В предыдущей инструкции мы углубились в концепцию автоматизации создания профилей сетевых данных, которая критически необходима, при решении сложных и неопределенных сценариев. Это должно помочь системе использовать нормальный трафик профиля для идентификации легитимных пользователей и запросов. Но нам нужно автоматизировать использование этого профиля, потому что вручную в большой сетевой инфраструктуре возможность контролировать и фильтровать трафик довольно мала. В этой инструкции мы рассмотрим установку системы IPS/IDS: быстрое развертывание. Давайте приступим!
Программное обеспечение
Для наших целей мы будем использовать довольно популярное решение с открытым исходным кодом, которое обеспечивает большую степень стабильности при развертывании, аудит добавит уверенности в безопасности программного обеспечения. Связка Snort и Snorby представляет собой основной модуль с IDS/IPS и веб—интерфейсом в соответствующем порядке. Включив Snort в свое развертывание, вы получаете его широкие возможности обнаружения на основе правил. Snort исследует сетевой трафик и сравнивает его с заранее определенным набором правил для выявления потенциальных угроз безопасности, таких как вредоносное ПО, сетевые атаки или нарушения политики. Он может активно блокировать или предупреждать о подозрительной активности, обеспечивая дополнительный уровень безопасности вашей системы.
Установка и развертка системы IPS/IDS
В начале напишите эту команду для обновления индекса пакета :
sudo apt update –y && sudo apt upgrade –y
Все пакеты и путь к утилите будут обновлены, но обратите внимание на выбор команды для обновления. В примере она менее стабильна, чем upgrade, что выбирать, решать вам. На следующем этапе установите Docker, об этой утилите в двух словах: скомпилированное приложение. Вам не нужно искать репозитории с устаревшими библиотеками и вручную прописывать пути для подключения различных модулей в вашей системе. Быстрое развертывание и удобное использование будет обеспечено:
sudo apt install docker.io
После этого проверьте, как завершилась установка и как был запущен процесс с помощью приведенной ниже команды:
systemctl status docker
Ниже сводной информации мы можем увидеть журнал процесса, убедитесь, что все пакеты в порядке, как на картинке выше! Далее нам нужно войти в репозиторий Docker и зарегистрироваться на сайте:
Введите все необходимые учетные данные и подтвердите свой email, затем войдите на сервер с помощью команды:
docker login
Когда вы введете пароль, вы не увидите никаких данных, только логин. Теперь мы можем приступить к извлечению или загрузке контейнера Docker. Процесс довольно прост. Введите команду ниже:
docker pull ciscotalos/snort3
docker pull polinux/snorby
Однако для нормальной работы системы нам также необходима база данных, которая будет использовать POST и GET для информации для нашей системы. Давайте установим ее:
docker pull million12/mariadbdocker run \
-d \
--name snorby-db \
-p 3306:3306 \
--env="MARIADB_USER=admin" \
--env="MARIADB_PASS=admin" \
million12/mariadb
В строке укажите логин и пароль пользователя, введите свои учетные данные и сохраните в защищенной папке! Затем запустите контейнер с главным модулем:
docker run --name snort3 -h snort3 -u snorty -w /home/snorty -d -it ciscotalos/snort3 bashdocker run \
-d \
--name snorby \
-p 3000:3000 \
--env="DB_ADDRESS=localhost:3306" \
--env="DB_USER=admin" \
--env="DB_PASS=admin" \
polinux/snorbyПосле запуска этого компонента вы увидите следующий вывод в командной строке:
docker exec -it snort3 bash
После этого вы увидите оболочку bash, которую можно использовать для настройки IDS/IPS. Вы можете использовать обычный профиль трафика, который мы создавали в течение семи дней, и установить параметры в соответствии с ним или вы можете использовать примеры безопасности. Для выхода в bash-оболочку контейнера необходимо использовать команду:
exitЗатем нам нужно установить графическую оболочку для использования Snorby:
sudo apt install ubuntu-desktop
Откройте веб—консоль и введите данные для входа:
Перейдите на сайт http://localhost:3000 и введите стандартные учетные данные Имя пользователя: snorby@snorby.org и Пароль: snorby.
И система успешно установилась!
Вывод
В данной инструкции мы внедрили IPS/IDS быстрой разверткой. Выбрали популярное решение с открытым исходным кодом, которое обеспечивает стабильность и аудит безопасности — связку Snort и Snorby. Snort, функционирующий как основной модуль с возможностями IDS/IPS, проверяет сетевой трафик на соответствие правилам для обнаружения потенциальных угроз безопасности и может активно блокировать или предупреждать подозрительную активности. Snorby дополняет Snort, предлагая веб—интерфейс для удобного управления.
Процесс установки включал обновление индекса пакетов и обновление операционной системы. Был установлен Docker, скомпилированное приложение, способствующее быстрому развертыванию и простой интеграции модулей. Статус службы Docker был проверен, чтобы убедиться в успешной установке. Затем из репозитория Docker были получены учетные данные для входа в систему, и были установлены контейнеры Docker для Snort, Snorby и необходимой базы данных Mariadb.
Для настройки базы данных был запущен контейнер с именем snorby-db с соответствующими переменными окружения для логина и пароля пользователя. Аналогичным образом были запущены контейнеры для Snort (snort3) и Snorby, причем Snorby был настроен на подключение к экземпляру MariaDB. Доступ к bash-оболочке контейнера Snort позволил дополнительно настроить систему IDS/IPS, используя индивидуальный профиль трафика. В следующей серии инструкций расскажем о защите локальных частей системы! Не пропустите!
