Merhaba değerli TürkHackTeam Ailesi büğün sizlere Snort Nedir ? ve Nasıl kurulup Ayarlanmasını anlatacağım.
Snort, 1998 yılında Martin Roesch tarafından kurulan açık kaynaklı bir IDS /IPS sistemi olmaktadır. Dünyadaki en çok kullanılan arasında olan IDS/IPS sistemi snort SourceFire şirketi üzerinden geliştirilmiştir. Cisco 2013 de SourceFire’ı satın almıştır ve kendi sistemleriyle entegre ettimiştir. Snort genel olarak kötü amaçlı saldırılara karşı geniş bir koruma sağlamak için imza, protokol ve anomali tabanlı denetimi sağlamaktadır.
Snort, 1998 yılında Martin Roesch tarafından kurulan açık kaynaklı bir IDS /IPS sistemi olmaktadır. Dünyadaki en çok kullanılan arasında olan IDS/IPS sistemi snort SourceFire şirketi üzerinden geliştirilmiştir. Cisco 2013 de SourceFire’ı satın almıştır ve kendi sistemleriyle entegre ettimiştir. Snort genel olarak kötü amaçlı saldırılara karşı geniş bir koruma sağlamak için imza, protokol ve anomali tabanlı denetimi sağlamaktadır.
Snort Kuralları
Snort kuralları basit bir şekilde yazabilmemize rağmen zararlı trafiği tespit etmekte olduça başarılıdır.
Snort kuralları mantıksal olarak iki konu başlığı altında toplanmaktadır . Bunlar şu şekildedir;
Kural Başlığı ve Kural Opsiyonu'dur.
Kural Başlığı : Kural eylemini , protokolü ve hedef portu bilgileri içermektedir.
Kural Opsiyon : Kural eylemi takılacaksa paketin hangi kısımların inceleyeciğini belirtir.
Kural eylemi 8 şekilde olabilir ;
1. Pass (Geçir) : Paketi en kolay şekilde geçirir.
2. Log (Günlükle) : Günlükleme rutini kullanıcı tarafından tamamladı olarak paketi kayıt eder.
3.Alert (Alarm) : Kullanıcı tarafından belirli metotla bir olayı bildirisi yaratmaktadır.
4.Activate ( Etkinleştir) : Alarm ve ardından bir dinamik kuralı aktif eder.
5.Dynamic (Dinamik) : Bir etkinleştir kuralı etkinleştirinceye kadar boşda kalır sonra günlükle çalışır.
6.Drop (Düşür) : Paketi düşürür ve günlükler.
7.Reject ( Reddet) : Paketi engeller,günlükler,protokol TCP ise TCP yeniden başlat (TCP reset) ya da ICMP port erişilmez notu gönderir.
8.Sdrop ( Günlükleme Düşür ) : Paketi düşürür ve günlüklemez.
Kural setleri periyodik olarak Snort geliştirici grubu tarafından Snort resmi sayfasınfan yayınlamaktadır.
>>> İçindekiler <<<
Paket çözücü
Tespit motoru ve alarm
Log sisteminden oluşur
Packet Sniffer : Paketleri okur ve monitör eder;
Packet Logger Mode : Paketleri bilgilerini alır kaydeder ve belirlenen dizinlere yazılmasını sağlar.
NIDS/NIPS : İmza veri tabanı ve yazılan kural setlerine göre trafik üzerinde analiz yapıp ve korumasını sağlar.
Snort Windows, Fedora, Centos ve FreeBSD işletim sistemleri ile çalışmaktadır.
SNORT kurulumları için gerekli dosyalar;
Dowloads
Kali üzerinden öncelikle Snort adresine giriyoruz.
Anasayfada bulunan Source alt kısmında bulunan kurulum parametlerini devam etmekteyiz.
Aşağıdaki Link ile dosyaları kali sunucumuza indiririyoruz
Dosyalarımız indirildikten sonra aşağıdaki komut ile sıkıştırılmış dosyaları sunucumuzda açıyoruz.
Aşağıdaki komut ile açtığımız diziye giriyoruz
Ve Aşağıdaki komut ile açmış olduğumuz dosyların kurulumu tamamlıyoruz.
"daq" kurulumumuz tamamladıktan sonra Snort kurulumu ile devam edelim.
Aşağıdaki komut ile kurulum başlatacağız.
Sıkıştırılmış dosyalarımızı açıp mevcut dizimize girip çıkartığımız dosyaların kurulumu yapıyoruz.
Yaptığımız kurulumda Aşağıdaki görseldeki gibi "libpcap" kütüphanesinin kurulu olmadığı hatayla karşılaşabiliriz.
Bu hata ile karşılaşırnırsa "Libpcap" kütüphanesi kurup Snort kurulumuna devam edilmektedir
"libpcap" Kütüphanesinin Kurulumu şu şekildedir;
Komutu yazıktan dowload ediyoruz.
İndirmiş olduğumuz sıkıştırılmış dosyayı şu komutla açıyoruz.
Dosyamızın içine bu komut ile giriyoruz.
Kurulumu sırayla bu komutlar ile çalışmaktadır.
Snort kuralları mantıksal olarak iki konu başlığı altında toplanmaktadır . Bunlar şu şekildedir;
Kural Başlığı ve Kural Opsiyonu'dur.
Kural Başlığı : Kural eylemini , protokolü ve hedef portu bilgileri içermektedir.
Kural Opsiyon : Kural eylemi takılacaksa paketin hangi kısımların inceleyeciğini belirtir.
Kural eylemi 8 şekilde olabilir ;
1. Pass (Geçir) : Paketi en kolay şekilde geçirir.
2. Log (Günlükle) : Günlükleme rutini kullanıcı tarafından tamamladı olarak paketi kayıt eder.
3.Alert (Alarm) : Kullanıcı tarafından belirli metotla bir olayı bildirisi yaratmaktadır.
4.Activate ( Etkinleştir) : Alarm ve ardından bir dinamik kuralı aktif eder.
5.Dynamic (Dinamik) : Bir etkinleştir kuralı etkinleştirinceye kadar boşda kalır sonra günlükle çalışır.
6.Drop (Düşür) : Paketi düşürür ve günlükler.
7.Reject ( Reddet) : Paketi engeller,günlükler,protokol TCP ise TCP yeniden başlat (TCP reset) ya da ICMP port erişilmez notu gönderir.
8.Sdrop ( Günlükleme Düşür ) : Paketi düşürür ve günlüklemez.
Kural setleri periyodik olarak Snort geliştirici grubu tarafından Snort resmi sayfasınfan yayınlamaktadır.
>>> İçindekiler <<<
Paket çözücü
Tespit motoru ve alarm
Log sisteminden oluşur
Packet Sniffer : Paketleri okur ve monitör eder;
Packet Logger Mode : Paketleri bilgilerini alır kaydeder ve belirlenen dizinlere yazılmasını sağlar.
NIDS/NIPS : İmza veri tabanı ve yazılan kural setlerine göre trafik üzerinde analiz yapıp ve korumasını sağlar.
Snort Windows, Fedora, Centos ve FreeBSD işletim sistemleri ile çalışmaktadır.
SNORT kurulumları için gerekli dosyalar;
Dowloads
Kali üzerinden öncelikle Snort adresine giriyoruz.
Anasayfada bulunan Source alt kısmında bulunan kurulum parametlerini devam etmekteyiz.
Aşağıdaki Link ile dosyaları kali sunucumuza indiririyoruz
Kod:
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gzDosyalarımız indirildikten sonra aşağıdaki komut ile sıkıştırılmış dosyaları sunucumuzda açıyoruz.
Kod:
tar xvzf daq-2.0.6.tar.gzAşağıdaki komut ile açtığımız diziye giriyoruz
Kod:
cd daq-2.0.6Ve Aşağıdaki komut ile açmış olduğumuz dosyların kurulumu tamamlıyoruz.
Kod:
./configure && make && sudo make install"daq" kurulumumuz tamamladıktan sonra Snort kurulumu ile devam edelim.
Aşağıdaki komut ile kurulum başlatacağız.
Kod:
wget https://www.snort.org/downloads/snort/snort-2.9.12.tar.gzSıkıştırılmış dosyalarımızı açıp mevcut dizimize girip çıkartığımız dosyaların kurulumu yapıyoruz.
Kod:
tar xvzf snort-2.9.12.tar.gz
Kod:
cd snort-2.9.12
./configure --enable-sourcefire && make && sudo make installYaptığımız kurulumda Aşağıdaki görseldeki gibi "libpcap" kütüphanesinin kurulu olmadığı hatayla karşılaşabiliriz.
Bu hata ile karşılaşırnırsa "Libpcap" kütüphanesi kurup Snort kurulumuna devam edilmektedir
"libpcap" Kütüphanesinin Kurulumu şu şekildedir;
Kod:
wget http://www.tcpdump.org/release/libpcap-1.5.3.tar.gzKomutu yazıktan dowload ediyoruz.
İndirmiş olduğumuz sıkıştırılmış dosyayı şu komutla açıyoruz.
Kod:
tar xvfvz libpcap-1.5.3.tar.gzDosyamızın içine bu komut ile giriyoruz.
Kod:
cd libpcap-1.5.3Kurulumu sırayla bu komutlar ile çalışmaktadır.
Kod:
./configure” “make && make install
İYİ FORUMLAR DİLERİM..
Son düzenleme:
