Snort IDS kurulum ve kullanımı- Kural oluşturma

Linux sistemine snort IDS saldırı tespit sistemi apt-get install snort komutu ile kurulmaktadır. Snort mimarisinin 3 temel bileşeni vardır: paket çözücü, tespit motoru ve loglama/alarm alt sistemi olarak kullanılabilir. Snort temel olarak uygulama seviyesine kadar tüm katmanlardaki veriye bakar ve bu veri içerisinden belirli trafiği toplayarak kullanıcı ya da geliştirici tarafından tanımlanabilen kural setlerini uygulayarak bulduklarını değerlendirir.

Snort temelde 3 ayrı modda çalışabilecek şekilde yapılandırılabilir:
Paket İzleyici modu (packetsniffer): Bu mod tcpdump paket izleyici programı gibi basit bir şekilde ağdan paketleri okuyup sürekli bir şekilde konsola akıttığı moddur. Komut satırında./snort –v şeklinde çalıştırılabilir; bu şekilde sadece TCP paket başlık bilgilerini ekrana basar.

Paket Günlükleme modu (packetlogger): paketleri diske yazar. Komut satırında ./snort -dev -l ./log komutu ile çalıştırılabilir. Burada TCP paket başlık ile birlikte paket bilgilerini de kaydeder ve /log dizinine günlükler.

Ağ Sızma Tespit/Engelleme Sistemi modu (NIDS/NIPS):Snort’un en karmaşık ve yapılandırılabilir modudur. Snort bu modda temel olarak trafiği analiz edip kullanıcı tarafından tanımlanabilen bir kural seti ile gördüklerine karşı çeşitli eylemler gerçekleştirebilir. Snort sisteminde kullanılan kurallar sudo gedit /etc/snort/rules/local.rules  dosyasına elle tanımlanabilir yada /etc/snort/rules altındaki ddos, malware, tcp, icmp paketleri için oluşturulmuş kurallar kullanarak sistemimizi saldırı tespit sistemi haline getirebiliriz. Örneğin bir malware yazılımın bağlantı adresini sistemimize giriş yaparken denetleyebilirsiniz.

Tarafımdan tanımlanan scanme.nmap.org ve facebook gibi sitelere giriş yapıldığında ve ftp, ssh, http, icmp paketleri denetleyen alarmları yukarıdaki resimde bulunmaktadır.

snort -Aconsole -i eth0 -c /etc/snort/snort.conf -l /root/Desktop/ -K ascii komutu ile IDS sistemimizi çalıştırıyoruz. -i parametresi internet arayüzü, -c tanımladığımız kuralları, -l kayıt olacak log dosyaların konumu belirtmektedir.

Kullanıcılar kendi sistemlerine göre kuralları geliştirebilir ve daha gelişmiş IDS sistem oluşturabilirsiniz. Daha gelişmiş kuralları https://www.snort.org/downloads linkinden inceleyebilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir