كيفية تثبيت وإعداد Snort IDS على نظام Linux

كيفية تثبيت وإعداد Snort IDS على نظام Linux


تعد أنظمة كشف التسلل (IDS) ضرورية لحماية شبكات الكمبيوتر من الوصول غير المصرح به والمخاطر المحتملة في مجال الأمن السيبراني. تبرز Snort IDS من بين العديد من خيارات IDS المتاحة كحل قوي مفتوح المصدر ومستخدم على نطاق واسع للكشف عن عمليات اختراق الشبكة ومنعها. يوضح لك هذا البرنامج التعليمي كيفية تثبيت وإعداد Snort IDS على Linux ، مما يوفر لك المعرفة التي تحتاجها لتحسين أمان شبكتك.

نصيحة: تحقق من المزيد من الطرق لتأمين خادم Linux الخاص بك.

كيف يعمل Snort IDS

Snort IDS هو نظام لاكتشاف التسلل على الشبكة يراقب حركة مرور الشبكة ويحللها بحثًا عن أي نشاط مشبوه ويصدر تحذيرات ضد التهديدات المحتملة. كنظام للكشف عن التسلل يعتمد على التوقيع ، يحلل Snort حركة مرور الشبكة باستخدام قاعدة بيانات للأنماط المعروفة للهجمات ، والمعروفة باسم القواعد ، لاكتشاف النشاط الضار. يكتشف Snort IDS مجموعة واسعة من هجمات الشبكة ويمنعها ، بما في ذلك عمليات فحص المنافذ وهجمات DoS وحقن SQL ، المعروفة على نطاق واسع بقدرات تحليل حركة المرور في الوقت الفعلي.

التكوين الأساسي

قبل المضي قدمًا في تثبيت Snort IDS ، يلزم وجود بعض التكوين الأساسي. يستلزم بشكل أساسي تحديث نظامك وترقيته وتثبيت التبعيات التي يتطلبها Snort للعمل بشكل فعال.

  1. قم بتحديث وترقية نظام Linux. بالنسبة إلى Ubuntu والأنظمة الأخرى المستندة إلى Debian:
sudo apt update && apt upgrade -y
  1. قم بتثبيت التبعيات المطلوبة لتشغيل Snort IDS:
sudo apt install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev zlib1g-dev pkg-config libhwloc-dev cmake liblzma-dev openssl libssl-dev cpputest libsqlite3-dev libtool uuid-dev git autoconf bison flex libcmocka-dev libnetfilter-queue-dev libunwind-dev libmnl-dev ethtool libjemalloc-dev libpcre++-dev
  1. يتطلب الأداء السليم لـ Snort التثبيت اليدوي لمكتبة اقتناء البيانات ، LibDAQ. لتثبيت LibDAQ ، قم بتنزيل الملفات من موقعه الرسمي على الإنترنت ، واستخرج الأرشيف وانتقل إلى الدليل المقابل ، ثم قم ببنائه وتجميعه.
wget https://www.snort.org/downloads/snortplus/libdaq-3.0.11.tar.gz
tar -xzvf libdaq-3.0.11
cd libdaq-3.0.11
./bootstrap
./configure
make
sudo make install
  1. التبعية النهائية هي أدوات gperftools. ابدأ بالحصول على الملفات المصدر من مستودع GitHub. قم باستخراج الملفات ، وانتقل إلى الدليل المختار ، وقم بتنفيذ البرنامج النصي للتكوين لبدء عملية الإعداد. بعد ذلك ، قم بتنفيذ ملف make و make install أوامر لتثبيت الحزمة.
wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.10/gperftools-2.10.tar.gz
tar -xvzf gperftools-2.10 && cd gperftools-2.10
./configure
make 
sudo make install

بعد ذلك ، ستحتاج إلى تثبيت Snort.

هل تعرف: تم إدراج Snort IDS كأحد أفضل الأدوات مفتوحة المصدر لتأمين خادم Linux الخاص بك.

تثبيت Snort IDS

  1. يمكنك إما تنزيل Snort IDS من موقع Snort الرسمي أو باستخدام wget في المحطة:
wget https://www.snort.org/downloads/snortplus/snort3-3.1.58.0.tar.gz
  1. ابدأ في استخراج الملف.
tar -xzvf snort3-3.1.58.0
  1. انتقل إلى الدليل المستخرج وقم بتنفيذ البرنامج النصي للتكوين ، وقم بإعداد الملفات بامتداد make الأمر ، ثم قم بتثبيتها باستخدام ملف make install يأمر.
cd snort3-3.1.58.0
./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc
cd build
make
sudo make install
  1. Snort جاهز للتشغيل على نظامك. قبل تكوين Snort IDS ، قم بتحديث المكتبة المشتركة. خلاف ذلك ، عند محاولة تشغيل Snort ، قد ينتهي بك الأمر بخطأ:

ستعمل هذه العملية على مزامنة ذاكرة التخزين المؤقت للمكتبة المشتركة للنظام مع المكتبات والثنائيات المثبتة حديثًا.

للتحقق من صحة Snort ، فإن الأمر snort -V سيعرض إصدار Snort IDS في نافذة المحطة:

Snort -V

لعِلمِكَ: بالإضافة إلى استخدام IDS ، يمكنك أيضًا إعداد مصيدة SSH للقبض على المتسللين في الخادم الخاص بك.

تكوين وإعداد القواعد باستخدام Snort IDS

لتهيئة بيئة الشبكات لنظام Linux للتواصل مع Snort IDS ، اكتشف اسم بطاقة واجهة الشبكة لنظامك:

قم بإعداد بطاقة واجهة الشبكة بالأمر التالي:

sudo ip link set dev interface_name promisc on

لاحظ أن “اسم_واجهة” في الأمر هو اسم بطاقة إيثرنت الخاصة بنظامك.

لتجنب قطع حزم الشبكة الأكبر حجمًا ، قم بتعطيل إلغاء تحميل الاستلام العام (GRO) وإلغاء تحميل الاستلام الكبير (LRO) باستخدام أداة ethtool:

sudo ethtool -K interface_name gro off lro off

اختبر الأداء باستخدام التكوين الأساسي عن طريق تشغيل الأمر المذكور أدناه:

snort -c /usr/local/etc/snort/snort.lua

يجب أن يقدم إخراجًا ناجحًا يشير إلى أن Snort قد تم تثبيته وتكوينه على نظامك. يمكنك الآن تجربة ميزاتها وتكويناتها لتحديد أفضل القواعد لتأمين شبكتك.

اختبارات

تطبيق قواعد Snort IDS للتشغيل على نظام Linux

يقرأ Snort مجموعات القواعد والتكوينات من أدلة معينة:

sudo mkdir /usr/local/etc/rules
sudo mkdir /usr/local/etc/so_rules/
sudo mkdir /usr/local/etc/lists/
sudo touch /usr/local/etc/rules/local.rules
sudo touch /usr/local/etc/lists/default.blocklist
sudo mkdir /var/log/snort

بعد إنشاء الدلائل المطلوبة ، قم بتنزيل القواعد المطلوبة من موقع Snort:

wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

استخرج الملف وانسخ القواعد إلى دليل “/ usr / local / etc / rules /”:

tar -xvzf snort3-community-rules
cd snort3-community-rules
cp * /usr/local/etc/rules/

لتنفيذ Snort مع تكوين القاعدة ، أدخل الأمر التالي:

sudo snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -i wl01 -s 65535 -k none
إعداد قاعدة Snort

نصيحة: يمكنك أيضًا فحص خادمك بسهولة بحثًا عن البرامج الضارة والجذور الخفية.

إعداد Snort IDS عند بدء التشغيل

من الضروري التأكد من أن Snort يبدأ التنفيذ أثناء بدء التشغيل ويعمل كخادم خلفية. من خلال تكوين Snort كخدمة نظام بدء تلقائي ، سيعمل البرنامج ويحمي نظامك متى كان متصلاً بالإنترنت.

  1. قم بإنشاء ملف خدمة systemd جديد عن طريق تنفيذ الأمر المذكور أدناه.
touch /lib/systemd/system/snort.service
  1. افتح الملف بامتداد nano في نافذة الجهاز وأضف المعلومات التالية.
[Unit]
Description=Snort Daemon
After=syslog.target network.target
[Service]
Type=simple
ExecStart=/usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -s 65535 -k none -l /var/log/snort -D -L pcap -i ens33 
[Install]
WantedBy=multi-user.target
تكوين Snort Daemon
  1. حفظ وإنهاء الملف. تمكين وتشغيل البرنامج النصي:
sudo systemctl enable snort.service
sudo snort start
خدمة الشخير النشطة

Snort IDS جاهز لإطلاق وحماية نظام Linux الخاص بك. للعثور على المزيد من أدوات الأمان مفتوحة المصدر على Linux ، اتبع الرابط.

مراقبة حركة مرور الشبكة مع Snort

لقد تعلمنا عن Snort وطريقة عملها. الآن دعنا نتحقق من بعض أساسيات كيفية استخدام Snort لمراقبة حركة مرور الشبكة والعثور على مخاطر أمنية محتملة.

  1. لبدء استخدام Snort ومراقبة حركة مرور الشبكة ، اختر أولاً واجهة الشبكة. اتبع الأمر المذكور أدناه لمعرفة أسماء واجهات الشبكة الموجودة في النظام.
  1. ابدأ Snort بالأمر المذكور أدناه. سيفتح وحدة تحكم في نافذة المحطة الطرفية والتي ستراقب بنشاط واجهة الشبكة وتستمر في التحديث إذا تم العثور على أي تهديدات محتملة.
sudo snort -i [Network_Interface] -c /etc/snort/snort.conf -A console

هنا في الأمر ، واجهة الشبكة هي منفذ Ethernet الذي اخترت مراقبته ، “etc / snort / snort.conf” هو موقع ملف تكوين Snort ، و -A هي وحدة التحكم لعرض التنبيهات التي تم إنشاؤها بواسطة Snort IDS.

هذه هي الطريقة التي يتم بها استخدام Snort لمراقبة التهديدات الأمنية والهجمات الضعيفة. استمر في تحديث القواعد بشكل منتظم. لن يكتشف Snort IDS مع القواعد المحدثة في العملية التهديدات الأمنية فحسب ، بل سيساعد في القضاء عليها.

فاصلة: لا تستطيع تحديد توزيعات Linux التي يجب استخدامها لخادمك؟ لدينا الجواب.

أسئلة مكررة

كيف يمكنني الحصول على قواعد Snort وتحديثها؟

تعتبر قواعد Snort ضرورية للتشغيل الفعال لـ IDS ، حيث إنها تحدد معايير الكشف عن عمليات اقتحام شبكة معينة. يمكنك الحصول على قواعد Snort من موقع Snort الرسمي. هناك ثلاثة أنواع مختلفة من أرشيفات القواعد: المجتمع ، والذي يمكن الوصول إليه بدون تكلفة ؛ مسجل ، والذي يمكنك الوصول إليه بعد التسجيل في Snort ؛ والاشتراك ، حيث يجب عليك الاشتراك في خطة Snort مدفوعة كما هو مفصل على موقعها الرسمي.

هل يمكن تنفيذ Snort في شبكة واسعة؟

نعم ، يمكن توزيعها لتحسين أمان الشبكة عبر أنظمة متعددة ، باستخدام نظام إدارة مركزي ، مثل Security Onion أو Snorby.

هل Snort IDS مناسب للمؤسسات الصغيرة أو الشبكات المنزلية؟

Snort IDS هو حل أمني فعال يمكن أن يفيد الشركات الصغيرة والشبكات المنزلية. تُعزى إمكانية الوصول إلى النظام وفعاليته من حيث التكلفة إلى طبيعته مفتوحة المصدر. يمكن تنفيذ نظام اكتشاف التسلل Snort (IDS) إما على نظام فردي أو أكثر.

سوراجيت ساها

الطالب الذي يذاكر كثيرا التقنية عن طريق التجارة. يتمتع بالأجهزة الذكية والهواتف الذكية. يشارك حبًا هائلاً للكريكيت والموسيقى.

اشترك في نشرتنا الإخبارية!

تم تسليم أحدث دروسنا مباشرة إلى صندوق الوارد الخاص بك

Comments

No comments yet. Why don’t you start the discussion?

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *