स्नॉर्ट आईडीएस को स्थापित और स्थापित करके अपने नेटवर्क को घुसपैठियों और अवांछित हमलों से सुरक्षित रखें।

यदि आप नेटवर्क सुरक्षा के बारे में गंभीर हैं, तो नेटवर्क परिधि को मजबूत करने और संभावित अवांछित नेटवर्क ट्रैफ़िक को विक्षेपित करने के लिए IPS या IDS समाधान स्थापित करना आवश्यक है।

स्नॉर्ट एक ऐसा प्रसिद्ध, नि: शुल्क-निजी उपयोग और ओपन-सोर्स आईपीएस/आईडीएस समाधान है। आइए जानें कि आप अपने नेटवर्क को साइबर हमलों से बचाने के लिए लिनक्स पर स्नॉर्ट को कैसे स्थापित और स्थापित कर सकते हैं।

स्नॉर्ट क्या है?

स्नॉर्ट एक ओपन-सोर्स है नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली (NIDS/IPS) सॉफ़्टवेयर जो, जैसा कि नाम से संकेत मिलता है, नियमों और फ़िल्टरों को लागू करके आपके नेटवर्क परिधि को सुरक्षित करने में मदद करता है जो संभावित रूप से दुर्भावनापूर्ण पैकेटों का पता लगाता है और आपके नेटवर्क में डाला जाता है।

स्नॉर्ट के साथ, आप उन्नत नेटवर्क ट्रैफ़िक लॉगिंग, पैकेट सूँघने और विश्लेषण करने और सेट करने में सक्षम होंगे एक मजबूत घुसपैठ रोकथाम प्रणाली तैयार करें जो आपके नेटवर्क को अवांछित और संभावित रूप से दुर्भावनापूर्ण से बचाती है ट्रैफ़िक।

instagram viewer

स्नोर्ट को स्थापित करने के लिए पूर्वापेक्षाएँ

इससे पहले कि आप स्नॉर्ट स्थापित करें, कुछ प्रारंभिक सेटअप करना है। इसमें ज्यादातर आपके सिस्टम को अपडेट और अपग्रेड करना और ठीक से काम करने के लिए स्नॉर्ट द्वारा आवश्यक निर्भरताओं को स्थापित करना शामिल है।

अपने सिस्टम को अपडेट और अपग्रेड करके प्रारंभ करें।

उबंटू पर- और डेबियन-आधारित लिनक्स डिस्ट्रोस:

sudo apt अपडेट && apt अपग्रेड -y

आर्क लिनक्स और इसके डेरिवेटिव पर:

सुडो पॅकमैन -Syu

आरएचईएल और फेडोरा पर:

सुडो डीएनएफ अपग्रेड

अपने सिस्टम के अपग्रेड के साथ, स्नॉर्ट द्वारा आवश्यक निर्भरताओं को स्थापित करना जारी रखें। यहां वे आदेश दिए गए हैं जिन्हें आपको चलाने की आवश्यकता है:

उबंटू और डेबियन पर, दौड़ें:

sudo apt install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev zlib1g-dev pkg-config libhwloc-dev cmake liblzma-dev Opensl libssl-देव cpputest libsqlite3-देव libtool uuid-देव git autoconf बाइसन फ्लेक्स libcmocka-देव libnetfilter-queue-dev libunwind-देव libmnl-देव ethtool libjemalloc-देव libpcre++-dev

आर्क लिनक्स पर, चलाएँ:

sudo pacman -S gperftools hwloc hyperscan ibdaqlibdnet libmnl libpcap libunwind luajit lz4 Opensl pcre pullporkxz zlib cmake pkgconf

आरएचईएल और फेडोरा के लिए, निम्न आदेश जारी करें:

sudo dnf install gcc gcc-c++ libnetfilter_queue-devel git flex bison zlib zlib-devel pcre pcredevel libdnet tcpdump libnghttp2 wget xz-devel -y

इसके अतिरिक्त, आपको मैन्युअल रूप से डेटा अधिग्रहण लाइब्रेरी, Snort के लिए LibDAQ को ठीक से काम करने के लिए और बिल्ड फ़ाइलों को उत्पन्न करने के लिए gperftools भी स्थापित करने की आवश्यकता है।

सबसे पहले, आधिकारिक वेबसाइट से LibDAQ स्रोत फ़ाइलें डाउनलोड करें Wget कमांड का उपयोग करना. फिर, आर्काइव निकालें और सीडी का उपयोग करके डायरेक्टरी में जाएँ। निर्देशिका के अंदर, चलाएँ बूटस्ट्रैप और कॉन्फ़िगर स्क्रिप्ट्स तब मेक के साथ फाइल तैयार करने के लिए आगे बढ़ती हैं और इसके साथ इसे इंस्टॉल करती हैं स्थापित करना आज्ञा।

wget https://www.snort.org/downloads/snortplus/libdaq-3.0.11.tar.gz
टार -xzvf लिब*
सीडी लिब*
./बूटस्ट्रैप
कॉन्फ़िगर
निर्माण
सुडो स्थापित करें

LibDAQ स्थापित होने के साथ, आपको एक अंतिम निर्भरता स्थापित करने की आवश्यकता है: gperftools। GitHub रेपो से स्रोत फ़ाइलों को हथियाने से प्रारंभ करें। फ़ाइलें निकालें, निर्देशिका में जाएँ, और कॉन्फ़िगर स्क्रिप्ट चलाएँ। अंत में, मेक एंड मेक इंस्टाल कमांड का उपयोग करके पैकेज को स्थापित करें।

wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.10/gperftools-2.10.tar.gz
tar -xvzf gper* && cd gper
कॉन्फ़िगर
निर्माण 
सुडो स्थापित करें

एक बार ये निर्भरताएँ स्थापित हो जाने के बाद, आप स्नॉर्ट को स्थापित करने के लिए अगले चरणों पर जा सकते हैं।

लिनक्स पर स्नॉर्ट फ्रॉम सोर्स इंस्टॉल करें

प्रारंभिक सेटअप के साथ, अब आप वास्तविक सॉफ़्टवेयर को स्थापित करने पर ध्यान केंद्रित कर सकते हैं। आप इसे स्रोत से बना रहे होंगे, इसलिए पहले आवश्यक बिल्ड फ़ाइलें प्राप्त करें।

Wget कमांड का उपयोग करें या आधिकारिक डाउनलोड पृष्ठ से मैन्युअल रूप से फ़ाइलें डाउनलोड करें:

wget https://www.snort.org/downloads/snortplus/snort3-3.1.58.0.tar.gz

डाउनलोड करना:फक-फक करना

एक बार बिल्ड फाइल वाले संग्रह का डाउनलोड पूरा हो जाने के बाद, इसे टार कमांड का उपयोग करके निकालें:

टार -xzvf खर्राटे*

निकाले गए फ़ोल्डर में ले जाएँ, कॉन्फ़िगरेशन स्क्रिप्ट चलाएँ, फ़ाइलों को तैयार करने के लिए मेक कमांड का उपयोग करें और अंत में उन्हें स्थापित करें स्थापित करना:

सीडी स्नॉर्ट*
./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc
सीडी निर्माण
निर्माण
सुडो स्थापित करें

स्नॉर्ट अब आपके सिस्टम में सफलतापूर्वक इंस्टॉल हो जाएगा। हालाँकि, आपको केवल एक और चरण पूरा करना है। जब नया सॉफ़्टवेयर मैन्युअल रूप से इंस्टॉल किया जाता है, तो इंस्टॉलेशन डायरेक्टरी और आवश्यक लाइब्रेरी स्वचालित रूप से सिस्टम के डिफ़ॉल्ट पथ में शामिल नहीं हो सकते हैं। इसलिए एप्लिकेशन शुरू करते समय आप त्रुटियों में भाग सकते हैं।

इस समस्या से बचने के लिए, आपको ldconfig कमांड चलाने की जरूरत है। यह सिस्टम की साझा लाइब्रेरी कैश को नई स्थापित लाइब्रेरी और बायनेरिज़ के साथ सिंक करेगा। या तो ldconfig कमांड को रूट शेल से चलाएं या sudo उपसर्ग का उपयोग करें:

सुडो ldconfig

अब आप स्नॉर्ट को स्थापित करने के लिए आवश्यक सभी महत्वपूर्ण कदमों को कवर कर चुके हैं। स्थापना को सत्यापित करने के लिए स्नॉर्ट कमांड को इसके साथ चलाएं -वी फ़्लैग, और आपको संस्करण का नाम और अन्य डेटा लौटाने वाला आउटपुट दिखाई देना चाहिए।

खर्राटे -V

एक बार जब आप स्नॉर्ट इंस्टॉलेशन को सत्यापित कर लेते हैं, तो इसे पूर्ण विकसित आईडीएस/आईपीएस के रूप में सेट करने के लिए अगले चरणों पर जाएं।

लिनक्स पर स्नॉर्ट का प्रारंभिक विन्यास

स्नॉर्ट की दक्षता लगभग पूरी तरह से नियम सेट की गुणवत्ता पर निर्भर करती है जिसके साथ इसकी आपूर्ति की जाती है।

हालाँकि, इससे पहले कि आप नियम स्थापित करें, आपको स्नॉर्ट के साथ काम करने के लिए नेटवर्क कार्ड को कॉन्फ़िगर करने की आवश्यकता है और आपको यह भी जांचना होगा कि स्नॉर्ट द्वारा डिफ़ॉल्ट कॉन्फ़िगरेशन को कैसे नियंत्रित किया जा रहा है। नेटवर्क कार्ड को कॉन्फ़िगर करके प्रारंभ करें।

नेटवर्क इंटरफ़ेस को विचित्र मोड पर सेट करें:

sudo ip लिंक सेट देव इंटरफ़ेस_नाम प्रोमिस ऑन

एथटूल का उपयोग करके, बड़े नेटवर्क पैकेट को छोटा होने से रोकने के लिए जेनेरिक रिसीव ऑफलोड (जीआरओ) और लार्ज रिसीव ऑफलोड (एलआरओ) को अक्षम करें:

sudo ethtool -K इंटरफ़ेस_नाम ग्रो ऑफ lro बंद

परीक्षण करें कि स्नॉर्ट डिफ़ॉल्ट कॉन्फ़िगरेशन के साथ कैसा प्रदर्शन करता है:

स्नॉर्ट -c /usr/local/etc/snort/snort.lua

यह एक सफल आउटपुट सिग्नलिंग लौटाएगा कि आपने अपने सिस्टम में स्नॉर्ट को सही तरीके से इंस्टॉल और सेट किया है। अब आप इसकी विशेषताओं के साथ छेड़छाड़ कर सकते हैं और अपने नेटवर्क को सुरक्षित करने के लिए नियम सेट का सबसे अच्छा सेट खोजने के लिए विभिन्न कॉन्फ़िगरेशन के साथ प्रयोग कर सकते हैं।

नियम निर्धारित करें और उन्हें स्नॉर्ट के साथ लागू करें

बुनियादी सेटिंग्स के साथ, स्नॉर्ट अब आपकी परिधि की रक्षा के लिए तैयार है। जैसा कि आप जानते हैं, ट्रैफ़िक की वैधता निर्धारित करने के लिए स्नॉर्ट को नियम सेट की आवश्यकता होती है, आइए स्नॉर्ट के लिए कुछ समुदाय-निर्मित, निःशुल्क नियम सेट सेट करें।

स्नॉर्ट विशिष्ट निर्देशिकाओं से नियम सेट और कॉन्फ़िगरेशन पढ़ता है। तो सबसे पहले, mkdir और टच कमांड का उपयोग करते हुए, स्नॉर्ट के नियमों और अन्य प्रासंगिक डेटा को स्टोर करने के लिए कुछ महत्वपूर्ण निर्देशिकाएं बनाएं:

sudo mkdir -p /usr/local/etc/{सूचियाँ, so_rules, नियम} 
सूडो टच /usr/local/etc/rules/local.rules 
सूडो टच /usr/local/etc/lists/default.blocklist

बनाई गई इन निर्देशिकाओं के साथ, आप आधिकारिक वेबसाइट से wget कमांड का उपयोग करके समुदाय नियमसेट डाउनलोड कर सकते हैं:

wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

एक बार जब नियम सेट डाउनलोड करना समाप्त कर देता है, तो इसे निकालें और इसे कॉपी करें /usr/local/etc/rules/ निर्देशिका।

टार -xvzf स्नॉर्ट3-कॉम*
सीडी स्नॉर्ट3-कॉम*
सीपी * /usr/स्थानीय/आदि/नियम/

नियम सेट के साथ स्नॉर्ट चलाने के लिए इस आदेश को निष्पादित करें:

सुडो स्नॉर्ट -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -i इंटरफ़ेस_नाम -s 65535 -k कोई नहीं

कमांड का टूटना:

  • -सी डिफ़ॉल्ट कॉन्फ़िगरेशन फ़ाइल का पथ सेट करता है
  • -आर लागू करने के लिए निर्धारित नियम का मार्ग निर्धारित करता है
  • -मैं इंटरफ़ेस सेट करता है
  • -एस स्नैपलेन सीमा को छोड़ देता है
  • -क चेकसम को अनदेखा करता है

यह कॉन्फ़िगरेशन को मान्य करना चाहिए और स्नॉर्ट पर सभी नियम सेट लागू करना चाहिए। जैसे ही यह कोई नेटवर्क गड़बड़ी पकड़ता है, यह आपको एक कंसोल संदेश के साथ सतर्क करेगा।

यदि आप अपना स्वयं का नियम सेट बनाना और लागू करना चाहते हैं, तो आप इसके बारे में अधिक जान सकते हैं आधिकारिक दस्तावेज़ पृष्ठ.

स्नॉर्ट के साथ लॉगिंग सेट अप करें

डिफ़ॉल्ट रूप से, स्नॉर्ट कोई लॉग आउटपुट नहीं करता है। आपको के साथ निर्दिष्ट करने की आवश्यकता है -एल लॉगिंग मोड में स्नॉर्ट शुरू करने के लिए फ़्लैग करें, लॉग फ़ाइल प्रकार परिभाषित करें, और -एल लॉग डंप करने के लिए स्नॉर्ट के लिए लॉगिंग डायरेक्टरी सेट करने के लिए फ़्लैग करें।

लॉगिंग सक्षम के साथ स्नॉर्ट शुरू करने का आदेश यहां दिया गया है:

सूडो स्नॉर्ट -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -i इंटरफ़ेस_नाम -s 65535 -k कोई नहीं -L file_type -l /var/log /फक-फक करना

कमांड का टूटना:

  • -सी डिफ़ॉल्ट कॉन्फ़िगरेशन फ़ाइल का पथ सेट करता है
  • -आर लागू करने के लिए निर्धारित नियम का मार्ग निर्धारित करता है
  • -मैं इंटरफ़ेस सेट करता है
  • -एस स्नैपलेन सीमा को छोड़ देता है
  • -क चेकसम को अनदेखा करता है
  • -एल लॉगिंग मोड को सक्षम करता है और लॉग फ़ाइल प्रकार को परिभाषित करता है
  • -एल लॉग स्टोर करने के लिए पथ को परिभाषित करता है

ध्यान दें कि उदाहरण कमांड में, लॉगिंग डायरेक्टरी को सेट किया गया है /var/log/snort. हालांकि यह अनुशंसित अभ्यास है, आप अपने लॉग को कहीं और स्टोर करने के लिए स्वतंत्र हैं।

आप अपने द्वारा परिभाषित निर्देशिका से स्नॉर्ट से लॉग फ़ाइलों को पढ़ सकते हैं या उन्हें आगे के विश्लेषण के लिए स्प्लंक जैसे सिएम सॉफ़्टवेयर में पास कर सकते हैं।

स्नॉर्ट को सिस्टम स्टार्टअप डेमॉन के रूप में जोड़ें

यद्यपि आपने स्नॉर्ट को स्थापित और स्थापित किया है, आपको यह सुनिश्चित करने की आवश्यकता है कि यह स्टार्टअप पर निष्पादित करना शुरू कर दे और पृष्ठभूमि डेमॉन के रूप में चल रहा हो। इसे एक ऑटो-स्टार्ट सिस्टम सेवा के रूप में जोड़ने से यह सुनिश्चित होगा कि स्नॉर्ट चालू है और हर समय आपके सिस्टम का ऑनलाइन बचाव करता है।

यहाँ लिनक्स पर स्नॉर्ट स्टार्टअप डेमॉन जोड़ने का तरीका बताया गया है:

  1. एक नई सिस्टमड सेवा फ़ाइल बनाकर प्रारंभ करें:
    /lib/systemd/system/snort.service को स्पर्श करें
  2. फ़ाइल को अपनी पसंद के टेक्स्ट एडिटर में खोलें और इसे निम्न डेटा के साथ पॉप्युलेट करें। आप अपनी आवश्यकताओं के अनुरूप झंडे को संशोधित कर सकते हैं:
    [इकाई]
    विवरण = स्नॉर्ट डेमन
    के बाद = syslog.target network.target
    [सेवा]
    टाइप = सरल
    ExecStart=/usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -s 65535 -k कोई नहीं -l /var /लॉग/स्नॉर्ट-डी-एल pcap -i ens33 
    [स्थापित करना]
    वांटेडबाय = बहु-उपयोगकर्ता लक्ष्य
  3. फ़ाइल सहेजें और बाहर निकलें। फिर, सेवा का उपयोग करना और systemctl कमांड, सक्षम करें और स्क्रिप्ट प्रारंभ करें:
    sudo systemctl snort.service को सक्षम करें
    सुडो स्नॉर्ट स्टार्ट

स्नॉर्ट बैकग्राउंड डेमॉन अब ऊपर और चल रहा होना चाहिए। आप का उपयोग करके स्क्रिप्ट की स्थिति सत्यापित कर सकते हैं systemctl स्टेटस स्नॉर्ट आज्ञा। इसे एक सकारात्मक आउटपुट वापस करना चाहिए।

अब आप जानते हैं कि स्नॉर्ट आईडीएस से अपने नेटवर्क को कैसे सुरक्षित रखें

आईडीएस को लागू करना एक अच्छा अभ्यास है, यह एक सक्रिय उपाय की तुलना में एक निष्क्रिय उपाय है। अपने नेटवर्क की सुरक्षा को बेहतर बनाने और गारंटी देने का सबसे अच्छा तरीका यह है कि इसका लगातार परीक्षण किया जाए और खामियों को दूर किया जाए।

पेनेट्रेशन परीक्षण शोषक कमजोरियों को खोजने और उन्हें पैच करने का एक शानदार तरीका है।