Cyber-Warrior.Org \ Doküman \ IT Teknolojileri > Snort Kurulumu ve Yapılandırılması

Selamun Aleyküm,

Bu konumuzda sizlere ag sizma tespit ve engelleme konularindan birisi olan SNORT’u anlatmaya çalisacagim. Snort, açik kaynak kodlu olan saldiri tespit ve engelleme için kullanilan bir yazilimdir. Protokol ve katmanlarin birçogunda çalisa bilmektedir ve genel olaraktan imza tabanli çalismaktadir.

Snort açik kaynak olmasi ile kullanici yazilimi istedigimi gibi kullanabilmektedir. Su anda da Martin Roesch’un kurmus oldugu Sourcefire firmasi tarafindan gelistirilmesine devam edilen, dünya genelinde en çok kullanilan, Linux, Windows, MAC ve FreeBSD gibi birçok farkli platformda sorunsuz olarak çalisabilen, IP aglari üzerinde gerçek zamanli trafik analizi ve paket loglamasi yapabilen bir saldiri tespit ve önleme islemi yapabilmektedir. Ücretli veya ücretsiz kural setleri kullanilarak; yazilim protokol analizi, içerik tarama/esleme, arabellek tasmasi, port taramasi, CGI saldirisi, isletim sistemi parmak izi denemesi gibi pek çok saldiri ve zararli/süpheli yazilim çesitlerini tespit edebilmektedir.

Snort’un Saldiri Tespit Sistemi (STS) olarak kullanildigi durumlarda genellikle iki ag arayüz karti kullanilir. Bu arayüzlerinden birisi agi dinlemek için, digeri ise Snort’a uzaktan erisip Snort’un yapilandirilmasinda kullanilir. Agi dinleyen arayüze genellikle IP adresi atanmaz ve bagli oldugu anahtarin(switch) tüm portlari bu arayüze aynalanir (mirroring). Bu yöntemle, anahtar üzerinden geçen tüm paketlerin Snort tarafindan dinlenilmesi saglanmis olur.

Snort’un Kurulumu

Kurulum dosyalari içerisinde olan snort’un setup’ini çalistiyoruz,

Burada anlasmayi kabul ederek devam ediyoruz,

Burada ki tikler varsayilan olarak isaretli gelmektedir, tikler seçili bir vaziyette iken ileri diyoruz,

Snortun kurulacagi yeri soruyor bize varsayilan olarak c dizine kuruyor,

Kurulum tamamlandiktan sonra close diyoruz,

Kurulum tamamlandi ama bizden wincap programini kurmamizi istiyor, burada tamam diyoruz ve kurulum dosyalari arasinda olan wincap i kuruyoruz.

Suanda bilgisayarimizin üzerine kurulumunu saglamis durumdayiz. Simdi ise Yapilandirilmasina geçelim.

Snort’un Yapilandirilmasi

Msdos ekranindan cd \\\\\\\\\\\\\\\\\\snort\\\\\\\\\\\\\\\\\\bin komutunu yazalim ve daha sonra snort –V ve Snort –W komutlarini girelim,

Evet yukarda görmüs oldugunuz gibi snortumuz çalismis durumda ve snort –W ile de agimizda ki cihazlari görmüs oluyoruz.
Snort –d ile de pcmiz üzerinden gelen giden paketleri görmemiz mümkündür,

Snort asil çalisma tabani linuxtur. Varsayilan ayarlar linuxa göre gelmektedir. Simdi C\\\\\\\\\\\\\\\\\\snort\\\\\\\\\\\\\\\\\\etc klasörüne giris yapalim ve snort.conf dosyasini açalim, sirasi ile degistirmemiz gereken islemleri gerçeklestirelim,

Ipvar HOME_NET any bulup ipvar dan sonra ki HOME_NET any i silip yerine bizim kendi ag geçidimizi yaziyoruz örn. Ipvar 192.168.1.1/24 seklinde yaziyoruz.

Simdi ise varsayilan yollarin yerlerini degistirelim,

Simdi ise kütüphaneleri degistirecegiz,

Servislerin basina # isareti getirerek pasif hale getiriyoruz,

Simdi ise referans verilerinin yolunu gösteriyoruz,

Son olarakta blacklist ve Whitelistlerimizi tamamlayacagiz, ilk önce c:\\\\\\\\\\\\\\\\\\snort\\\\\\\\\\\\\\\\\\rules klasörü içerisine black_list.rules ve White_list.rules adinda iki tane dosya açiyoruz,

Daha sonra config dosyamizdan bu olusturdugumuz listelerin yolunu gösteriyoruz,

Snortumuzun log kayitlarini tutmasini istiyorsakta, syslog kismina Output alert_syslog: LOG_AUTH LOG_ALERT komutunu eklemeliyiz.

Snort üzerinde ayarlanmis roller ve ilkeler mevcuttur internet üzerinden bu rolleri ve ilkeleri indirip snortun üçerisine kurabilirsiniz. Varsayilan roller ve ilkeler snort kendi sitesinde paylasmistir en son roller ve ilkeler kurulum klasörü içerisinde paylastim.

Rol ve ilkeleri nasil yükleyecegimizi de anlatip konumuzu bitirelim, snort klasörü içerisinde bulunan rules ve proproc_rules klasörleri bizim ilke ve kurallarimizin bulundugu klasörlerdir. Indirmis oldugunuz ilke veya kurali bu klasörlerin içerisine kopyalamaniz yeterli olacaktir. Biz de snortun yapilandirilmasini yaparken black ve White list dosyalarimi olusturup rules klasörüne atmistik.

Indirme Linkleri,

Snort =https://www.snort.org/downloads
Wincap =http://www.winpcap.org/install/default.htm
Ilke ve Kurallar =https://snort.org/downloads/#rule-downloads
Toplu Olarak Kendi Uploadim = https://www.dropbox.com/s/ich86x1uhskepqb/Snort%20Kurulum%20Dosyalar%C4%B1.rar?dl=0

Bu konumuzda ag sizma tespit ve engelleme yöntemlerinden birisi olan SNORT’un kurulumunu ve yapilandirilmasini anlatmaya çalistim. Sizde kendi aginiz üzerinden kurulumu gerçeklestirebilir ve aginiz üzerinde tehdit olup olmadigini görebilirsiniz.