Exécutez Snort sur Linux et protégez votre réseau avec une analyse du trafic en temps réel et une détection des menaces. La sécurité est primordiale et Snort est de classe mondiale. Ce porc pourrait bien sauver votre bacon.

Qu'est-ce que Snort?

Snort est l'un des plus connus et des systèmes de détection d'intrusion réseau (NIDS). Il a été appelé l'un des les projets open source les plus importants de tous les temps. Développé à l'origine par Sourcefire, il a été maintenu par Cisco Groupe de recherche et de renseignement de sécurité Talos puisque Cisco a acquis Sourcefire en 2013.

Snort analyse le trafic réseau en temps réel et signale toute activité suspecte. En particulier, il recherche tout ce qui pourrait indiquer des tentatives d'accès non autorisées et d'autres attaques sur le réseau. Un ensemble complet de règles définir ce qui est considéré comme «suspect» et ce que Snort doit faire si une règle est déclenchée.

De la même manière que les packages antivirus et anti-malware s'appuient sur des définitions de signatures de virus à jour pour pouvoir vous identifier et vous protéger contre les menaces les plus récentes, les règles de Snort sont mises à jour et rééditées fréquemment afin que Snort fonctionne toujours à son optimum. efficacité.

Les règles de Snort

Il y a trois ensembles de règles:

• Règles de la communauté: Ce sont des ensembles de règles disponibles gratuitement, créés par la communauté d'utilisateurs de Snort.
• Règles enregistrées: Ces ensembles de règles sont fournis par Talos. Ils sont également disponibles gratuitement, mais vous devez vous inscrire pour les obtenir. L'inscription est gratuite et ne prend qu'un instant. Vous recevrez un oinkcode que vous devez inclure dans la demande de téléchargement.
• Règles d'abonnement: Ce sont les mêmes règles que les règles enregistrées. Cependant, les abonnés reçoivent les règles environ un mois avant leur publication en tant qu'ensembles de règles gratuits pour les utilisateurs enregistrés. Au moment de la rédaction de cet article, les abonnements de 12 mois commencent à 29 USD pour un usage personnel et à 399 USD pour un usage professionnel.

Installation de Snort

À une certaine époque, l'installation de Snort était un long processus manuel. Ce n’était pas difficile, mais il y avait beaucoup d’étapes et il était facile d’en rater une. Les principales distributions Linux ont simplifié les choses en rendant Snort disponible à partir de leurs référentiels logiciels.

Les versions dans les référentiels sont parfois en retard sur la dernière version disponible sur le site Web de Snort. Si vous le souhaitez, vous pouvez télécharger et installer à partir de la source. Tant que vous avez la dernière règles, peu importe si votre Snort n’est pas le plus récent et le plus performant – tant qu’il n’est pas ancien.

Pour rechercher cet article, nous avons installé Snort sur Ubuntu 20.04, Fedora 32 et Manjaro 20.0.1.

Pour installer Snort sur Ubuntu, utilisez cette commande:

sudo apt-get install snort

Au fur et à mesure de l'installation, quelques questions vous seront posées. Vous pouvez trouver les réponses à ces questions en utilisant le adresse IP commande avant de démarrer l'installation, ou dans une fenêtre de terminal distincte.

adresse IP

Prenez note du nom de votre interface réseau. Sur cet ordinateur de recherche, c'est enp0s3.

Regardez aussi votre adresse IP. Cet ordinateur a une adresse IP de 192.168.1.24. L'extra "/ 24" est routage inter-domaines sans classe (CIDR) notation. Cela nous indique la plage d'adresses réseau. Cela signifie que ce réseau a un masque de sous-réseau de 255.255.255.0, qui a trois premiers ensembles de huit bits (et 3 x 8 = 24). Vous n’avez pas à vous inquiéter à ce sujet, enregistrez simplement quelle que soit votre adresse IP, y compris la notation CIDR. Vous devez fournir cela comme réponse à l'une des questions, avec le dernier octet de l'adresse IP changé à zéro. Dans notre exemple, c'est 192.168.1.0/24.

Appuyez sur "Tab" pour mettre en surbrillance le bouton "OK", puis appuyez sur "Entrée".

Tapez le nom du nom de l'interface réseau et appuyez sur "Tab" pour mettre en surbrillance le bouton "OK", puis appuyez sur "Entrée".

Tapez la plage d'adresses réseau au format CIDR, appuyez sur "Tab" pour mettre en surbrillance le bouton "OK", puis appuyez sur "Entrée".

Pour installer Snort sur Fedora, vous devez utiliser deux commandes:

rpm -Uvh https://forensics.cert.org/cert-forensics-tools-release-32.rpm

sudo dnf installer snort

Sur Manjaro, la commande dont nous avons besoin n'est pas l'habituelle Pac-Man, c'est Pamac. Et nous n'avons pas besoin d'utiliser sudo:

pamac installer snort

Lorsqu'on vous demande si vous souhaitez créer Snort à partir de l'AUR (Référentiel d'utilisateurs Arch) appuyez sur "Y" et appuyez sur "Entrée". Nous ne souhaitons pas modifier les fichiers de compilation. Répondez à cette question en appuyant sur "N" et en appuyant sur "Entrée". Appuyez sur "Y" et appuyez sur "Entrée" lorsque vous êtes invité à appliquer la transaction.

Vous serez invité à entrer votre mot de passe.

Les versions de Snort qui ont été installées étaient:

• Ubuntu: 2.9.7.0
• Feutre: 2.9.16.1
• Manjaro: 2.9.16.1

Vous pouvez vérifier votre version en utilisant:

snort --version

Configurer Snort

Il y a quelques étapes à suivre avant de pouvoir exécuter Snort. Nous devons éditer le fichier «snort.conf».

sudo gedit /etc/snort/snort.conf

Localisez la ligne qui lit "ipvar HOME_NET tout”Et modifiez-le pour remplacer“ any ”par la plage d'adresses de notation CIDR de votre réseau.

Enregistrez vos modifications et fermez le fichier.

Mise à jour des règles de Snort

Pour vous assurer que votre copie de Snort offre le niveau de protection maximal, mettez à jour les règles avec la version la plus récente. Cela garantit que Snort a accès à l'ensemble le plus récent de définitions d'attaque et d'actions de protection.

Si vous vous êtes inscrit et avez obtenu votre propre oinkcode, vous pouvez utiliser la commande suivante pour télécharger l'ensemble de règles pour les utilisateurs enregistrés. Le Snort page de téléchargement répertorie les ensembles de règles disponibles, y compris l'ensemble de règles de communauté pour lequel vous n'avez pas besoin de vous inscrire.

Téléchargez l'ensemble de règles pour la version de Snort que vous avez installée. Nous téléchargeons la version 2.9.8.3, qui est la plus proche de la version 2.9.7.0 de Snort qui se trouvait dans le référentiel Ubuntu.

wget https://www.snort.org/rules/snortrules-snapshot-2983.tar.gz?oinkcode= -O snortrules-snapshot-2983.tar.gz

<img class = "alignnone size-full wp-image-6451" data-pagespeed-lazy-src = "https://www.cloudsavvyit.com/thumbcache/0/0/5c3a4f76da4feb732d10fc205fb37ef6/p/uploads/2020/08/ d642f8c3.png "alt =" wget https://www.snort.org/rules/snortrules-snapshot-2983.tar.gz?oinkcode= -O snortrules-snapshot-2983.tar.gz dans une fenêtre de terminal "width =" 646 "height =" 97 "src =" / pagespeed_static / 1.JiBnMqyl6S.gif "onload =" pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon (this); "onerror =" this.onerror = null; pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon (this); "/>

Une fois le téléchargement terminé, utilisez cette commande pour extraire les règles et les installer dans le répertoire «/ etc / snort / rules».

sudo tar -xvzf snortrules-snapshot-2983.tar.gc -C / etc / snort / rules

Mode promiscuité

Les cartes d'interface réseau ignorent généralement le trafic qui n'est pas destiné à leur adresse IP. Nous voulons que Snort détecte le trafic réseau suspect adressé à n'importe quel appareil sur le réseau, pas seulement le trafic réseau qui se trouve être envoyé à l'ordinateur sur lequel Snort est installé.

Pour que l’interface réseau de l’ordinateur Snort écoute tout le trafic réseau, nous devons la mettre en mode promiscuité. La commande suivante provoquera l'interface réseau enp0s3 pour fonctionner en mode promiscuité. Remplacer enp0s3 avec le nom de l'interface réseau que vous utilisez sur votre ordinateur.

sudo ip link set enp0s3 promisc on

Si vous exécutez Snort sur une machine virtuelle, n'oubliez pas d'ajuster les paramètres de votre hyperviseur pour la carte réseau virtuelle utilisée par votre machine virtuelle. Par exemple, dans VirtualBox, vous devez accéder à Paramètres> Réseau> Avancé et remplacez le menu déroulant "Mode promiscuité" par "Tout autoriser".

EN RELATION: Comment utiliser la commande ip sous Linux

Exécution de Snort

Vous pouvez maintenant démarrer Snort. Le format de la commande est:

sudo snort -d -l / var / log / snort / -h 192.168.1.0/24 -A console -c /etc/snort/snort.conf

Remplacez la plage IP de votre propre réseau par 192.168.1.0/24.

Les options de ligne de commande utilisées dans cette commande sont:

• -ré: Filtre les paquets de couche d'application.
• -l / var / log / snort /: Définit le répertoire de journalisation.
• -h 192.168.1.0/24: Cela ne définit pas le réseau domestique, qui a été défini dans le fichier «snort.conf». Avec cette valeur définie sur la même valeur que le réseau domestique, les journaux sont structurés de sorte que le contenu d'ordinateurs distants suspects soit connecté dans des répertoires nommés d'après chaque ordinateur distant.
• -Une console: Envoie des alertes à la fenêtre de la console.
• -c /etc/snort/snort.conf: Indique le fichier de configuration Snort à utiliser.

Snort fait défiler beaucoup de sortie dans la fenêtre du terminal, puis entre dans son mode de surveillance et d'analyse. À moins qu'il ne détecte une activité suspecte, vous ne verrez plus de sortie d'écran.

À partir d'un autre ordinateur, nous avons commencé à générer une activité malveillante qui visait directement notre ordinateur de test, qui exécutait Snort.

Snort identifie le trafic réseau comme potentiellement malveillant, envoie des alertes à la fenêtre de la console et écrit des entrées dans les journaux.

Les attaques classées comme des attaques de «fuite d'informations» indiquent qu'une tentative a été faite pour interroger votre ordinateur à la recherche d'informations susceptibles d'aider un attaquant. Cela indique probablement que quelqu'un effectue une reconnaissance sur votre système.

Les attaques classées comme des attaques de «déni de service» indiquent une tentative d'inonder votre ordinateur avec un faux trafic réseau. L'attaque tente de submerger votre ordinateur au point qu'il ne peut plus continuer à fournir ses services.

Pour vérifier que le mode promiscuité fonctionne correctement et que nous protégeons l'intégralité de la plage d'adresses réseau, nous déclencherons du trafic malveillant sur un autre ordinateur et verrons si Snort le détecte.

L'activité est détectée et signalée, et nous pouvons voir que cette attaque était dirigée contre un autre ordinateur avec une adresse IP de 192.168.1.26. Snort surveille toute la plage d'adresses de ce réseau.

Prochaines étapes

Pour maintenir sa vigilance, Snort a besoin de règles à jour. Vous pouvez écrire un petit script et y placer les commandes pour télécharger et installer les règles, et définir un cron emploi pour automatiser le processus en appelant périodiquement le script. le porc effiloché script est un script prêt à l'emploi conçu pour faire exactement cela si vous n'avez pas envie d'écrire le vôtre.

Snort n'a pas d'interface utilisateur ni d'interface utilisateur graphique. Des projets tiers en ont créé plusieurs et vous voudrez peut-être en étudier certains, tels que Snorby et Squil.