Mở Đầu

Trong phần tiếp theo của series về Snort, chúng ta sẽ tiếp tục khám phá cách cài đặt và cấu hình Snort - một công cụ IDS/IPS mã nguồn mở mạnh mẽ giúp bảo vệ hệ thống khỏi các cuộc tấn công bên ngoài. Snort cho phép giám sát và phân tích lưu lượng mạng, giúp phát hiện các hoạt động đáng ngờ.

Cấu Hình Snort

Để thiết lập Snort một cách hiệu quả, hãy thực hiện theo các bước cấu hình dưới đây:

Các Bước Cấu Hình Cơ Bản:

1. Cấu hình biến mạng: Thiết lập các thành phần trong mạng.
2. Cấu hình bộ giải mã: Thiết lập module giải mã dữ liệu.
3. Cấu hình công cụ phát hiện cơ bản: Đảm bảo rằng công cụ phát hiện đang hoạt động.
4. Cấu hình thư viện động: Thiết lập các thư viện cần thiết cho Snort.
5. Cấu hình tiền xử lý: Để tối ưu hóa phát hiện.
6. Cấu hình các plugin đầu ra: Ghi log và xử lý dữ liệu đầu ra.
7. Tùy chỉnh bộ luật: Thiết lập và tùy chỉnh các luật bảo mật theo yêu cầu.
8. Tùy chỉnh luật tiền xử lý và giải mã: Đảm bảo rằng các luật này phản ánh đúng cấu hình của bạn.
9. Tùy chỉnh bộ luật đối tượng chia sẻ: Để mở rộng khả năng bảo vệ.

Các Bước Chi Tiết Để Cài Đặt Snort

Bước 1: Cập nhật hệ thống và cài đặt các gói hỗ trợ

Trước tiên, bạn cần cập nhật hệ thống và cài đặt các gói cần thiết cho Snort bằng lệnh sau:

apt update
apt install -y build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev liblzma-dev openssl libssl-dev libnghttp2-dev

Bước 2: Tạo thư mục chứa mã nguồn

mkdir -p ~/snort_src
cd ~/snort_src

Bước 3: Tải và cài đặt gói DAQ

wget https://www.snort.org/downloads/snort/daq-2.0.7.tar.gz
tar -xzvf daq-2.0.7.tar.gz
cd daq-2.0.7
./configure
make
make install

Bước 4: Tải và cài đặt Snort

Trong hướng dẫn này, mình sẽ sử dụng phiên bản Snort 2.9.18.1, bạn có thể tải phiên bản mới hơn nếu cần:

wget https://www.snort.org/downloads/snort/snort-2.9.18.1.tar.gz
tar -xzvf snort-2.9.18.1.tar.gz
cd snort-2.9.18.1
./configure --enable-sourcefire
make
make install

Bước 5: Cập nhật thư viện

ldconfig

Bước 6: Tạo các thư mục cho Snort và lưu trữ rules

mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/rules/iplists
mkdir /etc/snort/preproc_rules
mkdir /usr/local/lib/snort_dynamicrules
mkdir /etc/snort/so_rules

Bước 7: Tạo file để lưu trữ rules và danh sách IP

touch /etc/snort/rules/iplists/black_list.rules
touch /etc/snort/rules/iplists/white_list.rules
touch /etc/snort/rules/local.rules
touch /etc/snort/sid-msg.map

Bước 8: Tạo thư mục lưu trữ log

mkdir /var/log/snort
mkdir /var/log/snort/archived_logs

Bước 9: Phân quyền

chmod -R 5775 /etc/snort
chmod -R 5775 /var/log/snort
chmod -R 5775 /var/log/snort/archived_logs
chmod -R 5775 /etc/snort/so_rules
chmod -R 5775 /usr/local/lib/snort_dynamicrules

Bước 10: Chuyển quyền

chown -R snort:snort /etc/snort
chown -R snort:snort /var/log/snort
chown -R snort:snort /usr/local/lib/snort_dynamicrules

Bước 11: Sao chép cấu hình có sẵn vào thư mục /etc/snort

cd ~/snort_src/snort-2.9.18.1/etc/
cp *.conf* /etc/snort
cp *.map /etc/snort
cp *.dtd /etc/snort
cd ~/snort_src/snort-2.9.18.1/src/dynamicpreprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
cp * /usr/local/lib/snort_dynamicpreprocessor

Bước 12: Chỉnh sửa tệp cấu hình snort.conf

sudo nano /etc/snort/snort.conf

Chỉnh sửa biến HOMENET trong cấu hình và thêm đường dẫn các thư mục chứa rules mà bạn đã tạo ở các bước trước.

Bước 13: Khởi động lại dịch vụ

Cuối cùng, bạn cần khởi động lại dịch vụ Snort để áp dụng cấu hình mới. Hãy chắc chắn rằng mọi thứ hoạt động như mong đợi.

Kết Luận

Chúng ta đã hoàn tất quá trình cài đặt Snort với cấu hình cơ bản. Trong phần tiếp theo, mình sẽ hướng dẫn bạn cách cấu hình bộ luật và tiến hành một số cuộc tấn công mẫu để kiểm tra khả năng phát hiện của Snort. Theo dõi bài viết và ủng hộ để mình có thể ra mắt phần tiếp theo nhanh chóng nhé! Cảm ơn các bạn!
source: viblo