المحتوى
- لماذا يتم إعداد نظام كشف التسلل؟
- تثبيت حزمة Snort
- الحصول على كود Oinkmaster
- اتبع الخطوات أدناه للحصول على كود Oinkmaster الخاص بك:
- إدخال كود Oinkmaster في Snort
- تحديث القواعد يدويًا
- مضيفا الواجهات
- تكوين الواجهة
- تحديد فئات القاعدة
- ما هو الغرض من فئات القاعدة؟
- كيف يمكنني الحصول على مزيد من المعلومات حول فئات القواعد؟
- فئات Snort Rule الشائعة
- المعالج المسبق وإعدادات التدفق
- بدء الواجهات
- إذا فشل Snort في البدء
- التحقق من التنبيهات
يعمل Sam كمحلل شبكة في شركة تجارية تعتمد على الخوارزميات. حصل على درجة البكالوريوس في تكنولوجيا المعلومات من UMKC.
لماذا يتم إعداد نظام كشف التسلل؟
يقوم المتسللون والفيروسات والتهديدات الأخرى بفحص شبكتك باستمرار بحثًا عن طريقة للدخول. لا يتطلب الأمر سوى جهاز واحد مخترق حتى تتعرض الشبكة بأكملها للاختراق. لهذه الأسباب ، أوصي بإعداد نظام للكشف عن التسلل حتى تتمكن من الحفاظ على أنظمتك آمنة ومراقبة التهديدات المختلفة على الإنترنت.
Snort هو معرف مفتوح المصدر يمكن تثبيته بسهولة على جدار حماية pfSense لحماية شبكة منزلية أو شركة من المتطفلين. يمكن أيضًا تكوين Snort ليعمل كنظام منع التطفل (IPS) ، مما يجعله مرنًا للغاية.
في هذه المقالة ، سوف أطلعك على عملية تثبيت وتكوين Snort على pfSense 2.0 حتى تتمكن من البدء في تحليل حركة المرور في الوقت الفعلي.
تثبيت حزمة Snort
لبدء استخدام Snort ، ستحتاج إلى تثبيت الحزمة باستخدام مدير حزمة pfSense. يوجد مدير الحزم في قائمة النظام الخاصة بواجهة المستخدم الرسومية على الويب pfSense.
حدد موقع Snort من قائمة الحزم ثم انقر فوق رمز الجمع الموجود على الجانب الأيمن لبدء التثبيت.
من الطبيعي أن يستغرق تثبيت snort بضع دقائق ، وله العديد من التبعيات التي يجب على pfSense أولاً تنزيلها وتثبيتها.
بعد اكتمال التثبيت ، سيظهر Snort في قائمة الخدمات.
يمكن تثبيت Snort باستخدام مدير حزمة pfSense.
الحصول على كود Oinkmaster
لكي يكون Snort مفيدًا ، يجب تحديثه بأحدث مجموعة من القواعد. يمكن لحزمة Snort تحديث هذه القواعد تلقائيًا نيابةً عنك ، ولكن يجب أولاً الحصول على كود Oinkmaster.
تتوفر مجموعتان مختلفتان من قواعد Snort:
- مجموعة إصدار المشترك هي أحدث مجموعة من القواعد المتاحة. يتطلب الوصول في الوقت الفعلي إلى هذه القواعد اشتراكًا سنويًا مدفوعًا.
- الإصدار الآخر من القواعد هو إصدار المستخدم المسجل وهو مجاني تمامًا لأي شخص يقوم بالتسجيل على موقع Snort.org.
يتمثل الاختلاف الرئيسي بين مجموعتي القواعد في أن القواعد في إصدار المستخدم المسجل متأخرة 30 يومًا عن قواعد الاشتراك. إذا كنت تريد أحدث حماية ، يجب أن تحصل على اشتراك.
اتبع الخطوات أدناه للحصول على كود Oinkmaster الخاص بك:
- قم بزيارة صفحة ويب قواعد Snort لتنزيل الإصدار الذي تحتاجه.
- انقر فوق "تسجيل للحصول على حساب" وإنشاء حساب Snort.
- بعد تأكيد حسابك ، قم بتسجيل الدخول إلى Snort.org.
- انقر فوق "حسابي" في شريط الارتباط العلوي.
- انقر فوق علامة التبويب "الاشتراكات و Oinkcode".
- انقر فوق ارتباط Oinkcodes ثم انقر فوق "إنشاء رمز".
سيظل الرمز مخزنًا في حسابك حتى تتمكن من الحصول عليه لاحقًا إذا لزم الأمر. يجب إدخال هذا الرمز في إعدادات Snort في pfSense.
مطلوب كود Oinkmaster لتنزيل القواعد من Snort.org.
إدخال كود Oinkmaster في Snort
بعد الحصول على كود Oinkcode ، يجب إدخاله في إعدادات حزمة Snort. ستظهر صفحة إعدادات Snort في قائمة الخدمات لواجهة الويب. إذا لم تكن مرئية ، فتأكد من تثبيت الحزمة وأعد تثبيت الحزمة إذا لزم الأمر.
يجب إدخال رمز Oinkcode في صفحة الإعدادات العامة لإعدادات Snort. أود أيضًا تحديد المربع لتمكين قواعد التهديدات الناشئة أيضًا. يتم الحفاظ على قواعد ET من قبل مجتمع مفتوح المصدر ويمكن أن توفر بعض القواعد الإضافية التي قد لا توجد في مجموعة Snort.
التحديثات التلقائية
بشكل افتراضي ، لن تقوم حزمة Snort بتحديث القواعد تلقائيًا. الفاصل الزمني الموصى به للتحديث هو مرة كل 12 ساعة ، ولكن يمكنك تغيير ذلك ليناسب بيئتك.
لا تنس النقر فوق الزر "حفظ" بمجرد الانتهاء من إجراء التغييرات.
تحديث القواعد يدويًا
لا يأتي Snort مع أي قواعد ، لذا سيتعين عليك تحديثها يدويًا في المرة الأولى. لتشغيل التحديث اليدوي ، انقر فوق علامة تبويب التحديثات ثم انقر فوق زر قواعد التحديث.
ستقوم الحزمة بتنزيل أحدث مجموعات القواعد من Snort.org وأيضًا التهديدات الناشئة إذا حددت هذا الخيار.
بعد الانتهاء من التحديثات ، سيتم استخراج القواعد وتصبح جاهزة للاستخدام بعد ذلك.
يجب تنزيل القواعد يدويًا في المرة الأولى التي يتم فيها إعداد Snort.
مضيفا الواجهات
قبل أن يبدأ Snort في العمل كنظام للكشف عن التسلل ، يجب عليك تعيين واجهات لمراقبتها. التكوين النموذجي هو Snort لمراقبة أي واجهات WAN. التكوين الآخر الأكثر شيوعًا هو أن يقوم Snort بمراقبة واجهة WAN و LAN.
يمكن أن توفر مراقبة واجهة LAN بعض الرؤية للهجمات الجارية من داخل شبكتك. ليس من غير المألوف أن يصاب جهاز كمبيوتر على شبكة LAN ببرامج ضارة ويبدأ في شن هجمات على الأنظمة داخل وخارج الشبكة.
لإضافة واجهة ، انقر فوق رمز علامة الجمع الموجود في علامة تبويب واجهة Snort.
تكوين الواجهة
بعد النقر على زر إضافة الواجهة ، سترى صفحة إعدادات الواجهة.تحتوي صفحة الإعدادات على الكثير من الخيارات ، ولكن لا يوجد سوى عدد قليل منها تحتاج حقًا للقلق بشأن تشغيل الأشياء وتشغيلها.
- أولاً ، حدد مربع التمكين أعلى الصفحة.
- بعد ذلك ، حدد الواجهة التي تريد تكوينها (في هذا المثال ، أقوم بتكوين شبكة WAN أولاً).
- اضبط أداء الذاكرة على AC-BNFA.
- حدد المربع "تنبيهات السجل لملف snort unified2" حتى يعمل barnyard2.
- انقر فوق حفظ.
إذا كنت تقوم بتشغيل جهاز توجيه متعدد الشبكات، يمكنك المضي قدمًا وتكوين واجهات WAN الأخرى على نظامك. أوصي أيضًا بإضافة واجهة LAN.
قبل أن تبدأ الواجهات ، هناك عدد قليل من الإعدادات الإضافية التي يجب تكوينها لكل واجهة. لتكوين الإعدادات الإضافية ، ارجع إلى علامة التبويب واجهات Snort وانقر فوق الرمز "E" على الجانب الأيمن من الصفحة بجوار الواجهة. سيعيدك هذا إلى صفحة التكوين لتلك الواجهة المعينة. لتحديد فئات القواعد التي يجب تمكينها للواجهة ، انقر فوق علامة التبويب الفئات. جميع قواعد الكشف مقسمة إلى فئات. ستبدأ الفئات التي تحتوي على قواعد من التهديدات الناشئة بكلمة "ناشئة" ، وتبدأ القواعد من Snort.org بـ "snort". بعد تحديد الفئات ، انقر فوق زر حفظ في أسفل الصفحة. بتقسيم القواعد إلى فئات ، يمكنك فقط تمكين الفئات المعينة التي تهتم بها. أوصي بتمكين بعض الفئات الأكثر عمومية. إذا كنت تقوم بتشغيل خدمات معينة على شبكتك مثل خادم الويب أو قاعدة البيانات ، فيجب عليك تمكين الفئات المتعلقة بها أيضًا. من المهم أن تتذكر أن Snort سيتطلب المزيد من موارد النظام في كل مرة يتم فيها تشغيل فئة إضافية. يمكن أن يؤدي هذا أيضًا إلى زيادة عدد الإيجابيات الخاطئة أيضًا. بشكل عام ، من الأفضل تشغيل المجموعات التي تحتاجها فقط ، لكن لا تتردد في تجربة الفئات ومعرفة ما هو الأفضل.تحديد فئات القاعدة
ما هو الغرض من فئات القاعدة؟
كيف يمكنني الحصول على مزيد من المعلومات حول فئات القواعد؟
إذا كنت تريد معرفة القواعد الموجودة في إحدى الفئات ومعرفة المزيد حول ما تفعله ، فيمكنك النقر فوق الفئة. سيؤدي هذا إلى ربطك مباشرة بقائمة جميع القواعد داخل الفئة.
فئات Snort Rule الشائعة
| اسم التصنيف | وصف |
|---|---|
snort_botnet-cnc.rules | يستهدف مضيفي التحكم والسيطرة في الروبوتات المعروفين. |
قواعد snort_ddos | يكتشف هجمات رفض الخدمة. |
قواعد snort_scan | تكتشف هذه القواعد عمليات فحص المنافذ وتحقيقات Nessus وهجمات جمع المعلومات الأخرى. |
snort_virus.rules | يكتشف تواقيع أحصنة طروادة والفيروسات والديدان المعروفة. يوصى بشدة باستخدام هذه الفئة. |
المعالج المسبق وإعدادات التدفق
هناك بعض الإعدادات في صفحة إعدادات المعالجات الأولية التي يجب تمكينها. تتطلب العديد من قواعد الكشف تمكين فحص HTTP حتى تعمل.
- ضمن إعدادات فحص HTTP ، قم بتمكين "استخدام فحص HTTP للتطبيع / فك التشفير"
- في قسم إعدادات المعالج المسبق العامة ، قم بتمكين "Portscan Detection"
- احفظ الإعدادات.
بدء الواجهات
عند إضافة واجهة جديدة إلى Snort ، لا يبدأ تشغيلها تلقائيًا. لبدء الواجهات يدويًا ، انقر فوق زر التشغيل الأخضر على الجانب الأيسر من كل واجهة تم تكوينها.
عند تشغيل Snort ، سيظهر النص الموجود خلف اسم الواجهة باللون الأخضر. لإيقاف Snort ، انقر فوق زر التوقف الأحمر الموجود على الجانب الأيسر من الواجهة.
هناك بعض المشاكل الشائعة التي يمكن أن تمنع بدء Snort.
إذا فشل Snort في البدء
التحقق من التنبيهات
بعد تكوين Snort وبدء تشغيله بنجاح ، يجب أن تبدأ في رؤية التنبيهات بمجرد اكتشاف حركة المرور المطابقة للقواعد.
إذا كنت لا ترى أي تنبيهات ، فامنحها بعض الوقت ثم تحقق مرة أخرى. قد يستغرق الأمر بعض الوقت قبل أن ترى أي تنبيهات ، اعتمادًا على مقدار حركة المرور والقواعد التي تم تمكينها.
إذا كنت تريد عرض التنبيهات عن بُعد ، فيمكنك تمكين إعداد الواجهة "إرسال التنبيهات إلى سجلات النظام الرئيسية". يمكن أن تكون التنبيهات التي تظهر في سجلات النظام ينظر إليها عن بعد باستخدام Syslog.
هذه المقالة دقيقة وصحيحة على حد علم المؤلف. المحتوى لأغراض إعلامية أو ترفيهية فقط ولا يحل محل الاستشارة الشخصية أو المهنية في الأعمال التجارية أو المالية أو القانونية أو الفنية.
