Här är en uppdelning av de viktigaste konfigurationsstegen för att ställa in en SNORT-nätverk IDS-sensor för att övervaka ett subnätverk, tillsammans med väsentliga överväganden för att hantera den genom en webbaserad konsol:
1. Hårdvaru- och nätverksinställningar:
* snortsensor hårdvara:
* Välj en dedikerad hårdvaruplattform eller virtuell maskin med tillräcklig bearbetningskraft och minne för snort.
* Se till att sensorn har nätverksgränssnitt som kan övervaka undernätstrafiken.
* Nätverksanslutning:
* Snortsensorn måste placeras strategiskt i nätverket för att se den trafik du vill övervaka.
* Tänk på en "spanport" på en switch för att spegla trafiken till sensorn utan att störa huvudnätverksflödet.
* Om du har ett dedikerat "hantering" -nätverk, se till att sensorn har tillgång till det för konfiguration och uppdateringar.
2. Snortinstallation och konfiguration:
* snortinstallation:
* Ladda ner och installera SNORT -IDS -paketet (vanligtvis från webbplatsen Snort.org) för ditt operativsystem.
* Välj lämplig version för dina behov.
* Konfiguration:
* gränssnittskonfiguration: Definiera nätverksgränssnittet (er) på vilka snort kommer att lyssna på trafiken.
* Förbehandlingsalternativ: Bestäm hur snort ska förbehandla inkommande paket (t.ex. för byte-beställning, TCP-sekvensnummerkontroll).
* regeluppsättningar: Välj lämpliga regeluppsättningar för din miljö.
* snorts förpackade regler: Snort kommer med regeluppsättningar som "community" (en allmän syfteuppsättning) och "nya" (för nyare hot).
* Anpassade regler: Du kan skapa dina egna regler för att upptäcka specifika sårbarheter eller nätverksbeteendemönster.
* Utgångsmetoder: Konfigurera hur snortrapporter varningar, till exempel:
* konsol: Visar varningar på sensorns konsol.
* loggning: Skriva varningar till en fil.
* varningssystem: Integrering med externa verktyg som e -postservrar, syslog -servrar eller SIEM.
3. Webbaserat konsolgränssnitt (hantering)
* snort webbgränssnitt (valfritt):
* snorts inbyggda gränssnitt: Vissa snortversioner inkluderar ett grundläggande webbgränssnitt.
* Tredjepartsverktyg: Många kommersiella och öppna källkodsverktyg ger snortintegration:
* Open Source:
* Säkerhetslök: En fullständig säkerhetsdistribution med Snort, Suricata och andra säkerhetsverktyg.
* Elsa (Elasticsearch, logstash, snort och varning): Använder Elasticsearch och Logstash för effektiv insamling och analys av evenemang.
* kommersiella:
* alienvault ossim: Erbjuder en enhetlig säkerhetsplattform med IDS, SIEM och andra säkerhetsverktyg.
* ibm qradar: Ett omfattande SIEM- och hothanteringssystem.
4. Regelhantering och inställning
* Regeluppdateringar: Håll Snorts regeluppsättningar uppdaterade.
* Regeljustering:
* Falska positiva: Minska falska positiver (varningar som inte är faktiska hot) genom att ställa in regler eller lägga till sammanhang till dem.
* falska negativ: Minimera falska negativ (saknas verkliga hot) genom att säkerställa att du har lämpliga regeluppsättningar.
* varningsanalys: Undersök varningar för att bestämma deras svårighetsgrad och potentiella påverkan på ditt nätverk.
5. Övervakning och rapportering
* loganalys: Analysera snortloggarna regelbundet för att identifiera trender, mönster och potentiella hot.
* instrumentpaneler: Visualisera snortdata med instrumentpaneler för att övervaka nätverkshälsa och potentiella säkerhetsincidenter.
Exempelkonfiguration:
* snortkonfigurationsfil (snort.conf):
`` `
# Gränssnitt för att övervaka
# Detta antar att du har en switch med en spanport konfigurerad
# och snortsensorn är ansluten till den spanporten
Ingångsgränssnitt 0 eth1
# Förbehandlingsalternativ (du kan behöva justera dessa)
förbehållsmotor PPS
förbehållare byte
förbehållsmotorfragment
# Regeluppsättningar
# Använd lämpliga uppsättningar för din miljö
Rulepath/etc/snort/regler
# Standardregeluppsättningar som ingår i snort
var regel_path/etc/snort/regler
Inkludera $ regel_path/community.rules
Inkludera $ regel_path/nya.rules
# Utgångskonfiguration
Log Output Syslog
`` `
Nyckelöverväganden:
* Nätverksprestanda: Se till att sensorn inte påverkar din nätverksprestanda negativt genom att korrekt konfigurera dess bearbetningskapacitet.
* Falska positiva: Förvänta dig ett visst antal falska positiva och har en plan för att minska dem.
* varningshantering: Har en definierad process för hantering och undersökning av varningar.
* Sensorns säkerhet: Säkra själva snortsensorn mot attacker (t.ex. använd starka lösenord, håll den uppdaterad och använd brandväggar).
Kom ihåg: Detta är en översikt på hög nivå. De specifika konfigurationsstegen och val du gör beror på din nätverksmiljö, säkerhetsbehov och snortversionen du använder. Det är avgörande att undersöka och testa din konfiguration noggrant innan du distribuerar snort i en produktionsmiljö.
