Snort nedir, kurulumu nasıl yapılır?

Snort Nedir? Snort Nasıl Kurulur ?

Snort, C programlama dilinde yazılmış, ağ tabanlı bir saldırı tespit sistemidir. Ücretsiz bir açık kaynaklı yazılımdır. Sistemi  gerçek zamanlı olarak izlemek için paket dinleyicisi olarak da kullanılabilir. Ağ yöneticisi, gelen tüm paketleri izlemek ve sistem için tehlikeli olanları bulmak için kullanabilir. Kütüphane paketi yakalama aracını temel alır. Kuralların oluşturulması ve uygulanması oldukça kolaydır ve her türlü işletim sistemine ve her türlü ağ ortamına uygulanabilir. Bu IDS’nin diğerlerine göre popülaritesinin ana nedeni, herhangi bir kullanıcının istediği gibi kullanabileceği bir yazılım ve açık kaynak kullanımı ücretsiz olmasıdır.

Peki, bu yazıda biz ne yapacağız? En popüler olan olan saldırı tespit sistemini Snort nedir ve nasıl kurulur onu öğreneceğiz. O zaman başlayalım..

Snort kurulumu nasıl yapılır?

Kullanacağımız kodların bazılarında root yetkisi istediğinden terminalimize “sudo su” yazarak root yetkisine sahip olalım. Sudo su komutu, her komut için tek tek sudo yazmamıza gerek kalmadan tek bir komut ile açık olan terminalde, herhangi bir çıkış veya exit komutu girilmediği sürece root olmamızı sağlayan bir komuttur.

 sudo su

Root yetkisini aldıktan sonra kuruluma başlamadan önce ubuntu muzu güncelleyelim bu işlemi apt-get update komutu ile yapıyoruz.

 apt-get update

Snortu kaynak kod üzerinden kurucağımız için kaynak kodunu derlemek için gerekli bir kaç uygulamaya ihtiyacımız var.

Bu uygulamaları aşağıdaki komutlar ile kurabiliriz. Linux de “apt-get install” bir uygulamayı kurmak için yazdığımız bir komuttur. -y parametresi ile karşımıza gelen yes/no sorularına direk yes cevabı döndürmesini sağlarız.

 apt-get install -y build-essential

      apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev

 apt-get install -y bison flex

      apt-get install -y zlib1g-dev

Kurulumlar bittikten sonra artık kaynak kodlarımızı derleyip kurulum yapabiliriz. Kaynak kodları indirmeden önce masaüstüne snort_setup isimli bir dizin oluşturalım ve oluşturduğumuz dizinin içine girelim.

    mkdir snort_setup (dizin oluşturmak için)

        cd snort_setup (oluşturduğumuz dizine geçiş yapabilmek için)

Dizinimizi oluşturduktan sonra artık Snort u indirebiliriz. Snort u resmi internet sitesinden indirebiliriz. Snortun yanına Snort tarafından kullanılan ağ kütüphanesi olan DAQ (Data Acquisition) kütüphanesini de indirmeliyiz. İndirme işlemini ise “wget” komutu ile yapıcaz.

   wget  https://www.snort.org/downloads/snort/snort-2.9.15.1.tar.gz 

  

   wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

İndirdiğimiz klasörler için “tar” arşivi olduğu için önce çıkarmamız gerekiyor bunu ise aşağıdaki komut ile yapacağız.

  tar -xvzf daq-2.0.6.tar.gz

 

Tar arşivini çıkardıktan sonra cd komutu ile “daq-2.0.6” dizinine gidiyoruz. Ls komutu ile dizin içindeki dosyaları görebiliriz.

       cd daq-2.0.6

Aşağıdaki komutlar ile kurulumunu yapıyoruz.

      ./configure

       make

         make install

Aynı işlemleri snort arşivi içinde yapmamız gerekiyor. Cd.. komutu ile bir önceki dizine geçip tar – komutu ile snort arşivini açıyoruz. Cd komutu ile snort dizinine geçip aynı yükleme işlemlerini gerçekleştiriyoruz.

      cd ..

      tar -xvzf snort-2.9.15.1.tar.gz

       cd snort-2.9.15.1

   ./configure –enable-sourcefire  (./configure  –disable-open-appid hata alanlar için)

         make

       make install

Kurulum bittikten sonra “shared library leri” güncellemek için aşağıdaki komutu yazıyoruz

ldconfig

Snort çalıştırılabilen koduna /usr/snort/bin dizini altında link eklemek için;

ln -s /usr/local/bin/snort /usr/sbin/snort

Snort kurulumuz bitti. Kurulumu kontrol etmek için ve Snort versiyonunu öğrenmek için aşağıdaki komutu çalıştırabiliriz.

   snort -v

Kurulumumuz bitti fakat snortun çalışabilmesi için konfigürasyon dosyalarını oluşturup gerekli düzenlemeler yapmalıyız. Konfigürasyon dosyaları için /etc dizinin altına aşağıdaki komutlar ile aşağıdaki dizinleri oluşturuyoruz.

 mkdir /etc/snort

mkdir /etc/snort/rules

mkdir /etc/snort/preproc_rules

 

Snort tarafından tutulacak olan loglarımızı saklamamız için de /var/log dizini altına aşağıdaki komut ile snort dizinini oluşturuyoruz.

 mkdir /var/log/snort

Snortun kurulum dosyasıyla gelen konfigürasyon dosyalarını /etc  dizini altındaki snort dizinine kopyalayalım.

 cp ./etc/*.conf* /etc/snort

cp ./etc/*.map /etc/snort

 

Aldığımız  snort.conf dosyasını nano editörü ile açıp birkaç düzenleme yapmamız gerekiyor.

nano /etc/snort/snort.conf

RULE_ PATH değişkenlerindeki dizinleri düzenlememiz gerekiyor. Konfigürasyon dosyasında kelime arama yapmak için ctrl+w tuşunu kullanabiliriz. RULE_PATH dizinleri ‘..’ yani bir üst dizini gösteriyor , biz bunu ‘. ‘ yani bulunduğumuz dizin olarak değiştireceğiz.

Bir sonraki adım olarak dynamicrules u geçersiz hale getirmemiz gerekiyor onun için nano editörü içinde tekrardan “ctrl+w” ile  dynamicrules u arıyoruz. Dynamicrules geçen satırın başına # işareti koyarak yorum satırı haline yani kodu geçersiz hale getiriyoruz.

Step #7 nin olduğu yerdeki local.rules dışındaki tüm include satırlarını siliyoruz. Bu kuralları kullanmak istereniz /etc/snort/rules dizinine bu dosyaları eklemeniz gerekir eklemediğiniz taktirde snortunuz çalışmaz. 

 

Dizinimizde whitelist ve blacklist dosyaları olmadığından o satılarıda ‘#’ işareti ile yorum satırı haline getiriyoruz.

Ctrl+x tuşuyla kaydedip artık nano editöründen çıkıyoruz.Bir sonraki adımımız kural dosyamımızı oluşturup içine kuralları yazmamız olucak. /etc/snort/rules dizini içine local.rules adlı bir dosya oluşturup içine kurallarımızı gireceğiz. /etc/snort/rules dizini altında aşağıdaki komutu çalıştırıyoruz.

  nano local.rules

 Buraya istediğimiz kuralları girebiliriz. İnternette birçok snort kuralı bulunuyor. Ben burda ddos saldırısı denemek ve snort üzerinden bu saldırıyı yakalamak istiyorum onun için içine ddos saldırsını algılayacak bir kural giriyorum.

·         alert tcp any any -> $HOME_NET 80 (flags: S; msg:”Possible TCP DoS”; flow: stateless; threshold: type both, track by_src, count 70, seconds 10; sid:10001;rev:1;)

Ddos saldırısı yapmamız için ubuntu cihazımızın 80 portunda bir servis çalışması gerekiyor. Bunun için apache2 yi indirip aktif edebiliriz. apt-get install apache2 komutu ile

apache2 yi ubuntu bilgisayarımıza yüklüyoruz.

·         apt-get install apache2

Apache2 kurulumumuz bittikten sonra apache2 servisimizi aktif etmemiz gerekiyor. Bunun için aşağıdaki komutu kullanıyoruz.

       service apache2 start

Aşağıdaki komut ile servisin çalışıp çalışmadığını kontrol edebiliriz.

service apache2 status

Evet görmüş olduğumuz gibi apache2 servisimiz çalışmakta.

 

 Snortumuzu aşağıdaki komut ile aktif edelim. Burdaki -i parametresine bağlı olduğunuz interface i girmeniz gerekiyor.

snort -A console -q -c /etc/snort/snort.conf -k none -i ens33

DDOS saldırımızı Kali Linux cihazımızdaki hping3 toolu ile yapacağız.Aşağıdaki komut ile saldırıyı baştalabiliriz. Ubuntunun ip adresi bende 192.168.160.144 olduğundan öyle yazdım, sizler “kendi makinanızın ip adresini” yazmalısınız.

       hping3 –flood  -c 100000 -d 700 -S -w 400 -p 80 192.168.160.144

 Snort üzerinden saldırının tespit edildiğini görebilirsiniz.

 

Bir sonraki yazımda görüşmek dileğiyle. Güvenli günler.

Bir Cevap Yazın