iT邦幫忙

2023 iThome 鐵人賽

DAY 18
2
Security

由淺入深,探索 NFV 與入侵偵測系統在其中的應用系列 第 18

[Day18] 動手架設入侵偵測系統吧~Snort 介紹、安裝教學

  • 分享至 

  • xImage
  •  

我們在前幾篇有說明:

  1. 如何安裝 VMware Workstation Player(Windows 64-bit)
  2. 如何安裝 Ubuntu

接下來就進入 Snort 的部分囉~


本篇大綱
一、什麼是 Snort?
二、Snort 的功能
三、安裝 Snort 的步驟(Windows 用戶)
四、安裝 Snort(Linux 用戶)


一、什麼是 Snort?

Snort 是一個開源入侵偵測系統(IDS)入侵防禦系統(IPS)工具,主要用來監控和分析網路流量,以偵測潛在的網路入侵和攻擊。可以幫助我們識別和應對各種網路安全威脅,包含惡意軟體、病毒、蠕蟲、網路掃描、DoS(拒絕服務)攻擊和其他入侵行為。

二、Snort 的功能

  1. 封包捕獲和分析:

    • Snort 可以捕獲傳遞在網路上的封包,並對它們進行深入分析。它檢查封包的標頭訊息和內容,以識別可能的攻擊模式或異常行為。
  2. 自定義規則引擎:

    • 允許用戶創建自定義的偵測規則。這些規則可以根據特定的網路環境和需求來訂定,以識別各種攻擊類型。
  3. 實時警報生成:

    • 當 Snort 偵測到符合設定的規則的封包時,可以生成實時警報消息。這些警報可以通知使用者或其他監控系統,以便及時應對潛在的威脅。
  4. log 記錄:

    • 能夠記錄所有網路流量和相關事件,以供後續分析、調查和審計使用。這些 log 有助於追蹤攻擊者的活動和了解網路安全事件。
  5. 多種偵測模式:

    • Snort 支持多種偵測模式,包含:網路型入侵偵測(NIDS)、主機型入侵偵測(HIDS)和網路流量分析。這使它能夠在不同層次上保護網路資源。
  6. 性能優化:

    • 能夠應對高流量網路,同時保持低延遲,以確保網路效能不受太大影響。

三、安裝 Snort 的步驟

若已經成功安裝了 Ubuntu 在 VMware Workstation Player 中,接下來可以通過以下步驟來安裝 Snort:

步驟 1:更新軟體套件清單
https://ithelp.ithome.com.tw/upload/images/20231003/20156517zRNRPCa0bz.jpg

  • 首先,打開終端機(Terminal)

可以通過以下方式打開終端機:

  1. 使用快捷鍵:按下 Ctrl + Alt + T 鍵組合。
  2. 從應用程式選單中打開 Terminal。
  3. 將 Terminal 釘選到工作列或桌面上,以便快速訪問。
  • 若需要超級用戶(root)權限來執行某些命令,請使用 sudo 命令。
  • 為確保系統軟體套件清單是最新的。輸入以下命令:
sudo apt update
  • 接著,輸入你的管理員密碼以確認操作。

步驟 2:安裝 Snort

  • 一旦軟體套件清單已經更新,你可以使用以下命令安裝 Snort:
sudo apt install snort
  • 系統會提示你確認安裝,請按 Y 鍵然後按 Enter 鍵確認。

步驟 3:配置 Snort

https://ithelp.ithome.com.tw/upload/images/20231003/20156517E4Aj8EBc3A.jpg

  1. Snort 也會要求要指定本地網路的地址範圍(通常我們會指定自己的本地網路的 IP 地址範圍),以便 Snort 知道哪些流量被視為內部網路。
  2. 假設我提供了一個 CIDR 表示法的地址範圍:192.168.0.0/14
  3. 這個地址範圍表示的是 192.168.0.0192.168.255.255 之間的所有 IP 地址,這是一個典型的私有 IP 地址範圍,通常在家庭或企業網路中使用。
  4. 不過,若是你的內部網路不在這個範圍內,也可以根據你的實際情況提供正確的地址範圍。
  • 安裝完成後,你需要配置 Snort,以定義入侵偵測規則和設定。Snort 的配置文件通常位於 /etc/snort/ 目錄下。

  • 可以使用文本編輯器(如 Nano 或 Vim)來編輯 Snort 的配置文件。例如,使用 Nano 編輯器:

sudo nano /etc/snort/snort.conf
  • 在配置文件中,可以定義自定義的入侵偵測規則,設定日誌記錄位置,並進行其他必要的設置,且需要根據你的特定需求和網路環境進行配置。

步驟 4:啟動 Snort

  • 完成配置後,就可以啟動 Snort 服務:
sudo systemctl start snort
  • 如果需要,可以將 Snort 設置為在系統啟動時自動啟動:
sudo systemctl enable snort
  • Snort 已經安裝並運行在 Ubuntu 系統上,可以開始監視網路流量並進行入侵偵測。請確保仔細設置和調整 Snort,以滿足安全需求。也可以定期檢查 Snort 的 log 記錄以監視任何潛在的入侵活動。

四、安裝 Snort(Linux 用戶)

若你是Linux 用戶,且沒有要在 VM 上操作,也可以選擇直接安裝 Snort。
(不過我這系列主來還是以 VMware Workstation Player(Windows 64-bit)的使用者的操作為主)

Snort 下載連結:https://www.snort.org/


Snort 的初登場就先到這!
颱風快來了,大家都要平安啊~
/images/emoticon/emoticon68.gif


上一篇
[Day17] 動手架設入侵偵測系統吧~在 VMware Workstation Player(Windows)安裝 Ubuntu
下一篇
[Day19] 在 Ubuntu 上使用 Snort 的常見指令集
系列文
由淺入深,探索 NFV 與入侵偵測系統在其中的應用31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言