Home / Core Networking / Cài đặt và cấu hình Snort trên Windows

Cài đặt và cấu hình Snort trên Windows

Cài đặt và cấu hình snort trên windows

1. Giới thiệu

Snort là phần mềm IDS mã nguồn mở có khả năng phát hiện, chống xâm nhập trái phép. Các packet trước khi được gửi đến máy tính đích sẽ được Snort kiểm tra. thẩm định. Snort có thể phát hiện nhiều loại xâm nhập như: buffer overflows, stealth port scans, CGI attacks, SMB probes, OS fingerprinting attempts…

Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại được lưu trong các file khác nhau. File cấu hình chính của Snort là snort.conf. Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các luật để bắt giữ dữ liệu.

2. Các bước triển khai Snort trên Windows Server 2003

a. Chuẩn bị trước khi cài đặt.

Dưới đây là các gói phần mềm cần thiết khi cài đặt một hệ thống Snort trên Windows Server 2003.

b. Cài đặt và cấu hình snort cơ bản trên windows

Trong bài viết này, mình triển khai hệ thống trên Win ảo với VMware Workstation, mô hình bài lap có 2 máy:

  • Máy Windows Server 2003 được cài đặt hệ thống Sort
  • Máy Windows XP với vai trò là client.
  • Card mạng của VMware  của 2 máy ở chế chộ VNet8 (NAT), địa chỉ IP được cấp phát động và được kết nối Internet.

Bước 1: Cài đặt WinPcap

Vào thư mục Temp ngoài Desktop, double click vào file WinPcap v4.1.2 và lần lượt thực hiện Next -> Next -> I Agree -> Install -> Finish.

Bước 2: Cài đặt và cấu hình Snort

  • Tại thư mục Temp ngoài Desktop, double click vào file Snort_2_9_7_2_Installer  để cài đặt. Lần lượt thực hiện I Agree -> Next -> Next -> Next -> Close -> OK.
  • Giải nén file snortrules-snapshot-CURRENT.tar  và copy tất cả nội dung trong đó vào thư mục cài đặt Snort: C:Snort, chọn Yes to All để copy đè.
  • Truy cập vào thư mục là C:Snortetc và mở file snort.conf  bằng Wordpad.
  • Thực hiện tìm kiếm và thay đổi những nội dung sau:

1     23456

Bước 3: Kiểm tra cài đặt Snort – cài đặt và cấu hình snort cơ bản trên windows

  •  Mở của sổ DOS và gõ lệnh cd c:snortbin
  • Chạy lệnh để kiểm tra độ ổn định: snort -l c:snortlog -c c:snortetcsnort.conf -A console

7

Như vậy chúng ta đã cấu hình xong Snort. Snort đã sẵng sàng hoạt động dưới các chế độ khác nhau.

Bước 4: Sử dụng Snort

  • Chế độ Sniffer Paket: Để tiến hành sniffer, chúng ta cần chọn card mạng để Snort đặt vào chế độ promicous, nếu máy tính của bạn sử dụng nhiều card thì hãy sử dụng lệnh snort -W để xem số hiệu card mạng

8

Ở đây số hiệu card mạng là 1. Bây giờ chúng ta tiến hành sniffer paket dùng lệnh: snort -dev -ix (với x là số hiệu card mạng). Trong quá trình chạy snort, chúng ta tiến hành ping từ client sang server.

9

  • Chế độ Packet Log: Chúng ta có thể lưu các gói dữ liệu vào file log để xem bằng lệnh: snort -dev -i1 -l c:snortlog (dòng lệnh sẽ ghi log các thông tin dữ liệu tại tầng Datalink và TCP/IP)

10

Đọc file log dùng lệnh: snort -dvr c:snortlogsnort.log.NHÃN THỜI GIAN

11

Bước 4: Cài đặt Snort trong Service

  • Tại dấu nhắt lệnh gõ: snort /SERVICE /INSTALL -c c:snortetcsnort.conf -l c:snortlog -K ascii -i1

Untitled

  • Thực hiện tiếp lệnh: sc config snortsvc start= auto

Untitled

  • Khởi động lại Windows Server
  • Sau khi khởi động lại Windows, vào Service để kiểm tra Snort được start thành công hay chưa

Untitled

Bước 5: Tạo luật cảnh báo PING

  • Vào thư mục C:Snortrules, mở file  finger.rules, thêm luật phát hiện máy khác ping đến như sau:
    alert icmp any any -> $HOME_NET any (msg: “Co may dang ping”; sid: 140791;)
  • Thực hiện lệnh ping 192.168.255.130 -t từ máy Client đến Server
  • Kết quả ở file log ở máy Server trong thư mục C:Snortlog như sau:

Untitled

Bước 6: Tạo luật cảnh báo PING với kích thướt lớn

  • Thêm lệnh vào file icmp.rules
    alert icmp
    $HOME_NET any -> any any (msg: “Size ping lon”; dsize: >50; sid: 2;)
  • Tạo lệnh ping ở máy Client như sau:  ping -l 1000 -f google.com -t
  • Start lại Snort
  • Kết quả ở file log

Untitled

Bước 7: Thiết lập cảnh báo truy cập Web

  • Trong thư mục C:Snortrules ta tạo file youtube.com để biết một máy nào trong mạng truy cập vào  website youtube.com với nội dung file:
    alert tcp any any -> any any (content: “www.youtube.com”; msg: “Ban moi truy cap youtube.com”; sid: 100000; rev: 1;)
  • Trong file snort.conf, thêm dòng: include $RULE_PATH/youtube.rules
  • Start lại Snort
  • Tại máy Client truy cập vào website youtube.com
  • Kết quả file log ở máy Server

Untitled

3. Kết luận

Như vậy chúng ta đã cài đặt xong hệ thống Snort trên Windows Server 2003, với hướng dẫn này bạn có thể cài đặt Snort một cách dễ dàng và có thể tự tạo thêm một số luật cơ bản để tạo cảnh báo cho hệ thống của mình.

Bài viết được giới hạn ở mức cài đặt, còn nhiều thiết sót, các bước làm còn chưa tối ưu, nhưng một phần cũng giúp để dễ dàng cài đặt.

Cảm ơn đã quan tâm, chúc sức khỏe và thành công!

Print Friendly

About dongpolice

Check Also

Xem số điện thoại đang dùng Vinaphone, Mobi, Viettel không cần gọi

Để biết số điện thoại mình đang dùng: – Ở Việt Nam có nhiều nhà …