Σε αυτόν τον οδηγό θα δούμε πως να εγκαταστήσουμε το snort στα linux και να το
ρυθμίσουμε για ανίχνευση ICMP πακέτων.
1) Αρχικά ανοίγουμε το τερματικό και γράφουμε "apt-get install snort"
κατά της διαδικασία εγκαταστάσεις θα μας ζητήσει να προσδιορίσουμε το φάσμα δίκτυο μας, εκεί εισάγουμε το "192.168.0.0/24"
2) Αφού τελειώσαμε με την εγκατάσταση πρέπει να ρυθμίσουμε τα rules για τα icmp πακέτα, πάμε στο τερματικό και γράφουμε:
"cd /etc/snort"
"nano snort-test.conf" και μέσα γράφουμε το εξής "include /etc/snort/icmp-test.rules"
κάνουμε save και exit
3) Στο τερματικό γράφουμε:
"nano icmp-test.rules" και γράφουμε μέσα "alert icmp any any -> any any (msg:”ICMP Packet”; sid:477; rev:3")
ξανά save και exit
4) Για να τρέχουμε το snort γράφουμε στο τερματικό:
"snort -i "eth0" -c /etc/snort/snort-test.conf -l /var/log/snort"
Τώρα εάν πάμε σε ένα άλλο σύστημα και κάνουμε ping το σύστημα που εγκαταστήσαμε το snort.
Επιστρέφουμε στο σύστημα με το snort και στο τερματικό γράφουμε:
"cat /var/log/snort/alert"
μέσα στο αρχείο θα δούμε ένα alert με ICMP πακέτα από την ip που κάναμε ping προς
το σύστημα μας.
Αυτό ήταν έχουμε εγκαταστήσει και ρυθμίσει πλήρως το snort στο σύστημα μας.
ρυθμίσουμε για ανίχνευση ICMP πακέτων.
1) Αρχικά ανοίγουμε το τερματικό και γράφουμε "apt-get install snort"
κατά της διαδικασία εγκαταστάσεις θα μας ζητήσει να προσδιορίσουμε το φάσμα δίκτυο μας, εκεί εισάγουμε το "192.168.0.0/24"
2) Αφού τελειώσαμε με την εγκατάσταση πρέπει να ρυθμίσουμε τα rules για τα icmp πακέτα, πάμε στο τερματικό και γράφουμε:
"cd /etc/snort"
"nano snort-test.conf" και μέσα γράφουμε το εξής "include /etc/snort/icmp-test.rules"
κάνουμε save και exit
3) Στο τερματικό γράφουμε:
"nano icmp-test.rules" και γράφουμε μέσα "alert icmp any any -> any any (msg:”ICMP Packet”; sid:477; rev:3")
ξανά save και exit
4) Για να τρέχουμε το snort γράφουμε στο τερματικό:
"snort -i "eth0" -c /etc/snort/snort-test.conf -l /var/log/snort"
Τώρα εάν πάμε σε ένα άλλο σύστημα και κάνουμε ping το σύστημα που εγκαταστήσαμε το snort.
Επιστρέφουμε στο σύστημα με το snort και στο τερματικό γράφουμε:
"cat /var/log/snort/alert"
μέσα στο αρχείο θα δούμε ένα alert με ICMP πακέτα από την ip που κάναμε ping προς
το σύστημα μας.
Αυτό ήταν έχουμε εγκαταστήσει και ρυθμίσει πλήρως το snort στο σύστημα μας.
Table: Rule structure and example
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου