Мундариҷа
- Чаро системаи муайянкунии вайронкориро таъсис додан лозим аст?
- Насб кардани бастаи Snort
- Гирифтани Кодекси Oinkmaster
- Барои гирифтани рамзи Oinkmaster-и худ қадамҳои зеринро иҷро кунед:
- Вуруди кодекси Oinkmaster дар Snort
- Дастӣ нав кардани қоидаҳо
- Илова кардани интерфейсҳо
- Танзимоти интерфейс
- Интихоби категорияҳои қоида
- Мақсади категорияҳои қоида дар чист?
- Чӣ гуна ман метавонам дар бораи категорияҳои қоидаҳо маълумоти бештар гирам?
- Категорияҳои маъмули қоидаҳои Snort
- Танзимоти препросессор ва ҷараён
- Оғози интерфейсҳо
- Агар Snort оғоз накунад
- Тафтиши огоҳӣ
Сэм ҳамчун таҳлилгари шабака барои як ширкати савдои алгоритмӣ кор мекунад. Вай дараҷаи бакалаврии худро дар соҳаи технологияҳои иттилоотӣ аз UMKC гирифтааст.
Чаро системаи муайянкунии вайронкориро таъсис додан лозим аст?
Ҳакерҳо, вирусҳо ва дигар таҳдидҳо пайваста шабакаи шуморо месанҷанд ва роҳи ворид шуданро меҷӯянд. Барои вайрон кардани тамоми шабака танҳо як мошини ҳакерӣ лозим аст. Бо ин сабабҳо, ман тавсия медиҳам, ки системаи ошкоркунии дахолатро ба роҳ монед, то шумо системаҳои худро бехатар нигоҳ доред ва таҳдидҳои гуногунро дар Интернет назорат кунед.
Snort як IDS-и кушодаасос аст, ки ба осонӣ дар як девори pfSense насб карда мешавад, то хона ё шабакаи корпоративиро аз вайронкорон муҳофизат кунад. Snort инчунин метавонад ҳамчун системаи пешгирии дахолат (IPS) кор карда шуда, онро хеле чандир созад.
Дар ин мақола, ман шуморо тавассути насб ва танзими Snort дар pfSense 2.0 мегузаронам, то шумо метавонед таҳлили трафикро дар вақти воқеӣ оғоз кунед.
Насб кардани бастаи Snort
Барои оғози кор бо Snort ба шумо лозим меояд, ки бастаро бо истифодаи мудири бастаи pfSense насб кунед. Менеҷери бастабандӣ дар менюи системаи pfSense web GUI ҷойгир аст.
Snort-ро аз рӯйхати бастаҳо пайдо кунед ва пас рамзи плюсро дар тарафи рост пахш кунед то насбро оғоз кунед.
Барои снорт насб кардани якчанд дақиқа муқаррарӣ аст, он якчанд вобастагӣ дорад, ки pfSense бояд аввал зеркашӣ ва насб кунад.
Пас аз ба охир расидани насб Snort дар менюи хидматҳо нишон хоҳад дод.
Snort метавонад бо истифодаи менеҷери бастаи pfSense насб карда шавад.
Гирифтани Кодекси Oinkmaster
Барои он ки Снорт муфид бошад, онро бо қоидаҳои навтарин бояд нав кард. Бастаи Snort метавонад ин қоидаҳоро ба таври худкор барои шумо навсозӣ кунад, аммо аввал шумо бояд рамзи Oinkmaster -ро дастрас кунед.
Ду маҷмӯи гуногуни қоидаҳои Snort мавҷуданд:
- Маҷмӯи барориши муштариён муосиртарин қоидаҳои мавҷуда мебошад. Дастрасии воқеӣ ба ин қоидаҳо обунаи солонаи пулакиро талаб мекунад.
- Версияи дигари қоидаҳо ин сабти номи корбарони сабтиномшуда мебошад, ки барои ҳар касе, ки дар сайти Snort.org сабти ном мешавад, комилан ройгон аст.
Фарқи асосии байни ду маҷмӯи қоидаҳо дар он аст, ки қоидаҳо дар барориши сабтшудаи корбар 30 рӯз аз қоидаҳои обуна акиб мондаанд. Агар шумо хоҳед, ки ҳимояи муосиртарин дошта бошед, шумо бояд обуна гиред.
Барои гирифтани рамзи Oinkmaster-и худ қадамҳои зеринро иҷро кунед:
- Барои зеркашии версияи лозимии шумо ба вебсайти қоидаҳои Snort ворид шавед.
- 'Барои сабти ном шудан' -ро клик кунед ва ҳисоби Snort созед.
- Пас аз тасдиқи ҳисоби худ, дар Snort.org ворид шавед.
- 'Ҳисоби Ман' -ро дар сатри болоии пайванд клик кунед.
- Ҷадвали 'Обунаҳо ва Oinkcode' -ро клик кунед.
- Истиноди Oinkcodes -ро клик кунед ва пас 'Generate code' -ро клик кунед.
Рамз дар суратҳисоби шумо нигоҳ дошта мешавад, то шумо онро дертар дар сурати зарурат дастрас намоед. Ин рамз бояд ба танзимоти Snort дар pfSense ворид карда шавад.
Барои зеркашии қоидаҳо аз Snort.org коди Oinkmaster лозим аст.
Вуруди кодекси Oinkmaster дар Snort
Пас аз ба даст овардани Oinkcode, он бояд ба танзимоти бастаи Snort ворид карда шавад. Дар менюи хидматҳои веб-интерфейс саҳифаи танзимоти Snort пайдо мешавад. Агар он намоён набошад, боварӣ ҳосил кунед, ки баста баста шудааст ва агар лозим ояд бастаро аз нав насб кунед.
Oinkcode бояд дар саҳифаи ҷаҳонии танзимоти Snort ворид карда шавад. Ман инчунин мехоҳам қуттиро барои фароҳам овардани қоидаҳои таҳдидҳои пайдошаванда қайд кунам. Қоидаҳои ЕТ аз ҷониби ҷомеаи сарчашмаи кушода нигоҳ дошта мешаванд ва метавонанд баъзе қоидаҳои иловагие пешниҳод кунанд, ки дар маҷмӯи Snort набошанд.
Навигариҳои худкор
Бо нобаёнӣ, бастаи Snort қоидаҳоро ба таври худкор нав намекунад. Фосилаи навсозии тавсияшаванда дар ҳар 12 соат як маротиба аст, аммо шумо метавонед инро ба шароити шумо мувофиқ кунед.
Пас аз анҷом додани тағирот, клик кардани тугмаи 'захира' -ро фаромӯш накунед.
Дастӣ нав кардани қоидаҳо
Снорт ягон қоида надорад, бинобар ин шумо бояд бори аввал онҳоро дастӣ навсозӣ кунед. Барои коркарди навсозии дастӣ, ҷадвали навсозиро клик кунед ва тугмаи қоидаҳои навсозиро клик кунед.
Маҷмӯа маҷмӯи охирини қоидаҳоро аз Snort.org ва инчунин таҳдидҳои пайдошавандаро зеркашӣ мекунад, агар шумо ин имконотро интихоб карда бошед.
Пас аз ба охир расидани навсозӣ, қоидаҳо бароварда мешаванд ва сипас барои истифода омода мешаванд.
Ҳангоми бори аввал насб кардани Snort қоидаҳо бояд дастӣ зеркашӣ карда шаванд.
Илова кардани интерфейсҳо
Пеш аз он ки Snort ҳамчун системаи муайянкунии дахолат ба кор шурӯъ кунад, шумо бояд барои назорат интерфейсҳо таъин кунед. Конфигуратсияи маъмулӣ барои Snort назорат кардани ҳама гуна интерфейсҳои WAN мебошад. Дигар конфигуратсияи маъмул барои Snort барои назорат кардани интерфейси WAN ва LAN мебошад.
Мониторинги интерфейси LAN метавонад ба ҳамлаҳое, ки аз дохили шабакаи шумо мегузаранд, каме намоён бошад. Ин ғайриоддӣ нест, ки як компютер дар шабакаи LAN ба вирусҳои зараровар мубтало шавад ва ба ҳамла ба системаҳо дар дохили ва берун аз шабака оғоз кунад.
Барои илова кардани интерфейс, рамзи плюсро, ки дар ҷадвали Snort интерфейси мавҷуд аст, клик кунед.
Танзимоти интерфейс
Пас аз зер кардани тугмаи илова кардани интерфейс, шумо саҳифаи танзимоти интерфейсро мебинед.Дар саҳифаи танзимот вариантҳои зиёде мавҷуданд, аммо танҳо чандтои онҳое ҳастанд, ки шумо дар ҳақиқат барои ба кор андохтани корҳо ташвиш мекашед.
- Аввал, қуттии фаъолро дар болои саҳифа қайд кунед.
- Сипас, интерфейси танзимшавандаи худро интихоб кунед (дар ин мисол ман аввал WAN-ро танзим мекунам).
- Иқтидори хотираро ба AC-BNFA таъин кунед.
- Қуттии "Огоҳӣ барои ворид кардани файли unified2" -ро қайд кунед, то barnyard2 кор кунад.
- Захира карданро клик кунед.
Агар шумо як роутерҳои бисёрсоҳавӣ, шумо метавонед пеш рафта, дигар интерфейсҳои WAN-ро дар системаи худ танзим кунед. Ман инчунин тавсия медиҳам, ки интерфейси LAN илова карда шавад.
Пеш аз оғози интерфейсҳо, якчанд танзимоти дигар вуҷуд доранд, ки барои ҳар як интерфейс бояд танзим карда шаванд. Барои танзим кардани танзимоти иловагӣ, ба ҷадвали Snort интерфейсҳо баргардед ва рамзи 'E' -ро дар тарафи рости саҳифа дар шафати интерфейс пахш кунед. Ин шуморо ба саҳифаи конфигуратсияи он интерфейси мушаххас бармегардонад. Барои интихоби категорияҳои қоида, ки барои интерфейс бояд фаъол карда шавад, ҷадвали категорияҳоро клик кунед. Ҳама қоидаҳои ошкоркунӣ ба категорияҳо тақсим карда мешаванд. Категорияҳое, ки қоидаҳои таҳдидҳои пайдошавандаро дарбар мегиранд, бо 'падидомадан' ва қоидаҳои Snort.org бо 'snort' оғоз меёбанд. Пас аз интихоби категорияҳо, тугмаи сабти номро дар поёни саҳифа пахш кунед. Бо тақсим кардани қоидаҳо ба категорияҳо, шумо метавонед танҳо категорияҳои алоҳидаи ба шумо фаъолро фаъол созед. Ман тавсия медиҳам, ки баъзе категорияҳои умумӣ бештар имконпазир бошанд. Агар шумо дар шабакаи худ хидматҳои мушаххасе ба монанди веб ё сервери пойгоҳи додаҳо дошта бошед, пас шумо бояд категорияҳои марбут ба онҳоро низ фаъол созед. Дар хотир доштан муҳим аст, ки Snort ҳар вақте, ки категорияи иловагӣ фаъол мешавад, захираҳои бештари системаро талаб мекунад. Ин инчунин метавонад шумораи мусбатҳои бардурӯғро зиёд кунад. Дар маҷмӯъ, беҳтар аст, ки танҳо гурӯҳҳои ба шумо лозимро фаъол созед, аммо озодона дар категорияҳо таҷриба гузаронед ва бубинед, ки чӣ беҳтарин кор мекунад.Интихоби категорияҳои қоида
Мақсади категорияҳои қоида дар чист?
Чӣ гуна ман метавонам дар бораи категорияҳои қоидаҳо маълумоти бештар гирам?
Агар шумо хоҳед фаҳмед, ки кадом категорияҳо дар категория мавҷуданд ва дар бораи корҳои онҳо маълумоти бештар гиред, пас шумо метавонед категорияро клик кунед. Ин ба шумо бевосита ба рӯйхати ҳамаи қоидаҳои дохили категория пайванд медиҳад.
Категорияҳои маъмули қоидаҳои Snort
| Номи категория | Тавсифи |
|---|---|
snort_botnet-cnc.rоидаҳо | Ҳадафҳои маъмули фармон ва идоракунии ботнетро ҳадаф мегиранд. |
snort_ddos.қоидаҳо | Радди ҳамлаҳои хидматиро муайян мекунад. |
snort_scan.қоидаҳо | Ин қоидаҳо сканерҳои портҳо, санҷишҳои Nessus ва дигар ҳамлаҳои ҷамъоварии иттилоотро муайян мекунанд. |
snort_virus.қоидаҳо | Имзои троянҳо, вирусҳо ва кирмҳои маълумро муайян мекунад. Истифодаи ин категория хеле тавсия дода мешавад. |
Танзимоти препросессор ва ҷараён
Дар саҳифаи танзимоти препросессорҳо якчанд танзимот мавҷуданд, ки бояд фаъол карда шаванд. Бисёре аз қоидаҳои ошкорсозӣ талаб мекунанд, ки санҷиши HTTP барои кор кардани онҳо фаъол карда шавад.
- Дар доираи танзимоти санҷиши HTTP, "Истифодаи HTTP Inspect -ро барои ба эътидол / декод" истифода баред
- Дар қисмати умумии танзимоти препроцессор, 'Detection Portscan' -ро фаъол созед
- Танзимотро захира кунед.
Оғози интерфейсҳо
Вақте ки ба Snort интерфейси нав илова карда мешавад, он ба таври худкор ба кор шурӯъ намекунад. Барои дастӣ оғоз кардани интерфейсҳо, тугмаи навозиши сабз дар тарафи чапи ҳар як интерфейси танзимшударо клик кунед.
Вақте ки Snort кор мекунад, матн дар паси номи интерфейс бо ранги сабз пайдо мешавад. Барои боздоштани Snort, тугмаи сурхи қатъ дар тарафи чапи интерфейсро клик кунед.
Якчанд мушкилиҳои умумӣ мавҷуданд, ки метавонанд ба оғози Snort монеъ шаванд.
Агар Snort оғоз накунад
Тафтиши огоҳӣ
Пас аз он ки Snort бомуваффақият насб ва оғоз карда шуд, шумо бояд пас аз ошкор шудани трафик бо қоидаҳо дидани огоҳиҳоро оғоз кунед.
Агар шумо ягон огоҳиеро намебинед, каме вақт диҳед ва дубора санҷед. Вобаста аз миқдори трафик ва қоидаҳои фаъолшуда, пеш аз он ки ягон огоҳиеро бубинед, каме вақт мегирад.
Агар шумо хоҳед, ки огоҳиҳоро аз фосилаи дур бинед, шумо метавонед танзимоти интерфейси "Ирсол огоҳинома ба гузоришҳои асосии система" -ро фаъол кунед. Огоҳҳое, ки дар гузоришҳои система пайдо мешаванд, метавонанд бошанд бо истифодаи Syslog фосилаи дур дида мешавад.
Ин мақола дақиқ ва ба беҳтарин дониши муаллиф рост аст. Мундариҷа танҳо барои мақсадҳои иттилоотӣ ё фароғатӣ пешбинӣ шудааст ва маслиҳати шахсӣ ё машварати касбиро дар масъалаҳои тиҷорӣ, молиявӣ, ҳуқуқӣ ва техникӣ иваз намекунад.
