Her er en oversikt over de viktigste konfigurasjonstrinnene for å sette opp en SNORT-nettverks-IDS-sensor for å overvåke et undernettverk, sammen med viktige hensyn for å administrere det gjennom en nettbasert konsoll:
1. Maskinvare- og nettverksoppsett:
* snort sensor maskinvare:
* Velg en dedikert maskinvareplattform eller virtuell maskin med tilstrekkelig prosessorkraft og minne for snort.
* Forsikre deg om at sensoren har nettverksgrensesnitt som er i stand til å overvåke undernettverkstrafikken.
* Nettverkstilkobling:
* Snort -sensoren må plasseres strategisk i nettverket for å se trafikken du vil overvåke.
* Tenk på en "spennport" på en bryter for å speile trafikken til sensoren uten å forstyrre hovednettverksstrømmen.
* Hvis du har et dedikert "Management" -nettverk, må du sørge for at sensoren har tilgang til det for konfigurasjon og oppdateringer.
2. Snort installasjon og konfigurasjon:
* Snort Installasjon:
* Last ned og installer Snort IDS -pakken (vanligvis fra nettstedet Snort.org) for operativsystemet ditt.
* Velg riktig versjon for dine behov.
* Konfigurasjon:
* grensesnittkonfigurasjon: Definer nettverksgrensesnittet (e) som Snort vil lytte etter trafikk.
* forbehandlingsalternativer: Bestem hvordan Snort skal forhåndsbehandle innkommende pakker (f.eks. For byte-bestilling, TCP-sekvensnummerkontroll).
* Regelsett: Velg passende regelsett for miljøet ditt.
* Snorts ferdigpakkede regler: Snort kommer med styresett som "fellesskap" (et generelt sett) og "fremvoksende" (for nyere trusler).
* Tilpassede regler: Du kan lage dine egne regler for å oppdage spesifikke sårbarheter eller nettverksatferdsmønstre.
* Output Methods: Konfigurer hvordan Snort rapporterer varsler, for eksempel:
* konsoll: Viser varsler på sensorens konsoll.
* Logging: Skrive varsler til en fil.
* Varslingssystemer: Integrering med eksterne verktøy som e -postservere, syslog -servere eller siems.
3. Nettbasert konsollgrensesnitt (Management)
* snort webgrensesnitt (valgfritt):
* Snorts innebygde grensesnitt: Noen snortversjoner inkluderer et grunnleggende nettgrensesnitt.
* Tredjepartsverktøy: Mange kommersielle og open source styringsverktøy gir snortintegrasjon:
* open source:
* Sikkerhetsløk: En full sikkerhetsfordeling med snort, suricata og andre sikkerhetsverktøy.
* Elsa (Elasticsearch, logstash, snort og varsling): Bruker Elasticsearch og LogStash for effektiv hendelsesinnsamling og analyse.
* Kommersiell:
* AlienVault Ossim: Tilbyr en enhetlig sikkerhetsplattform med IDS, SIEM og andre sikkerhetsverktøy.
* IBM QRADAR: Et omfattende SIEM- og trusselstyringssystem.
4. Regelstyring og innstilling
* Regeloppdateringer: Hold Snorts regelsett oppdatert.
* Regelinnstilling:
* Falske positive: Reduser falske positiver (varsler som ikke er faktiske trusler) ved å stille inn regler eller legge kontekst til dem.
* Falske negativer: Minimer falske negativer (mangler reelle trusler) ved å sikre at du har passende regelsett.
* Varslingsanalyse: Undersøk varsler for å bestemme deres alvorlighetsgrad og potensielle innvirkning på nettverket ditt.
5. Overvåking og rapportering
* Logganalyse: Analyser snortloggene regelmessig for å identifisere trender, mønstre og potensielle trusler.
* dashboards: Visualiser snort data ved hjelp av dashboards for å overvåke nettverkshelse og potensielle sikkerhetshendelser.
Eksempelkonfigurasjon:
* snort konfigurasjonsfil (snort.conf):
`` `
# Grensesnitt for å overvåke
# Dette forutsetter at du har en bryter med en spennport konfigurert
# og Snort -sensoren er koblet til den spennporten
Inngangsgrensesnitt 0 Eth1
# Forbehandlingsalternativer (du må kanskje justere disse)
Forprosessormotor PPS
Forprosessoremotorbyte-ordre
Forprosessormotorfragment
# Regelesett
# Bruk passende sett for miljøet ditt
Rulepath/etc/snort/regler
# Standardregelesett inkludert i Snort
var regel_path/etc/snort/regler
Inkluder $ Rule_Path/Community.Rules
Inkluder $ Rule_Path/Emerging.Rules
# Utgangskonfigurasjon
Loggutgangssyslog
`` `
Nøkkelhensyn:
* Nettverksytelse: Forsikre deg om at sensoren ikke påvirker nettverksytelsen din negativt ved å konfigurere behandlingskapasiteten på riktig måte.
* Falske positive: Forvent et visst antall falske positiver og ha en plan for å redusere dem.
* Alert Håndtering: Ha en definert prosess for håndtering og undersøkelse av varsler.
* Sensorens sikkerhet: Sikre selve SNORT-sensoren mot angrep (f.eks. Bruk sterke passord, hold den oppdatert og bruk brannmurer).
Husk: Dette er en oversikt på høyt nivå. De spesifikke konfigurasjonstrinnene og valgene du tar vil avhenge av nettverksmiljøet, sikkerhetsbehovet og snortversjonen du bruker. Det er avgjørende å forske og teste konfigurasjonen din grundig før du distribuerer snort i et produksjonsmiljø.
