Mở đầu

Tiếp tục series, đầu bài mình khái quát lại Phần 1 với Snort là một mã nguồn mở miễn phí với nhiều tính năng trong việc bảo vệ hệ thống bên trong, phát hiện sự tấn công từ bên ngoài vào hệ thống - một kiểu IDS/IPS, thực hiện giám sát các gói tin ra vào hệ thống.

Cấu hình snort

Các bước để tiến hành cấu hình snort:

• Bước 1: Set the network variables – cấu hình các thành phần của mạng .
• Bước 2: Configure the decoder : cấu hình thành phần module giải mã
• Bước 3: Configure the base detection engine - công cụ phát hiện cơ sở.
• Bước 4: Configure dynamic loaded libraries - thư viện được tải động
• Bước 5: Configure preprocessors – Cấu hình tiền sử lý
• Bước 6: Configure output plugins – cấu hình các plugin đầu ra
• Bước 7: Customize your rule set – cấu hình luật
• Bước 8: Customize preprocessor and decoder rule set – Cấu hình luật tiền xử lý và luật bộ giải mã
• Bước 9: Customize shared object rule set – cấu hình bộ luật đối tượng chia sẻ

Các bước cấu hình chi tiết và demo

Cài đặt Snort:

Thực hiện update và cài đặt các gói hỗ trợ: Pcap, PCRE, libdnet, DAQ, lib

apt install -y build-essential
apt install -y libpcap-dev libpcre3-dev libdumbnet-dev
apt install -y bison flex
apt install -y zlib1g-dev liblzma-dev openssl libssl-dev libnghttp2-
dev

Tạo thư mục chứa sources code cài đặt và cài đặt:

mkdir -p ~/snort_src
cd ~/snort_src

Tải, giải nén, cài đặt gói DAQ:

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
tar -xzvf daq-2.0.7.tar.gz
cd daq-2.0.7
./configure
make
make install

Tải gói Snort:

Trong hướng dẫn này, mình sử dụng phiên bản 2.9.18.1 Các bạn có thể sử dụng các phiên bản mới hơn ở trang chủ nhé.

wget https://www.snort.org/downloads/snort/snort-2.9.18.1.tar.gz
tar -xzvf snort-2.9.18.1.tar.gz
cd snort-2.9.18.1
./configure --enable-sourcefire
make
make install

Cập nhật thư viện:

ldconfig

Tạo các thư mục Snort và các thư mục chứa các bộ rule

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/rules/iplists
mkdir /etc/snort/preproc_rules
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/so_rules

Tạo file để lưu trữ rule và danh sách IP

touch /etc/snort/rules/iplists/black_list.rules
touch /etc/snort/rules/iplists/white_list.rules
touch /etc/snort/rules/local.rules
touch /etc/snort/sid-msg.map

Tạo thư mục lưu trữ log

mkdir /var/log/snort
mkdir /var/log/snort/archived_logs

Phân quyền

chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /etc/snort/so_rules
chmod -R 5775 /usr/local/lib/snort_dynamicrules

Chuyển quyền

chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules

Sử dụng cấu hình có sẵn coppy vào thư mục /etc/snort

cd ~/snort_src/snort-2.9.18.1/etc/
cp *.conf* /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snort
cd~/snort_src/snort-2.9.18.1/src/dynamicpreprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
cp * /usr/local/lib/snort_dynamicpreprocessor

Chỉnh sửa các cấu hình cơ bản trong snort.conf

sudo nano /etc/snort/snort.conf

Chỉnh sửa HOMENET trong cấu hình Thêm đường dẫn các thư mục chứa cấu hình Rules

Cuối cùng, khởi động lại dịch vụ để áp đặt cấu hình mới nhất.

Kết luận

Như vậy là đã hoàn tất quá trình cài đặt snort với cấu hình cơ bản. Trong phần tiếp theo, mình sẽ thực hiện cấu hình các bộ luật phù hợp và demo tấn công để đưa ra cảnh báo! Nhớ theo dõi và upvote bài viết để mình ra phần tiếp theo sớm nhé! Thanks yall.