Merhaba, bugün sizlere Snort (IDS) saldırı tespit sistemi nedir ? Kali Linux ile atak testi yapıp Ubuntu üzerinde kurulu Snort (IDS) saldırı tespit sistemi ile nasıl tespit edilir ? Örneğini yapacağız.
Snort (IDS) Saldırı Tespit Sistemi Nedir ?
Snort, Martin Roesch tarafından 1998 yılında kurulmuş ve kural-imza tabanıyla çalışan açık kaynak saldırı tespit sistemidir. Eğer snorta daha çok hakim olursanız ağ forensic aracı veya şüpheli durumların tespiti için kullanılabilir. Kurumlar genelde satın aldıkları ticari IPS veya IDS sistemini kullanırlar. Tabikide bu güvenlik seviyesini artırır fakat artıları ve eksileri de olabilir.
Snort, saldırı tespit görevini ağ paketlerini inceleyerek yapar. Daha önce kaydedilmiş olan ağ paketlerini (pcap dosyalarını) Snorta okutarak da yapabilirsiniz veya ağı dinleyerek yapabilirsiniz. Mart 2020 itibariyle Linux için son güncel sürümü 2.9.15.1 dir. Snort Windows ve Linux platformlarını destekler. Snort ile ilgili gerekli dosyaları indirmek için buraya tıklayabilirsiniz. Kurulumu ile ilgili makaleyi ilerleyen günlerde paylaşacağım.
Ubuntuda kurulu Snort (IDS) saldırı tespit sistemi nasıl çalışır ?
Bu örneği gerçekleştirmeden önce şunu belirtmek istiyorum. Bu örnek sadece Snort kurulu sistemlerde gerçekleştirilebilmektedir. Snort’un kurulumunu ilerleyen günlerde sizlere anlatacağım, fakat şuan kurmak isteyenler için Fatih EMİRAL hocamın Snort Kurulumu ile ilgili yazısını buraya bırakıyorum. http://blog.btrisk.com/2015/11/SNORT-IDS-nedir.html
Ayrıca Mertcan Coşkuner’in IPS IDS nedir yazısına buradan ulaşabilirsiniz.
Saldırı tespit örneğimize başlıyoruz;
İlk olarak VMware sanal makinemde daha önceden kurmuş olduğum Ubuntu ve Kali Linux 2020’yi açıyorum.
Daha sonra Ubuntu da ifconfig yapıyorum. Burada dikkat edeceğimiz nokta ens33. Benim ağ arayüzüm ens33 sizlerde farklılık gösterebilir. Ağ arayüzümüzü unutmayalım.
sudo gedit /etc/snort/snot.conf komutunu yazıyoruz ve sudo yetkisi için parolamızı giriyoruz. Snortun konfigirasyonlarının olduğu Snort.conf dosyasının text hali gelecek karşımıza (burada herhangi bir değişiklik yapmıyoruz)
sudo snort –T –c /etc/snort/snort.conf –i ens33 komutu ile konfigirasyonlarda herhangi bir sorun varmı yokmu diye test ediyoruz. Aşağıdaki gibi bir ekran alırsanız testi geçtiniz demektir.
sudo snort –A console –q –u snort –g snort –c /etc/snort/snort.conf –i ens33 komutu ile Snortu çalıştırıyoruz ve ağı dinlemeye başlıyoruz.
Kali Linux’umuza gelip saldırı esnasında ilk işlemlerden biri olan keşif aşamasını nmap 192.168.160.0/24 komutu ile yapıyoruz.
Ve gelen trafiği snort ile görebiliyoruz.
Yazılarımdan ilk siz haberdar olmak istiyorsanız. Mail aboneliği kısmından abone olabilirsiniz.
Veya TELEGRAM Duyuru Kanalıma Katılabilirsiniz.
Sağlıklı ve Güvenli Günler Dilerim.
Bir yanıt yazın