सामग्री
- इंट्र्यूज डिटेक्शन सिस्टम का सेट करायचा?
- स्नॉर्ट पॅकेज स्थापित करीत आहे
- एक ओंकमास्टर कोड मिळवित आहे
- तुमचा ओंकमास्टर कोड मिळविण्यासाठी खालील चरणांचे अनुसरण करा:
- स्नॉर्टमध्ये ओंकमास्टर कोड प्रविष्ट करीत आहे
- नियम स्वहस्ते अद्यतनित करीत आहे
- इंटरफेस जमा करणे
- इंटरफेस संरचीत करत आहे
- नियम श्रेणी निवडा
- नियम श्रेण्यांचा हेतू काय आहे?
- मी नियमांच्या श्रेण्यांविषयी अधिक माहिती कशी मिळवू शकतो?
- लोकप्रिय स्नॉर्ट नियम श्रेणी
- प्रीप्रोसेसर आणि फ्लो सेटिंग्ज
- इंटरफेस प्रारंभ करीत आहे
- स्नॉर्ट प्रारंभ करण्यास अयशस्वी झाल्यास
- अॅलर्टची तपासणी करत आहे
सॅम अल्गोरिदम ट्रेडिंग फर्मचे नेटवर्क विश्लेषक म्हणून काम करतो. त्यांनी यूएमकेसी कडून माहिती तंत्रज्ञान विषयात पदवी प्राप्त केली.
इंट्र्यूज डिटेक्शन सिस्टम का सेट करायचा?
आत जाण्याचा मार्ग शोधत, हॅकर्स, व्हायरस आणि इतर धोके आपल्या नेटवर्कची सतत तपासणी करीत असतात. संपूर्ण नेटवर्कमध्ये तडजोड होण्यासाठी फक्त एक हॅक केलेली मशीन लागते. या कारणांमुळे, मी एक इंट्रुशन डिटेक्शन सिस्टम स्थापित करण्याची शिफारस करतो जेणेकरून आपण आपल्या सिस्टम सुरक्षित ठेवू शकता आणि इंटरनेटवरील विविध धोक्यांचे निरीक्षण करू शकता.
स्नॉर्ट हा ओपन सोर्स आयडी आहे जो घरातून किंवा कॉर्पोरेट नेटवर्कला घुसखोरांपासून वाचवण्यासाठी सहजपणे पीएफसेन्स फायरवॉलवर स्थापित केला जाऊ शकतो. घुसखोरी प्रतिबंधात्मक यंत्रणा (आयपीएस) म्हणून कार्य करण्यासाठी स्नॉर्ट देखील कॉन्फिगर केली जाऊ शकते, ज्यामुळे ते खूप लवचिक होते.
या लेखात, मी तुम्हाला पीएफसेन्स २.० वर स्नॉर्ट स्थापित आणि कॉन्फिगर करण्याच्या प्रक्रियेतून पुढे जाईन जेणेकरुन आपण रिअल टाईममध्ये रहदारीचे विश्लेषण सुरू करू शकाल.
स्नॉर्ट पॅकेज स्थापित करीत आहे
स्नॉर्टसह प्रारंभ करण्यासाठी आपल्याला पीएफसेन्स पॅकेज व्यवस्थापक वापरून पॅकेज स्थापित करणे आवश्यक आहे. पॅकेज मॅनेजर पीएफसेन्स वेब जीयूआयच्या सिस्टम मेनूमध्ये स्थित आहे.
पॅकेजच्या सूचीमधून स्नॉर्ट शोधा आणि इंस्टॉलेशन सुरू करण्यासाठी उजव्या बाजूला प्लस चिन्हावर क्लिक करा.
स्नॉर्टला स्थापित होण्यास दोन मिनिटे लागतात हे सामान्य आहे, त्यात पीएफसेन्सने प्रथम डाउनलोड करणे आणि स्थापित करणे आवश्यक आहे यावर बर्याच अवलंबित्व आहेत.
स्थापना पूर्ण झाल्यानंतर स्नॉर्ट सर्व्हिस मेनूमध्ये दिसून येईल.
स्फोट स्थापित केले जाऊ शकते pfSense पॅकेज व्यवस्थापक वापरून.
एक ओंकमास्टर कोड मिळवित आहे
स्नॉर्ट उपयुक्त होण्यासाठी, नियमांच्या नवीनतम संचासह ते अद्यतनित केले जाणे आवश्यक आहे. स्नॉर्ट पॅकेज आपल्यासाठी हे नियम स्वयंचलितपणे अद्यतनित करू शकते, परंतु प्रथम आपण ओंकमास्टर कोड प्राप्त करणे आवश्यक आहे.
स्नॉर्ट नियमांचे दोन भिन्न संच उपलब्ध आहेत:
- ग्राहक रीलिझ सेट हा उपलब्ध नियमांचा सर्वात अद्ययावत सेट आहे. या नियमांमध्ये रीअल-टाइम प्रवेशासाठी सशुल्क वार्षिक सदस्यता आवश्यक आहे.
- नियमांची दुसरी आवृत्ती म्हणजे नोंदणीकृत वापरकर्त्याचे प्रकाशन आहे जे Snort.org साइटवर नोंदणीकृत कोणालाही पूर्णपणे विनामूल्य आहे.
दोन नियम संचामधील मुख्य फरक असा आहे की नोंदणीकृत वापरकर्त्याच्या रीलिझमधील नियम सदस्यता नियमांच्या 30 दिवसांनंतर आहेत. जर आपल्याला सर्वात अद्ययावत संरक्षण हवे असेल तर आपण सदस्यता घ्यावी.
तुमचा ओंकमास्टर कोड मिळविण्यासाठी खालील चरणांचे अनुसरण करा:
- आपल्याला आवश्यक आवृत्ती डाउनलोड करण्यासाठी स्नॉर्ट नियम वेबपृष्ठास भेट द्या.
- 'एका खात्यासाठी साइन अप करा' वर क्लिक करा आणि एक स्नॉर्ट खाते तयार करा.
- आपण आपल्या खात्याची पुष्टी केल्यानंतर, स्नॉर्ट.ऑर्ग.वर लॉग इन करा.
- वरच्या लिंक बारवरील 'माय अकाउंट' वर क्लिक करा.
- 'सबस्क्रिप्शन अँड ओनकोड' टॅबवर क्लिक करा.
- ओइन्कोड्स दुव्यावर क्लिक करा आणि नंतर 'कोड व्युत्पन्न करा' क्लिक करा.
कोड आपल्या खात्यात संचयित राहील जेणेकरून आवश्यक असल्यास आपण नंतर ते मिळवू शकता. हा कोड pfSense मधील स्नॉर्ट सेटिंग्जमध्ये प्रविष्ट करणे आवश्यक आहे.
Snort.org वरून नियम डाउनलोड करण्यासाठी ओइन्कामास्टर कोड आवश्यक आहे.
स्नॉर्टमध्ये ओंकमास्टर कोड प्रविष्ट करीत आहे
ओइन्कोड प्राप्त केल्यानंतर, त्यास स्नॉर्ट पॅकेज सेटिंग्जमध्ये प्रविष्ट करणे आवश्यक आहे. स्नॉर्ट सेटिंग्ज पृष्ठ वेब इंटरफेसच्या सेवा मेनूमध्ये दिसून येईल. हे दृश्यमान नसल्यास, पॅकेज स्थापित असल्याचे सुनिश्चित करा आणि आवश्यक असल्यास पॅकेज पुन्हा स्थापित करा.
ओनकोड स्नॉर्ट सेटिंग्जच्या ग्लोबल सेटिंग्ज पृष्ठावर प्रविष्ट केले जाणे आवश्यक आहे. मी देखील उदयोन्मुख धमकी नियम सक्षम करण्यासाठी बॉक्स चेक करू इच्छितो. ईटी नियम खुल्या स्त्रोत समुदायाद्वारे राखले जातात आणि काही अतिरिक्त नियम प्रदान करू शकतात जे स्नॉर्ट सेटमध्ये आढळू शकत नाहीत.
स्वयंचलित अद्यतने
डीफॉल्टनुसार, स्नॉर्ट पॅकेज नियम स्वयंचलितपणे अद्यतनित करणार नाही. शिफारस केलेला अद्यतन मध्यांतर दर 12 तासांनी एकदा असतो, परंतु आपण आपल्या वातावरणास अनुकूल बदलण्यासाठी हे बदलू शकता.
एकदा आपण बदल करणे संपवून 'सेव्ह' बटणावर क्लिक करण्यास विसरू नका.
नियम स्वहस्ते अद्यतनित करीत आहे
स्नॉर्ट कोणत्याही नियमांसह येत नाही, म्हणून आपल्याला त्यास प्रथमच व्यक्तिचलितपणे अद्यतनित करावे लागेल. व्यक्तिचलित अद्यतन चालविण्यासाठी, अद्यतने टॅबवर क्लिक करा आणि नंतर अद्यतन नियम बटणावर क्लिक करा.
पॅकेज Snort.org वरून नवीन नियम सेट्स डाउनलोड करेल आणि आपल्याकडे तो पर्याय निवडल्यास इमर्जिंग थ्रेट्स देखील डाउनलोड करेल.
अद्यतने संपल्यानंतर, नियम काढले जातील आणि नंतर वापरासाठी तयार असतील.
प्रथमच स्नॉर्ट सेट अप करताना नियम मॅन्युअली डाउनलोड करणे आवश्यक आहे.
इंटरफेस जमा करणे
स्नॉर्टने एखादी घुसखोरी ओळखणारी यंत्रणा म्हणून काम सुरू करण्यापूर्वी आपण त्याचे निरीक्षण करण्यासाठी इंटरफेस नियुक्त केले पाहिजेत. विशिष्ट कॉन्फिगरेशन स्नॉर्टसाठी कोणत्याही डब्ल्यूएएन इंटरफेसचे परीक्षण करण्यासाठी आहे. इतर सर्वात सामान्य कॉन्फिगरेशन स्नॉर्टसाठी डब्ल्यूएएन आणि लॅन इंटरफेसवर नजर ठेवण्यासाठी आहे.
लॅन इंटरफेसचे परीक्षण करणे आपल्या नेटवर्कवरुन हल्ल्यांसाठी थोडी दृश्यमानता प्रदान करते. लॅन नेटवर्कवरील पीसीसाठी मालवेयरचा संसर्ग होणे आणि नेटवर्कच्या आतील आणि बाहेरील प्रणाल्यांवर हल्ले करण्यास सुरवात करणे असामान्य नाही.
इंटरफेस जोडण्यासाठी स्नॉर्ट इंटरफेसच्या टॅबवर सापडलेले प्लस चिन्ह क्लिक करा.
इंटरफेस संरचीत करत आहे
इंटरफेस जोडा बटणावर क्लिक केल्यानंतर, आपल्याला इंटरफेस सेटिंग्ज पृष्ठ दिसेल.सेटिंग्ज पृष्ठामध्ये बर्याच पर्याय आहेत, परंतु काही गोष्टी आहेत ज्या चालू ठेवण्यासाठी आपल्याला खरोखर काळजी करण्याची आवश्यकता आहे.
- प्रथम, पृष्ठाच्या शीर्षस्थानी सक्षम बॉक्स तपासा.
- पुढे, आपण कॉन्फिगर करू इच्छित असलेला इंटरफेस निवडा (या उदाहरणात मी प्रथम डब्ल्यूएएन कॉन्फिगर करत आहे).
- एसी-बीएनएफए वर मेमरी परफॉरमन्स सेट करा.
- "युनिफाइड 2 फाईल स्नॉर्ट करण्यासाठी लॉग अॅलर्ट्स" हा बॉक्स चेक करा जेणेकरून बाईनयार्ड 2 कार्य करेल.
- सेव्ह क्लिक करा.
आपण चालवत असाल तर मल्टी वान राउटर, आपण पुढे जा आणि आपल्या सिस्टमवरील इतर डब्ल्यूएएन इंटरफेस कॉन्फिगर करू शकता. लॅन इंटरफेस जोडण्याची मी शिफारस करतो.
आपण इंटरफेस सुरू करण्यापूर्वी, प्रत्येक इंटरफेससाठी काही अधिक सेटिंग्ज कॉन्फिगर करणे आवश्यक आहे. अतिरिक्त सेटिंग्ज कॉन्फिगर करण्यासाठी, स्नॉर्ट इंटरफेस टॅबवर परत जा आणि इंटरफेसच्या पुढील पृष्ठाच्या उजव्या बाजूला 'ई' चिन्हावर क्लिक करा. हे आपल्याला त्या विशिष्ट इंटरफेससाठी कॉन्फिगरेशन पृष्ठावर परत घेऊन जाईल. इंटरफेससाठी सक्षम केलेल्या नियम श्रेणी निवडण्यासाठी श्रेण्या टॅबवर क्लिक करा. शोधण्याचे सर्व नियम श्रेणींमध्ये विभागले गेले आहेत. उदयोन्मुख धमक्यांमधील नियम असलेल्या श्रेण्यांची सुरुवात 'उदयोन्मुख' ने होईल आणि स्नॉर्ट डॉट कॉम मधील नियम 'स्नॉर्ट' ने प्रारंभ होतील. श्रेण्या निवडल्यानंतर, पृष्ठाच्या तळाशी सेव्ह बटणावर क्लिक करा. नियमांचे श्रेणींमध्ये विभागणी करुन आपण केवळ आपल्यास स्वारस्य असलेल्या विशिष्ट श्रेणी सक्षम करू शकता. मी काही सामान्य श्रेणी सक्षम करण्याची शिफारस करतो. आपण आपल्या नेटवर्कवर वेब किंवा डेटाबेस सर्व्हरसारख्या विशिष्ट सेवा चालवित असल्यास आपण त्यासंबंधित श्रेणी देखील सक्षम केल्या पाहिजेत. हे लक्षात ठेवणे महत्वाचे आहे की प्रत्येक वेळी अतिरिक्त श्रेणी चालू केल्यावर स्नॉर्टला अधिक सिस्टम संसाधनांची आवश्यकता असेल. यामुळे चुकीच्या सकारात्मकतेची संख्या देखील वाढू शकते. सर्वसाधारणपणे, केवळ आपल्याला आवश्यक असलेले गट चालू करणे चांगले आहे परंतु श्रेणींमध्ये प्रयोग करण्यास मोकळ्या मनाने आणि काय चांगले कार्य करते ते पहा.नियम श्रेणी निवडा
नियम श्रेण्यांचा हेतू काय आहे?
मी नियमांच्या श्रेण्यांविषयी अधिक माहिती कशी मिळवू शकतो?
आपल्यास श्रेणीमध्ये कोणते नियम आहेत आणि ते काय करतात याबद्दल अधिक जाणून घेऊ इच्छित असल्यास आपण श्रेणीवर क्लिक करू शकता. हे आपल्याला श्रेणीतील सर्व नियमांच्या सूचीशी थेट जोडेल.
लोकप्रिय स्नॉर्ट नियम श्रेणी
| श्रेणी नाव | वर्णन |
|---|---|
snort_botnet-cnc.rules | ज्ञात बोटनेट कमांड आणि कंट्रोल होस्टला लक्ष्य करते. |
snort_ddos.rules | सेवा हल्ल्यांचा नकार शोधतो. |
snort_scan.rules | हे नियम पोर्ट स्कॅन, नेसस प्रोब आणि इतर माहिती एकत्रित करणारे आक्रमण शोधतात. |
snort_virus.rules | ज्ञात ट्रोजन, व्हायरस आणि अळीच्या स्वाक्षर्या शोधतात. ही श्रेणी वापरण्यासाठी मोठ्या प्रमाणावर वापर केला जातो. |
प्रीप्रोसेसर आणि फ्लो सेटिंग्ज
प्रीप्रोसेसर सेटिंग्ज पृष्ठावर काही सेटिंग्ज आहेत ज्या सक्षम केल्या पाहिजेत. कार्य करण्याच्या नियमांपैकी बर्याच शोध नियमांमध्ये HTTP तपासणी सक्षम करणे आवश्यक आहे.
- HTTP तपासणी सेटिंग्ज अंतर्गत, 'सामान्य करण्यासाठी / डीकोड करण्यासाठी HTTP तपासणी वापरा' सक्षम करा
- सामान्य प्रीप्रोसेसर सेटिंग्ज विभागात, 'पोर्टस्केन शोध' सक्षम करा
- सेटिंग्ज जतन करा.
इंटरफेस प्रारंभ करीत आहे
जेव्हा स्नॉर्टमध्ये नवीन इंटरफेस जोडला जातो तेव्हा तो स्वयंचलितपणे चालू होणे सुरू होत नाही. इंटरफेस व्यक्तिचलितपणे सुरू करण्यासाठी, कॉन्फिगर केलेल्या प्रत्येक इंटरफेसच्या डाव्या बाजूला ग्रीन प्ले बटणावर क्लिक करा.
स्नॉर्ट चालू असताना, इंटरफेसच्या नावाचा मजकूर हिरव्या रंगात दिसून येईल. स्नॉर्ट थांबविण्यासाठी, इंटरफेसच्या डाव्या बाजूला असलेल्या लाल स्टॉप बटणावर क्लिक करा.
अशा काही सामान्य समस्या आहेत ज्या स्नॉर्टला प्रारंभ होण्यापासून रोखू शकतात.
स्नॉर्ट प्रारंभ करण्यास अयशस्वी झाल्यास
अॅलर्टची तपासणी करत आहे
स्नॉर्ट यशस्वीरित्या कॉन्फिगर केले आणि सुरू झाल्यानंतर, नियमांशी जुळणारी रहदारी आढळल्यानंतर आपण अॅलर्ट पाहणे सुरू केले पाहिजे.
आपणास कोणतेही सतर्क दिसत नसल्यास, त्यास थोडा वेळ द्या आणि नंतर पुन्हा तपासा. आपण सक्षम केलेले रहदारी आणि नियम यावर अवलंबून कोणतेही सतर्कता पहाण्यापूर्वी तो थोडा वेळ घेऊ शकेल.
आपण अलर्ट दूरस्थपणे पाहू इच्छित असल्यास, आपण इंटरफेस सेटिंग सक्षम करू शकता "मुख्य सिस्टम लॉगवर सतर्क पाठवा." सिस्टम लॉगमध्ये दिसणारे अॅलर्ट असू शकतात Syslog वापरून दूरस्थपणे पाहिले.
हा लेख अचूक आहे आणि लेखकांच्या सर्वोत्कृष्ट माहितीवर आहे. सामग्री केवळ माहितीच्या किंवा करमणुकीच्या उद्देशाने आहे आणि व्यवसाय, आर्थिक, कायदेशीर किंवा तांत्रिक बाबींमध्ये वैयक्तिक सल्ले किंवा व्यावसायिक सल्ल्याचा पर्याय घेत नाही.
