تعد أنظمة كشف التسلل (IDS) ضرورية لحماية شبكات الكمبيوتر من الوصول غير المصرح به والمخاطر المحتملة في مجال الأمن السيبراني. تبرز Snort IDS من بين العديد من خيارات IDS المتاحة كحل قوي مفتوح المصدر ومستخدم على نطاق واسع للكشف عن عمليات اختراق الشبكة ومنعها. يوضح لك هذا البرنامج التعليمي كيفية تثبيت وإعداد Snort IDS على Linux ، مما يوفر لك المعرفة التي تحتاجها لتحسين أمان شبكتك.
نصيحة: تحقق من المزيد من الطرق لتأمين خادم Linux الخاص بك.
كيف يعمل Snort IDS
Snort IDS هو نظام لاكتشاف التسلل على الشبكة يراقب حركة مرور الشبكة ويحللها بحثًا عن أي نشاط مشبوه ويصدر تحذيرات ضد التهديدات المحتملة. كنظام للكشف عن التسلل يعتمد على التوقيع ، يحلل Snort حركة مرور الشبكة باستخدام قاعدة بيانات للأنماط المعروفة للهجمات ، والمعروفة باسم القواعد ، لاكتشاف النشاط الضار. يكتشف Snort IDS مجموعة واسعة من هجمات الشبكة ويمنعها ، بما في ذلك عمليات فحص المنافذ وهجمات DoS وحقن SQL ، المعروفة على نطاق واسع بقدرات تحليل حركة المرور في الوقت الفعلي.
التكوين الأساسي
قبل المضي قدمًا في تثبيت Snort IDS ، يلزم وجود بعض التكوين الأساسي. يستلزم بشكل أساسي تحديث نظامك وترقيته وتثبيت التبعيات التي يتطلبها Snort للعمل بشكل فعال.
- قم بتحديث وترقية نظام Linux. بالنسبة إلى Ubuntu والأنظمة الأخرى المستندة إلى Debian:
sudo apt update && apt upgrade -y
- قم بتثبيت التبعيات المطلوبة لتشغيل Snort IDS:
sudo apt install -y build-essential autotools-dev libdumbnet-dev libluajit-5.1-dev libpcap-dev zlib1g-dev pkg-config libhwloc-dev cmake liblzma-dev openssl libssl-dev cpputest libsqlite3-dev libtool uuid-dev git autoconf bison flex libcmocka-dev libnetfilter-queue-dev libunwind-dev libmnl-dev ethtool libjemalloc-dev libpcre++-dev
- يتطلب الأداء السليم لـ Snort التثبيت اليدوي لمكتبة اقتناء البيانات ، LibDAQ. لتثبيت LibDAQ ، قم بتنزيل الملفات من موقعه الرسمي على الإنترنت ، واستخرج الأرشيف وانتقل إلى الدليل المقابل ، ثم قم ببنائه وتجميعه.
wget https://www.snort.org/downloads/snortplus/libdaq-3.0.11.tar.gz tar -xzvf libdaq-3.0.11 cd libdaq-3.0.11 ./bootstrap ./configure make sudo make install
- التبعية النهائية هي أدوات gperftools. ابدأ بالحصول على الملفات المصدر من مستودع GitHub. قم باستخراج الملفات ، وانتقل إلى الدليل المختار ، وقم بتنفيذ البرنامج النصي للتكوين لبدء عملية الإعداد. بعد ذلك ، قم بتنفيذ ملف
makeوmake installأوامر لتثبيت الحزمة.
wget https://github.com/gperftools/gperftools/releases/download/gperftools-2.10/gperftools-2.10.tar.gz tar -xvzf gperftools-2.10 && cd gperftools-2.10 ./configure make sudo make install
بعد ذلك ، ستحتاج إلى تثبيت Snort.
هل تعرف: تم إدراج Snort IDS كأحد أفضل الأدوات مفتوحة المصدر لتأمين خادم Linux الخاص بك.
تثبيت Snort IDS
- يمكنك إما تنزيل Snort IDS من موقع Snort الرسمي أو باستخدام
wgetفي المحطة:
wget https://www.snort.org/downloads/snortplus/snort3-3.1.58.0.tar.gz
- ابدأ في استخراج الملف.
tar -xzvf snort3-3.1.58.0
- انتقل إلى الدليل المستخرج وقم بتنفيذ البرنامج النصي للتكوين ، وقم بإعداد الملفات بامتداد
makeالأمر ، ثم قم بتثبيتها باستخدام ملفmake installيأمر.
cd snort3-3.1.58.0 ./configure_cmake.sh --prefix=/usr/local --enable-tcmalloc cd build make sudo make install
- Snort جاهز للتشغيل على نظامك. قبل تكوين Snort IDS ، قم بتحديث المكتبة المشتركة. خلاف ذلك ، عند محاولة تشغيل Snort ، قد ينتهي بك الأمر بخطأ:
ستعمل هذه العملية على مزامنة ذاكرة التخزين المؤقت للمكتبة المشتركة للنظام مع المكتبات والثنائيات المثبتة حديثًا.
للتحقق من صحة Snort ، فإن الأمر snort -V سيعرض إصدار Snort IDS في نافذة المحطة:
لعِلمِكَ: بالإضافة إلى استخدام IDS ، يمكنك أيضًا إعداد مصيدة SSH للقبض على المتسللين في الخادم الخاص بك.
تكوين وإعداد القواعد باستخدام Snort IDS
لتهيئة بيئة الشبكات لنظام Linux للتواصل مع Snort IDS ، اكتشف اسم بطاقة واجهة الشبكة لنظامك:
قم بإعداد بطاقة واجهة الشبكة بالأمر التالي:
sudo ip link set dev interface_name promisc on
لاحظ أن “اسم_واجهة” في الأمر هو اسم بطاقة إيثرنت الخاصة بنظامك.
لتجنب قطع حزم الشبكة الأكبر حجمًا ، قم بتعطيل إلغاء تحميل الاستلام العام (GRO) وإلغاء تحميل الاستلام الكبير (LRO) باستخدام أداة ethtool:
sudo ethtool -K interface_name gro off lro off
اختبر الأداء باستخدام التكوين الأساسي عن طريق تشغيل الأمر المذكور أدناه:
snort -c /usr/local/etc/snort/snort.lua
يجب أن يقدم إخراجًا ناجحًا يشير إلى أن Snort قد تم تثبيته وتكوينه على نظامك. يمكنك الآن تجربة ميزاتها وتكويناتها لتحديد أفضل القواعد لتأمين شبكتك.
تطبيق قواعد Snort IDS للتشغيل على نظام Linux
يقرأ Snort مجموعات القواعد والتكوينات من أدلة معينة:
sudo mkdir /usr/local/etc/rules sudo mkdir /usr/local/etc/so_rules/ sudo mkdir /usr/local/etc/lists/ sudo touch /usr/local/etc/rules/local.rules sudo touch /usr/local/etc/lists/default.blocklist sudo mkdir /var/log/snort
بعد إنشاء الدلائل المطلوبة ، قم بتنزيل القواعد المطلوبة من موقع Snort:
wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
استخرج الملف وانسخ القواعد إلى دليل “/ usr / local / etc / rules /”:
tar -xvzf snort3-community-rules cd snort3-community-rules cp * /usr/local/etc/rules/
لتنفيذ Snort مع تكوين القاعدة ، أدخل الأمر التالي:
sudo snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -i wl01 -s 65535 -k none
نصيحة: يمكنك أيضًا فحص خادمك بسهولة بحثًا عن البرامج الضارة والجذور الخفية.
إعداد Snort IDS عند بدء التشغيل
من الضروري التأكد من أن Snort يبدأ التنفيذ أثناء بدء التشغيل ويعمل كخادم خلفية. من خلال تكوين Snort كخدمة نظام بدء تلقائي ، سيعمل البرنامج ويحمي نظامك متى كان متصلاً بالإنترنت.
- قم بإنشاء ملف خدمة systemd جديد عن طريق تنفيذ الأمر المذكور أدناه.
touch /lib/systemd/system/snort.service
- افتح الملف بامتداد
nanoفي نافذة الجهاز وأضف المعلومات التالية.
[Unit] Description=Snort Daemon After=syslog.target network.target [Service] Type=simple ExecStart=/usr/local/bin/snort -c /usr/local/etc/snort/snort.lua -R /usr/local/etc/rules/snort3-community.rules -s 65535 -k none -l /var/log/snort -D -L pcap -i ens33 [Install] WantedBy=multi-user.target
- حفظ وإنهاء الملف. تمكين وتشغيل البرنامج النصي:
sudo systemctl enable snort.service sudo snort start
Snort IDS جاهز لإطلاق وحماية نظام Linux الخاص بك. للعثور على المزيد من أدوات الأمان مفتوحة المصدر على Linux ، اتبع الرابط.
مراقبة حركة مرور الشبكة مع Snort
لقد تعلمنا عن Snort وطريقة عملها. الآن دعنا نتحقق من بعض أساسيات كيفية استخدام Snort لمراقبة حركة مرور الشبكة والعثور على مخاطر أمنية محتملة.
- لبدء استخدام Snort ومراقبة حركة مرور الشبكة ، اختر أولاً واجهة الشبكة. اتبع الأمر المذكور أدناه لمعرفة أسماء واجهات الشبكة الموجودة في النظام.
- ابدأ Snort بالأمر المذكور أدناه. سيفتح وحدة تحكم في نافذة المحطة الطرفية والتي ستراقب بنشاط واجهة الشبكة وتستمر في التحديث إذا تم العثور على أي تهديدات محتملة.
sudo snort -i [Network_Interface] -c /etc/snort/snort.conf -A console
هنا في الأمر ، واجهة الشبكة هي منفذ Ethernet الذي اخترت مراقبته ، “etc / snort / snort.conf” هو موقع ملف تكوين Snort ، و -A هي وحدة التحكم لعرض التنبيهات التي تم إنشاؤها بواسطة Snort IDS.
هذه هي الطريقة التي يتم بها استخدام Snort لمراقبة التهديدات الأمنية والهجمات الضعيفة. استمر في تحديث القواعد بشكل منتظم. لن يكتشف Snort IDS مع القواعد المحدثة في العملية التهديدات الأمنية فحسب ، بل سيساعد في القضاء عليها.
فاصلة: لا تستطيع تحديد توزيعات Linux التي يجب استخدامها لخادمك؟ لدينا الجواب.
أسئلة مكررة
كيف يمكنني الحصول على قواعد Snort وتحديثها؟
تعتبر قواعد Snort ضرورية للتشغيل الفعال لـ IDS ، حيث إنها تحدد معايير الكشف عن عمليات اقتحام شبكة معينة. يمكنك الحصول على قواعد Snort من موقع Snort الرسمي. هناك ثلاثة أنواع مختلفة من أرشيفات القواعد: المجتمع ، والذي يمكن الوصول إليه بدون تكلفة ؛ مسجل ، والذي يمكنك الوصول إليه بعد التسجيل في Snort ؛ والاشتراك ، حيث يجب عليك الاشتراك في خطة Snort مدفوعة كما هو مفصل على موقعها الرسمي.
هل يمكن تنفيذ Snort في شبكة واسعة؟
نعم ، يمكن توزيعها لتحسين أمان الشبكة عبر أنظمة متعددة ، باستخدام نظام إدارة مركزي ، مثل Security Onion أو Snorby.
هل Snort IDS مناسب للمؤسسات الصغيرة أو الشبكات المنزلية؟
Snort IDS هو حل أمني فعال يمكن أن يفيد الشركات الصغيرة والشبكات المنزلية. تُعزى إمكانية الوصول إلى النظام وفعاليته من حيث التكلفة إلى طبيعته مفتوحة المصدر. يمكن تنفيذ نظام اكتشاف التسلل Snort (IDS) إما على نظام فردي أو أكثر.
اشترك في نشرتنا الإخبارية!
تم تسليم أحدث دروسنا مباشرة إلى صندوق الوارد الخاص بك