Her er en oversigt over de vigtigste konfigurationstrin til opsætning af en Snort Network IDS-sensor til at overvåge et undernetværk sammen med vigtige overvejelser til styring af den gennem en webbaseret konsol:
1. Hardware og netværksopsætning:
* Snort Sensor Hardware:
* Vælg en dedikeret hardwareplatform eller en virtuel maskine med tilstrækkelig behandlingseffekt og hukommelse til SNORT.
* Sørg for, at sensoren har netværksgrænseflader, der er i stand til at overvåge undernetværkets trafik.
* Netværksforbindelse:
* Snort -sensoren skal placeres strategisk inden for netværket for at se den trafik, du vil overvåge.
* Overvej en "span -port" på en switch for at spejle trafikken til sensoren uden at forstyrre hovednetværksstrømmen.
* Hvis du har et dedikeret "Management" -netværk, skal du sørge for, at sensoren har adgang til det til konfiguration og opdateringer.
2. Snort installation og konfiguration:
* Snort -installation:
* Download og installer Snort IDS -pakken (normalt fra Snort.org -webstedet) til dit operativsystem.
* Vælg den relevante version til dine behov.
* Konfiguration:
* Interfacekonfiguration: Definer netværksgrænsefladen (er), som Snort vil lytte til trafik.
* Forarbejdningsmuligheder: Bestem, hvordan Snort skal forbehandle indgående pakker (f.eks. Til byte-bestilling, TCP-sekvensnummerkontrol).
* regelsæt: Vælg de relevante regelsæt for dit miljø.
* Snorts forudpakkede regler: Snort leveres med regelsæt som "samfund" (et generelt formålssæt) og "dukker op" (for nyere trusler).
* brugerdefinerede regler: Du kan oprette dine egne regler for at detektere specifikke sårbarheder eller netværksadfærdsmønstre.
* Outputmetoder: Konfigurer hvordan Snort rapporterer advarsler, såsom:
* konsol: Visning af alarmer om sensorens konsol.
* Logning: Skrivning af advarsler til en fil.
* alarmeringssystemer: Integrering med eksterne værktøjer som e -mail -servere, syslog -servere eller SIEM'er.
3. Web-baseret konsolgrænseflade (Management)
* Snort webgrænseflade (valgfrit):
* Snorts indbyggede interface: Nogle snortversioner inkluderer en grundlæggende webgrænseflade.
* tredjepartsværktøjer: Mange kommercielle og open source-styringsværktøjer giver SNORT-integration:
* open source:
* Sikkerhedsløg: En fuld sikkerhedsfordeling med Snort, Suricata og andre sikkerhedsværktøjer.
* Elsa (Elasticsearch, Logstash, Snort og Alerting): Bruger Elasticsearch og Logstash til effektiv begivenhedsindsamling og analyse.
* Kommerciel:
* Alienvault Ossim: Tilbyder en samlet sikkerhedsplatform med IDS, SIEM og andre sikkerhedsværktøjer.
* IBM Qradar: Et omfattende SIEM og trusselstyringssystem.
4. Regelstyring og tuning
* Regelopdateringer: Hold Snorts regelsæt opdateret.
* Regel Tuning:
* falske positive: Reducer falske positive (advarsler, der ikke er faktiske trusler) ved at indstille regler eller tilføje kontekst til dem.
* falske negativer: Minimer falske negativer (mangler reelle trusler) ved at sikre, at du har de passende regelsæt.
* alarmanalyse: Undersøg advarsler for at bestemme deres sværhedsgrad og potentielle indflydelse på dit netværk.
5. Overvågning og rapportering
* Loganalyse: Analyser Snort -logfilerne regelmæssigt for at identificere tendenser, mønstre og potentielle trusler.
* dashboards: Visualiser Snort -data ved hjælp af dashboards til overvågning af netværkssundhed og potentielle sikkerhedshændelser.
Eksempel Konfiguration:
* Snort -konfigurationsfil (Snort.conf):
`` `
# Interface til overvågning
# Dette antager, at du har en switch med en span -port konfigureret
# og Snort -sensoren er forbundet til den span -port
input interface 0 eth1
# Forarbejdningsmuligheder (du skal muligvis justere disse)
Preprocessor motor PPS
Preprocessor motorbyte-ordre
Preprocessor motorfragment
# Regel sæt
# Brug passende sæt til dit miljø
Rulepath/etc/snort/regler
# Standardregelsæt inkluderet i Snort
var regel_path/etc/snort/regler
Medtag $ regel_path/community.rules
Medtag $ regel_path/nye.rules
# Outputkonfiguration
Log output syslog
`` `
Nøgleovervejelser:
* Netværksydelse: Sørg for, at sensoren ikke har negativ indflydelse på din netværksydelse ved korrekt at konfigurere dens behandlingskapacitet.
* falske positive: Forvent et vist antal falske positiver og har en plan om at reducere dem.
* Alerthåndtering: Har en defineret proces til håndtering og efterforskning af alarmer.
* Sensorens sikkerhed: Fastgør selve Snort-sensoren mod angreb (f.eks. Brug stærke adgangskoder, hold den opdateret og brug firewalls).
Husk: Dette er en oversigt over højt niveau. De specifikke konfigurationstrin og valg, du foretager, afhænger af dit netværksmiljø, sikkerhedsbehov og den snortversion, du bruger. Det er vigtigt at undersøge og teste din konfiguration grundigt, før du implementerer Snort i et produktionsmiljø.
