विषय
- क्यों एक घुसपैठ का पता लगाने प्रणाली सेट करें?
- स्नॉर्ट पैकेज स्थापित करना
- एक Oinkmaster कोड प्राप्त करना
- अपना Oinkmaster कोड प्राप्त करने के लिए नीचे दिए गए चरणों का पालन करें:
- स्नॉर्ट में ओइन्मास्टर कोड दर्ज करना
- मैन्युअल रूप से नियमों को अद्यतन करना
- इंटरफेस जोड़ना
- इंटरफ़ेस को कॉन्फ़िगर करना
- नियम श्रेणियों का चयन
- नियम श्रेणियों का उद्देश्य क्या है?
- मैं नियम श्रेणियों के बारे में अधिक जानकारी कैसे प्राप्त कर सकता हूं?
- लोकप्रिय स्नो नियम नियम
- प्रीप्रोसेसर और फ्लो सेटिंग्स
- इंटरफेस शुरू करना
- अगर स्नॉर्ट शुरू करने में विफल रहता है
- अलर्ट के लिए जाँच की जा रही है
सैम एक एल्गोरिथम ट्रेडिंग फर्म के लिए नेटवर्क विश्लेषक के रूप में काम करता है। उन्होंने UMKC से सूचना प्रौद्योगिकी में स्नातक की डिग्री प्राप्त की।
क्यों एक घुसपैठ का पता लगाने प्रणाली सेट करें?
हैकर्स, वायरस, और अन्य खतरे लगातार आपके नेटवर्क की जांच कर रहे हैं, अंदर जाने का रास्ता खोज रहे हैं। यह केवल एक हैक की गई मशीन को एक पूरे नेटवर्क के लिए समझौता हो जाता है। इन कारणों से, मैं एक घुसपैठ पहचान प्रणाली स्थापित करने की सलाह देता हूं ताकि आप अपने सिस्टम को सुरक्षित रख सकें और इंटरनेट पर विभिन्न खतरों की निगरानी कर सकें।
स्नॉर्ट एक खुला स्रोत आईडीएस है जो घुसपैठियों से घर या कॉर्पोरेट नेटवर्क की रक्षा के लिए आसानी से एक pfSense फ़ायरवॉल पर स्थापित किया जा सकता है। Snort को घुसपैठ की रोकथाम प्रणाली (IPS) के रूप में कार्य करने के लिए भी कॉन्फ़िगर किया जा सकता है, जिससे यह बहुत लचीला हो जाता है।
इस लेख में, मैं आपको pfSense 2.0 पर स्नॉर्ट को स्थापित करने और कॉन्फ़िगर करने की प्रक्रिया के माध्यम से चलूंगा ताकि आप वास्तविक समय में ट्रैफ़िक का विश्लेषण शुरू कर सकें।
स्नॉर्ट पैकेज स्थापित करना
Snort से आरंभ करने के लिए आपको pfSense पैकेज मैनेजर का उपयोग करके पैकेज को स्थापित करना होगा। पैकेज प्रबंधक pfSense वेब GUI के सिस्टम मेनू में स्थित है।
पैकेज की सूची से स्नॉर्ट का पता लगाएँ और फिर स्थापना शुरू करने के लिए दाईं ओर प्लस प्रतीक पर क्लिक करें।
स्नॉर्ट के लिए एक-दो मिनट का समय लगाना सामान्य बात है, इसमें कई निर्भरताएँ हैं जिन्हें pfSense को पहले डाउनलोड और इंस्टॉल करना होगा।
इंस्टॉलेशन पूरा होने के बाद Snort सर्विसेज मेनू में दिखाई देगा।
Snf को pfSense पैकेज मैनेजर का उपयोग करके इंस्टॉल किया जा सकता है।
एक Oinkmaster कोड प्राप्त करना
Snort उपयोगी होने के लिए, इसे नियमों के नवीनतम सेट के साथ अद्यतन करने की आवश्यकता है। स्नॉर्ट पैकेज स्वचालित रूप से आपके लिए इन नियमों को अपडेट कर सकता है, लेकिन सबसे पहले आपको एक Oinkmaster कोड प्राप्त करना होगा।
स्नॉर्ट नियमों के दो अलग-अलग सेट उपलब्ध हैं:
- ग्राहक रिलीज़ सेट उपलब्ध नियमों का सबसे अद्यतित सेट है। इन नियमों तक वास्तविक समय तक पहुँच के लिए एक भुगतान वार्षिक सदस्यता की आवश्यकता होती है।
- नियमों का दूसरा संस्करण पंजीकृत उपयोगकर्ता रिलीज है जो Snort.org साइट पर रजिस्टर करने वाले किसी भी व्यक्ति के लिए पूरी तरह से स्वतंत्र है।
दो नियम सेटों के बीच मुख्य अंतर यह है कि पंजीकृत उपयोगकर्ता रिलीज़ में नियम सदस्यता नियमों से 30 दिन पीछे हैं। यदि आप सबसे अद्यतित सुरक्षा चाहते हैं, तो आपको सदस्यता प्राप्त करनी चाहिए।
अपना Oinkmaster कोड प्राप्त करने के लिए नीचे दिए गए चरणों का पालन करें:
- आपके द्वारा आवश्यक संस्करण को डाउनलोड करने के लिए स्नॉर्ट नियम वेबपेज पर जाएं।
- 'साइन अप फॉर ए अकाउंट' पर क्लिक करें और स्नॉर्ट अकाउंट बनाएं।
- अपने खाते की पुष्टि करने के बाद, Snort.org पर लॉग इन करें।
- ऊपरी लिंक बार पर 'मेरा खाता' पर क्लिक करें।
- On सब्सक्रिप्शन और ओइनकोड ’टैब पर क्लिक करें।
- Oinkcodes लिंक पर क्लिक करें और फिर 'Generate code' पर क्लिक करें।
कोड आपके खाते में संग्रहीत किया जाएगा ताकि आप इसे बाद में जरूरत पड़ने पर प्राप्त कर सकें। इस कोड को pfSense में स्नॉर्ट सेटिंग्स में दर्ज करना होगा।
Snort.org से नियमों को डाउनलोड करने के लिए एक Oinkmaster कोड की आवश्यकता होती है।
स्नॉर्ट में ओइन्मास्टर कोड दर्ज करना
Oinkcode प्राप्त करने के बाद, इसे Snort पैकेज सेटिंग्स में दर्ज किया जाना चाहिए। Snort सेटिंग पेज वेब इंटरफेस के सर्विसेज मेनू में दिखाई देगा। यदि यह दिखाई नहीं देता है, तो सुनिश्चित करें कि पैकेज स्थापित है और यदि आवश्यक हो तो पैकेज को फिर से स्थापित करें।
Oinkcode को Snort सेटिंग के वैश्विक सेटिंग पृष्ठ पर दर्ज किया जाना चाहिए। मुझे इमर्जिंग थ्रेट्स रूल्स को सक्षम करने के लिए बॉक्स को चेक करना भी पसंद है। ET नियमों को एक ओपन-सोर्स समुदाय द्वारा बनाए रखा जाता है और कुछ अतिरिक्त नियम प्रदान कर सकते हैं जो Snort सेट में नहीं पाए जा सकते हैं।
स्वचालित अद्यतन
डिफ़ॉल्ट रूप से, स्नॉर्ट पैकेज नियमों को स्वचालित रूप से अपडेट नहीं करेगा। अनुशंसित अपडेट अंतराल हर 12 घंटे में एक बार होता है, लेकिन आप इसे अपने वातावरण के अनुरूप बदल सकते हैं।
एक बार बदलाव करने के बाद 'सेव' बटन पर क्लिक करना न भूलें।
मैन्युअल रूप से नियमों को अद्यतन करना
स्नॉर्ट किसी भी नियम के साथ नहीं आता है, इसलिए आपको पहली बार उन्हें मैन्युअल रूप से अपडेट करना होगा। मैन्युअल अपडेट चलाने के लिए, अपडेट टैब पर क्लिक करें और फिर अपडेट नियम बटन पर क्लिक करें।
यदि आप उस विकल्प को चुनते हैं तो पैकेज Snort.org और इमर्जिंग थ्रेट से नवीनतम नियम सेट डाउनलोड करेगा।
अपडेट समाप्त होने के बाद, नियम निकाले जाएंगे और फिर उपयोग के लिए तैयार होंगे।
पहली बार Snort स्थापित होने पर नियमों को मैन्युअल रूप से डाउनलोड किया जाना चाहिए।
इंटरफेस जोड़ना
स्नॉर्ट एक घुसपैठ पहचान प्रणाली के रूप में काम करना शुरू कर सकता है, इससे पहले कि आप इसे मॉनिटर करने के लिए इंटरफेस असाइन करें। किसी भी WAN इंटरफेस की निगरानी करने के लिए विशिष्ट कॉन्फ़िगरेशन Snort के लिए है। अन्य सबसे सामान्य कॉन्फ़िगरेशन WAN और LAN इंटरफ़ेस की निगरानी करने के लिए Snort के लिए है।
LAN इंटरफ़ेस की निगरानी आपके नेटवर्क के भीतर से होने वाले हमलों को कुछ दृश्यता प्रदान कर सकती है। लैन नेटवर्क पर एक पीसी के लिए मैलवेयर से संक्रमित होना और नेटवर्क के अंदर और बाहर सिस्टम पर हमले शुरू करना असामान्य नहीं है।
इंटरफ़ेस जोड़ने के लिए, Snort इंटरफ़ेस टैब पर पाया गया प्लस चिह्न क्लिक करें।
इंटरफ़ेस को कॉन्फ़िगर करना
ऐड इंटरफ़ेस बटन पर क्लिक करने के बाद, आप इंटरफ़ेस सेटिंग्स पेज देखेंगे।सेटिंग्स पृष्ठ में बहुत सारे विकल्प हैं, लेकिन कुछ ही हैं जो आपको वास्तव में चीजों को उठने और चलाने के बारे में चिंता करने की आवश्यकता है।
- सबसे पहले, पृष्ठ के शीर्ष पर सक्षम बॉक्स को जांचें।
- अगला, उस इंटरफ़ेस का चयन करें जिसे आप कॉन्फ़िगर करना चाहते हैं (इस उदाहरण में मैं WAN को पहले कॉन्फ़िगर कर रहा हूं)।
- स्मृति प्रदर्शन को AC-BNFA पर सेट करें।
- बॉक्स को चेक करें "लॉग इन अलर्ट्स को यूनिफाइड 2 फाइल को स्नॉर्ट करें" ताकि barnyard2 कार्य करेगा।
- Save पर क्लिक करें।
अगर आप ए बहु-वान राउटर, आप आगे बढ़ सकते हैं और अपने सिस्टम पर अन्य वान इंटरफेस को कॉन्फ़िगर कर सकते हैं। मैं LAN इंटरफ़ेस जोड़ने की भी सलाह देता हूं।
इससे पहले कि आप इंटरफेस शुरू करें, कुछ और सेटिंग्स हैं जिन्हें प्रत्येक इंटरफ़ेस के लिए कॉन्फ़िगर करने की आवश्यकता है। अतिरिक्त सेटिंग्स को कॉन्फ़िगर करने के लिए, स्नॉर्ट इंटरफेस टैब पर वापस जाएं और इंटरफ़ेस के बगल में पृष्ठ के दाईं ओर 'ई' प्रतीक पर क्लिक करें। यह आपको उस विशेष इंटरफ़ेस के लिए कॉन्फ़िगरेशन पृष्ठ पर वापस ले जाएगा। इंटरफ़ेस के लिए सक्षम की जाने वाली नियम श्रेणियों का चयन करने के लिए, श्रेणियों टैब पर क्लिक करें। पता लगाने के सभी नियम श्रेणियों में विभाजित हैं। इमर्जिंग थ्रेट्स से नियम युक्त श्रेणियाँ 'उभरते' से शुरू होंगी और Snort.org से नियम 'स्नॉर्ट' से शुरू होंगे। श्रेणियों का चयन करने के बाद, पृष्ठ के नीचे स्थित सेव बटन पर क्लिक करें। नियमों को श्रेणियों में विभाजित करके, आप केवल उन विशेष श्रेणियों को सक्षम कर सकते हैं, जिनमें आप रुचि रखते हैं। मैं कुछ और सामान्य श्रेणियों को सक्षम करने की सलाह देता हूं। यदि आप अपने नेटवर्क पर किसी वेब या डेटाबेस सर्वर जैसी विशिष्ट सेवाएँ चला रहे हैं, तो आपको श्रेणियों से संबंधित श्रेणियों को भी सक्षम करना चाहिए। यह याद रखना महत्वपूर्ण है कि हर बार एक अतिरिक्त श्रेणी चालू होने पर स्नॉर्ट को अधिक सिस्टम संसाधनों की आवश्यकता होगी। इससे झूठी सकारात्मकता की संख्या भी बढ़ सकती है। सामान्य तौर पर, आपको केवल उन समूहों को चालू करना सबसे अच्छा होता है, जो श्रेणियों के साथ प्रयोग करने के लिए स्वतंत्र महसूस करते हैं और देखते हैं कि सबसे अच्छा क्या काम करता है।नियम श्रेणियों का चयन
नियम श्रेणियों का उद्देश्य क्या है?
मैं नियम श्रेणियों के बारे में अधिक जानकारी कैसे प्राप्त कर सकता हूं?
यदि आप यह जानना चाहते हैं कि किसी श्रेणी में कौन से नियम हैं और वे क्या करते हैं, इसके बारे में अधिक जानें, तो आप श्रेणी पर क्लिक कर सकते हैं। यह आपको सीधे श्रेणी के सभी नियमों की सूची से जोड़ेगा।
लोकप्रिय स्नो नियम नियम
| श्रेणी नाम | विवरण |
|---|---|
snort_botnet-cnc.rules | लक्ष्य बॉटनेट कमांड और मेजबानों को नियंत्रित करता है। |
snort_ddos.rules | सेवा हमलों से इनकार करता है। |
snort_scan.rules | ये नियम पोर्ट स्कैन, नेसस जांच और अन्य सूचना एकत्र करने के हमलों का पता लगाते हैं। |
snort_virus.rules | ज्ञात ट्रोजन, वायरस और कृमि के हस्ताक्षर का पता लगाता है। यह इस श्रेणी का उपयोग करने के लिए अत्यधिक पुनर्संसाधन है। |
प्रीप्रोसेसर और फ्लो सेटिंग्स
प्रीप्रोसेसर सेटिंग पेज पर कुछ सेटिंग्स हैं जिन्हें सक्षम किया जाना चाहिए। पता लगाने के कई नियमों के लिए काम करने के लिए HTTP निरीक्षण सक्षम होना चाहिए।
- HTTP निरीक्षण सेटिंग्स के तहत, 'HTTP इंस्पेक्ट टू नॉर्मल / डिकोड' का उपयोग करें
- सामान्य प्रीप्रोसेसर सेटिंग सेक्शन में, 'पोर्ट्सकैन डिटेक्शन' को सक्षम करें।
- सेटिंग्स सहेजें।
इंटरफेस शुरू करना
जब एक नया इंटरफ़ेस Snort में जोड़ा जाता है, तो यह स्वचालित रूप से चलना शुरू नहीं करता है। मैन्युअल रूप से इंटरफेस शुरू करने के लिए, प्रत्येक इंटरफ़ेस के बाईं ओर हरे रंग के प्ले बटन पर क्लिक करें जो कॉन्फ़िगर किया गया है।
जब स्नॉर्ट चल रहा है, इंटरफ़ेस के नाम के पीछे का पाठ हरे रंग में दिखाई देगा। स्नॉर्ट को रोकने के लिए, इंटरफ़ेस के बाईं ओर स्थित लाल स्टॉप बटन पर क्लिक करें।
कुछ सामान्य समस्याएं हैं जो स्नॉर्ट को शुरू होने से रोक सकती हैं।
अगर स्नॉर्ट शुरू करने में विफल रहता है
अलर्ट के लिए जाँच की जा रही है
स्नॉर्ट को सफलतापूर्वक कॉन्फ़िगर करने और शुरू करने के बाद, आपको नियमों का पता लगाने के बाद अलर्ट देखना शुरू करना चाहिए।
यदि आपको कोई अलर्ट दिखाई नहीं देता है, तो उसे थोड़ा समय दें और फिर से जांचें। ट्रैफ़िक की मात्रा और सक्षम होने वाले नियमों के आधार पर, आपको किसी भी अलर्ट को देखने से पहले कुछ समय लग सकता है।
यदि आप अलर्ट को दूरस्थ रूप से देखना चाहते हैं, तो आप इंटरफ़ेस सेटिंग को सक्षम कर सकते हैं "मुख्य सिस्टम लॉग में अलर्ट भेजें"। सिस्टम लॉग में दिखाई देने वाले अलर्ट हो सकते हैं दूर Syslog का उपयोग कर देखा.
यह लेख लेखक के सर्वोत्तम ज्ञान के लिए सटीक और सत्य है। सामग्री केवल सूचना या मनोरंजन के उद्देश्यों के लिए है और व्यवसाय, वित्तीय, कानूनी या तकनीकी मामलों में व्यक्तिगत सलाह या पेशेवर सलाह के लिए स्थानापन्न नहीं है।
