menyelidiki jaringan Anda, mencari cara untuk masuk. Hanya perlu satu mesin yang diretas agar seluruh jaringan dapat disusupi. Untuk alasan ini, saya sarankan menyiapkan sistem deteksi intrusi sehingga Anda dapat menjaga sistem Anda tetap aman dan memantau berbagai ancaman di Internet.

Snort adalah IDS open source yang dapat dengan mudah diinstal pada firewall pfSense untuk melindungi jaringan rumah atau perusahaan dari penyusup. Snort juga dapat dikonfigurasi untuk berfungsi sebagai sistem pencegahan intrusi (IPS), sehingga sangat fleksibel.


Dalam artikel ini, saya akan memandu Anda melalui proses penginstalan dan konfigurasi Snort di pfSense 2.0 sehingga Anda dapat mulai menganalisis lalu lintas secara real-time.

Menginstal Paket Snort

Untuk memulai dengan Snort Anda harus menginstal paket menggunakan manajer paket pfSense. Manajer paket terletak di menu sistem GUI web pfSense.

Temukan Snort dari daftar paket dan kemudian klik simbol plus di sisi kanan untuk memulai instalasi.

Biasanya snort memerlukan beberapa menit untuk menginstal, ia memiliki beberapa dependensi yang harus diunduh dan diinstal terlebih dahulu oleh pfSense.

Setelah instalasi selesai, Snort akan muncul di menu layanan.

Snort dapat diinstal menggunakan manajer paket pfSense.

Memperoleh Kode Oinkmaster

Agar Snort berguna, Snort perlu diperbarui dengan seperangkat aturan terbaru. Paket Snort dapat secara otomatis memperbarui aturan ini untuk Anda, tetapi pertama-tama Anda harus mendapatkan kode Oinkmaster.

Ada dua set aturan Snort berbeda yang tersedia:

  • Kumpulan rilis pelanggan adalah kumpulan aturan terbaru yang tersedia. Akses waktu nyata ke aturan ini membutuhkan langganan tahunan berbayar.
  • Versi aturan lainnya adalah rilis pengguna terdaftar yang sepenuhnya gratis bagi siapa saja yang mendaftar di situs Snort.org.

Perbedaan utama antara dua set aturan adalah aturan dalam rilis pengguna terdaftar 30 hari di belakang aturan langganan. Jika Anda menginginkan perlindungan paling mutakhir, Anda harus berlangganan.

Ikuti langkah-langkah di bawah ini untuk mendapatkan kode Oinkmaster Anda:

  1. Kunjungi halaman web Snort rules untuk mengunduh versi yang Anda butuhkan.
  2. Klik 'Daftar Akun' dan buat akun Snort.
  3. Setelah Anda mengkonfirmasi akun Anda, login di Snort.org.
  4. Klik 'Akun Saya' di bilah tautan atas.
  5. Klik pada tab 'Langganan dan Oinkcode'.
  6. Klik pada link Oinkcode dan kemudian klik 'Generate code'.

Kode akan tetap disimpan dalam akun Anda sehingga Anda bisa mendapatkannya nanti jika diperlukan. Kode ini perlu dimasukkan ke dalam pengaturan Snort di pfSense.


Kode Oinkmaster diperlukan untuk mengunduh aturan dari Snort.org.

Memasukkan Kode Oinkmaster di Snort

Setelah mendapatkan Oinkcode, kode tersebut harus dimasukkan dalam pengaturan paket Snort. Halaman pengaturan Snort akan muncul di menu layanan antarmuka web. Jika tidak terlihat, pastikan paket telah diinstal dan instal ulang paket tersebut jika diperlukan.

Oinkcode harus dimasukkan pada halaman pengaturan global dari pengaturan Snort. Saya juga ingin mencentang kotak untuk mengaktifkan aturan Ancaman yang Muncul juga. Aturan ET dikelola oleh komunitas sumber terbuka dan dapat memberikan beberapa aturan tambahan yang mungkin tidak ditemukan di kumpulan Snort.

Pembaruan Otomatis

Secara default, paket Snort tidak akan memperbarui aturan secara otomatis. Interval pembaruan yang disarankan adalah setiap 12 jam sekali, tetapi Anda dapat mengubahnya agar sesuai dengan lingkungan Anda.

Jangan lupa untuk mengklik tombol 'simpan' setelah Anda selesai melakukan perubahan.

Memperbarui Aturan Secara Manual

Snort tidak memiliki aturan apa pun, jadi Anda harus memperbaruinya secara manual untuk pertama kali. Untuk menjalankan pembaruan manual, klik pada tab pembaruan dan kemudian klik tombol aturan pembaruan.

Paket akan mengunduh kumpulan aturan terbaru dari Snort.org dan juga Ancaman yang Muncul jika Anda memilih opsi itu.

Setelah pembaruan selesai, aturan akan diekstrak dan kemudian siap digunakan.

Aturan harus diunduh secara manual saat pertama kali Snort disiapkan.

Menambahkan Antarmuka

Sebelum Snort dapat mulai berfungsi sebagai sistem deteksi intrusi, Anda harus menetapkan antarmuka untuk dipantau. Konfigurasi tipikal adalah untuk Snort untuk memantau setiap antarmuka WAN. Konfigurasi paling umum lainnya adalah Snort untuk memantau antarmuka WAN dan LAN.

Memantau antarmuka LAN dapat memberikan visibilitas terhadap serangan yang terjadi dari dalam jaringan Anda. Tidak jarang PC di jaringan LAN terinfeksi malware dan mulai meluncurkan serangan pada sistem di dalam dan di luar jaringan.

Untuk menambahkan antarmuka, klik simbol plus yang ditemukan di tab antarmuka Snort.

Konfigurasi Antarmuka

Setelah mengklik tombol add interface, Anda akan melihat halaman pengaturan antarmuka.Halaman pengaturan berisi banyak opsi, tetapi hanya ada beberapa yang benar-benar perlu Anda khawatirkan untuk menyiapkan dan menjalankan semuanya.

  1. Pertama, centang kotak aktifkan di bagian atas halaman.
  2. Selanjutnya, pilih antarmuka yang ingin Anda konfigurasikan (dalam contoh ini saya mengonfigurasi WAN terlebih dahulu).
  3. Setel kinerja memori ke AC-BNFA.
  4. Centang kotak "Log Alerts to snort unified2 file" sehingga barnyard2 akan berfungsi.
  5. Klik simpan.

Jika Anda menjalankan file router multi-wan, Anda dapat melanjutkan dan mengkonfigurasi antarmuka WAN lain di sistem Anda. Saya juga merekomendasikan menambahkan antarmuka LAN.

Memilih Kategori Aturan

Sebelum Anda memulai antarmuka, ada beberapa pengaturan lagi yang perlu dikonfigurasi untuk setiap antarmuka. Untuk mengkonfigurasi pengaturan tambahan, kembali ke tab Antarmuka Snort dan klik simbol 'E' di sisi kanan halaman di sebelah antarmuka. Ini akan membawa Anda kembali ke halaman konfigurasi untuk antarmuka tersebut.

Untuk memilih kategori aturan yang harus diaktifkan untuk antarmuka, klik pada tab kategori. Semua aturan deteksi dibagi menjadi beberapa kategori. Kategori yang berisi aturan dari Ancaman yang Muncul akan dimulai dengan 'muncul', dan aturan dari Snort.org dimulai dengan 'mendengus.'

Setelah memilih kategori, klik tombol simpan di bagian bawah halaman.

Apa Tujuan Kategori Aturan?

Dengan membagi aturan ke dalam kategori, Anda hanya dapat mengaktifkan kategori tertentu yang Anda minati. Saya sarankan mengaktifkan beberapa kategori yang lebih umum. Jika Anda menjalankan layanan tertentu di jaringan Anda seperti web atau server database, Anda juga harus mengaktifkan kategori yang berkaitan dengannya.

Penting untuk diingat bahwa Snort akan membutuhkan lebih banyak sumber daya sistem setiap kali kategori tambahan diaktifkan. Ini juga dapat meningkatkan jumlah positif palsu. Secara umum, yang terbaik adalah mengaktifkan hanya grup yang Anda butuhkan, tetapi jangan ragu untuk bereksperimen dengan kategori dan lihat mana yang paling berhasil.

Bagaimana Saya Dapat Memperoleh Informasi Lebih Lanjut Tentang Kategori Aturan?

Jika Anda ingin mengetahui aturan apa saja yang ada dalam sebuah kategori dan mempelajari lebih lanjut tentang apa yang mereka lakukan, maka Anda dapat mengklik kategori tersebut. Ini akan menautkan Anda langsung ke daftar semua aturan dalam kategori.

Kategori Snort Rule Populer

Ini adalah beberapa kategori aturan Snort terpopuler yang mungkin ingin Anda aktifkan.

Nama KategoriDeskripsi

snort_botnet-cnc.rules

Menargetkan perintah botnet dan host kontrol yang diketahui.

snort_ddos.rules

Mendeteksi serangan penolakan layanan.

snort_scan.rules

Aturan ini mendeteksi pemindaian port, probe Nessus, dan serangan pengumpulan informasi lainnya.

snort_virus.rules

Mendeteksi tanda tangan trojan, virus, dan worm yang dikenal. Sangat disarankan untuk menggunakan kategori ini.

Preprocessor dan Pengaturan Flow

Ada beberapa pengaturan di halaman pengaturan praprosesor yang harus diaktifkan. Banyak aturan deteksi yang mengharuskan pengaktifan pemeriksaan HTTP agar dapat berfungsi.

  1. Di bawah HTTP inspect settings, aktifkan 'Use HTTP Inspect to Normalize / Decode'
  2. Di bagian pengaturan preprocessor umum, aktifkan 'Portscan Detection'
  3. Simpan pengaturannya.

Memulai Antarmuka

Ketika antarmuka baru ditambahkan ke Snort, itu tidak secara otomatis mulai berjalan. Untuk memulai antarmuka secara manual, klik tombol putar hijau di sisi kiri setiap antarmuka yang dikonfigurasi.

Saat Snort berjalan, teks di belakang nama antarmuka akan muncul dalam warna hijau. Untuk menghentikan Snort, klik tombol stop merah yang terletak di sisi kiri antarmuka.

Jika Snort Gagal Memulai

Ada beberapa masalah umum yang dapat mencegah Snort dimulai.

  • Periksa aturannya: Untuk memverifikasi penginstalan aturan, klik pada tab pembaruan dan cari hash di bawah bagian set aturan tanda tangan yang diinstal. Anda akan melihat sesuatu seperti SNORT.ORG> "59b31f005c3d4ead427cba4b02fffd70."
  • Pengaturan preprocessor: Beberapa aturan mengharuskan opsi pemeriksaan HTTP diaktifkan di setelan praprosesor, jadi pastikan Anda telah mengaktifkan fitur ini.
  • Periksa log sistem: Jika Snort mengalami kesalahan, Anda akan melihat pesan di log sistem. Log sistem dapat ditemukan di Status / Log Sistem. Kesalahan sering kali memberi tahu Anda apa masalahnya.

Memeriksa Lansiran

Setelah Snort berhasil dikonfigurasi dan dimulai, Anda akan mulai melihat peringatan setelah traffic yang cocok dengan aturan terdeteksi.

Jika Anda tidak melihat peringatan apa pun, berikan sedikit waktu lalu periksa lagi. Diperlukan beberapa saat sebelum Anda melihat lansiran apa pun, bergantung pada jumlah lalu lintas dan aturan yang diaktifkan.

Jika Anda ingin melihat lansiran dari jarak jauh, Anda dapat mengaktifkan setelan antarmuka "Kirim lansiran ke log sistem utama". Peringatan yang muncul di log sistem dapat berupa dilihat dari jarak jauh menggunakan Syslog.

Artikel ini akurat dan benar sepanjang pengetahuan penulisnya. Konten hanya untuk tujuan informasi atau hiburan dan tidak menggantikan nasihat pribadi atau nasihat profesional dalam masalah bisnis, keuangan, hukum, atau teknis.

Pasal Sebelumnya

Nuansa dan Nada Hijau

Artikel Berikutnya.

45 Pembaruan Status Facebook: Ide Tentang Kehidupan

Artikel Baru

Baca Hari Ini

Januari 2018 Pembuatan PC Gaming
 Komputer

Januari 2018 Pembuatan PC Gaming

aya hanya orang kecil yang melakukan pekerjaan normal ebagai a i ten dokter. emangat aya adalah membangun PC dan menguji / meninjau perangkat kera PC.Halo emuanya. Akankah di ini dan hari ini, aya me...
Bagaimana Melakukan Pernyataan IF Bersarang di Excel
 Komputer

Bagaimana Melakukan Pernyataan IF Bersarang di Excel

aya eorang akuntan dan uka bekerja di Excel. aya dan i tri memiliki bi ni fotografi dan undangan khu u .Mempelajari cara menggunakan pernyataan IF ber arang di Excel akan membuat hidup Anda lebih mud...