Snort (IDS) Saldırı Tespit Sistemi Nedir ? Örnek ile anlatım.

Erdinç 19 Mar 2020 Siber 57 Okundu  0

Merhaba, bugün sizlere Snort (IDS) saldırı tespit sistemi nedir ? Kali Linux’dan saldırı yapıp Ubuntuda kurulu  Snort (IDS) saldırı tespit sistemi ile nasıl tespit edilir ?  Örneğini yapacağız.

Snort (IDS) Saldırı Tespit Sistemi Nedir ?

Snort, Martin Roesch tarafından 1998 yılında kurulmuş ve kural-imza tabanıyla çalışan açık kaynak saldırı tespit sistemidir. Eğer snorta daha çok hakim olursanız ağ forensic aracı veya şüpheli durumların tespiti için kullanılabilir. Kurumlar genelde satın aldıkları ticari IPS veya IDS sistemini kullanırlar. Tabikide bu güvenlik seviyesini artırır fakat artıları ve eksileri de olabilir.

Snort, saldırı tespit görevini ağ paketlerini inceleyerek yapar. Daha önce kaydedilmiş olan ağ paketlerini (pcap dosyalarını) Snorta okutarak da yapabilirsiniz veya ağı dinleyerek yapabilirsiniz. Mart 2020 itibariyle Linux için son güncel sürümü 2.9.15.1 dir. Snort Windows ve Linux platformlarını destekler. Snort ile ilgili gerekli dosyaları indirmek için buraya tıklayabilirsiniz.  Kurulumu ile ilgili makaleyi ilerleyen günlerde paylaşacağım.

Ubuntuda kurulu Snort (IDS) saldırı tespit sistemi nasıl çalışır ?

Bu örneği gerçekleştirmeden önce şunu belirtmek istiyorum. Bu örnek sadece Snort kurulu sistemlerde gerçekleştirilebilmektedir. Snort’un kurulumunu ilerleyen günlerde sizlere anlatacağım, fakat şuan kurmak isteyenler için Fatih EMİRAL hocamın Snort Kurulumu ile ilgili yazısını buraya bırakıyorum. http://blog.btrisk.com/2015/11/SNORT-IDS-nedir.html

Saldırı tespit örneğimize başlıyoruz;

İlk olarak VMware sanal makinemde daha önceden kurmuş olduğum Ubuntu ve Kali Linux 2020’yi açıyorum.

Daha sonra ubuntu da ifconfig yapıyorum. Burada dikkat edeceğimiz nokta ens33. Benim ağ arayüzüm ens33 sizlerde farklılık gösterebilir. Ağ arayüzümüzü unutmayalım.

sudo gedit /etc/snort/snot.conf komutunu yazıyoruz ve sudo yetkisi için parolamızı giriyoruz. Snortun konfigirasyonlarının olduğu Snort.conf dosyasının text hali gelecek karşımıza (burada herhangi bir değişiklik yapmıyoruz)

sudo snort –T –c /etc/snort/snort.conf –i ens33 komutu ile konfigirasyonlarda herhangi bir sorun varmı yokmu diye test ediyoruz. Aşağıdaki gibi bir ekran alırsanız testi geçtiniz demektir.

sudo snort –A console –q –u snort –g snort –c /etc/snort/snort.conf –i ens33 komutu ile Snortu çalıştırıyoruz ve ağı dinlemeye başlıyoruz.

Kali Linux’umuza gelip nmap 192.168.160.0/24 komutu ile ağ taraması yapıyoruz.

 

Ve gelen trafiği snort ile görebiliyoruz.

 

Bir önceki yazımız olan FLOOD SALDIRILARI başlıklı makalemizde FLOOD SALDIRILARI, tcp flood ve udp flood hakkında bilgiler verilmektedir.

Wireguard VPN Nedir ? Linuxda Nasıl Kurulur ?
Gökay Düzay | Pandemiden kaçarken siber saldırganların hedefi olma
FLOOD SALDIRILARI
Siber Güvenliğe Giriş Nasıl Yapılır?

“Snort (IDS) Saldırı Tespit Sistemi Nedir ? Örnek ile anlatım.” üzerine 1 yorum

Bir Cevap Yazın