Snort Programı Nedir , Temel İşlevleri Ve Dahası

[Beklenmeyen Misafir]

Bugün sizlere Snort Programı nedir, temel işlevleri,Tespit ve Önleme Teknikleri gibi bir çok konuda konuşacağız.
​

Snort Nedir?​

Snort, açık kaynak kodlu bir ağ saldırı tespit sistemi (IDS) ve saldırı önleme sistemi (IPS) yazılımıdır. Ağ trafiğini izler ve potansiyel saldırıları tespit eder. Snort, paket yakalama teknikleriyle trafiği analiz eder ve tanımlanmış kurallar setine göre potansiyel tehditleri belirler.

​

Temel İşlevleri Nelerdir? ​

1. Paket İzleme: Ağ üzerinden geçen paketleri dinleyerek analiz eder.
2. Saldırı Tespiti: Tanımlı saldırı kalıplarına göre ağ trafiğindeki anormallikleri ve saldırı girişimlerini tespit eder.
3. Saldırı Önleme: Tespit edilen saldırıları engelleyebilir.
4. Loglama ve Raporlama: Tespit edilen olayları kaydeder ve raporlar sunar.

IDS ve IPS​

IDS (Saldırı Tespit Sistemi) ve IPS (Saldırı Önleme Sistemi), ağ ve sistem güvenliğini sağlamak için kullanılır. IDS saldırıları tespit ederken IPS, bu saldırıları otomatik olarak engeller. IDS, ağ tabanlı (NIDS) ve ana bilgisayar tabanlı (HIDS) olarak ikiye ayrılır. IPS ise ağ tabanlı (NIPS), ana bilgisayar tabanlı (HIPS), Inline IPS ve Virtual IPS olmak üzere dört ana tipe sahiptir.​

IDS (Saldırı Tespit Sistemi)​

• Ağ Tabanlı IDS (NIDS): Ağ trafiğini izler ve ağdaki anormallikleri tespit eder.
• Ana Bilgisayar Tabanlı IDS (HIDS): Bir ana bilgisayarın (örneğin bir sunucunun) olay günlüklerini ve sistem çağrılarını izler.

IPS (Saldırı Önleme Sistemi)​

• Ağ Tabanlı IPS (NIPS): Ağ trafiğini izler ve saldırıları engeller.
• Ana Bilgisayar Tabanlı IPS (HIPS): Belirli bir ana bilgisayar üzerindeki saldırıları engeller.
• Inline IPS: Trafiği doğrudan izler ve gerektiğinde engeller.
• Virtual IPS: Sanal ağlar üzerinde çalışan IPS sistemleridir.

Tespit ve Önleme Teknikleri​

1. İmza Tabanlı Tespit: Önceden tanımlanmış saldırı imzalarına dayanarak saldırıları tespit eder.
2. Anomali Tabanlı Tespit: Normalden sapma gösteren davranışları belirler.
3. Davranış Tabanlı Tespit: Belirli uygulamaların veya sistemlerin normal davranış modellerini öğrenir ve sapmaları tespit eder.

İmza Tabanlı Tespit​

• Önceden tanımlanmış saldırı imzalarına dayanır.
• Bilinen saldırıların tespiti için etkilidir.
• Yeni veya bilinmeyen saldırılara karşı zayıftır.

Anomali Tabanlı Tespit​

• Ağ trafiğinin normal davranışını öğrenir.
• Normalden sapma gösteren davranışları tespit eder.
• Bilinmeyen saldırıları tespit etme yeteneği yüksektir.

Davranış Tabanlı Tespit​

• Belirli uygulamaların veya sistemlerin normal davranış modellerini öğrenir.
• Sapmaları tespit eder.
• Bilinen ve bilinmeyen saldırıları tespit etmede etkilidir.

Snort'un Yetenekleri​

• Canlı trafik analizi​
• Saldırı ve soruşturma tespiti​
• Paket kaydı​
• Protokol analizi​
• Gerçek zamanlı uyarı​
• Modüller ve eklentiler​
• Ön işlemciler​
• Platformlar arası destek (Linux ve Windows)​

Kullanım Modelleri​

1. Koklama Modu: IP paketlerini okuyup konsol uygulamasında istemde bulunur.
2. Paket Kaydedici Modu: Ağı ziyaret eden tüm IP paketlerini kaydeder.
3. NIDS/NIPS Modları: Zararlı olduğu belirlenen paketleri kaydeder veya bırakır.

Koklama Modu​

• -dev: İzlenmesi gereken ağ arabirimini belirtir.
• -d: Paket verilerini görüntüler.
• -e: Bağlantı katmanı başlıklarını görüntüler.
• -l: Log dosyalarının kaydedileceği dizini belirtir.
• -c: Kullanılacak Snort kurallar dosyasını belirtir.
• -i: İzlenmesi gereken ağ arabirimini belirtir.
• -A: Alarm modunu belirtir.
• -X: Paketin tüm ayrıntılarını HEX’te görüntüler.

Paket Kaydedici Modu​

• -l: Hedef log ve uyarı çıkış dizinini belirtir.
• -K ASCII: Paketleri ASCII formatında loglar.
• -r: Dökülen logları Snort’ta okuma seçeneği.
• -n: İşlenecek/okunacak paket sayısını belirtir.

Log Dosyalarının Sahipliği​

Log dosyalarının sahipliği güvenlik ve erişim kontrolü açısından önemlidir. Log dosyalarının doğru sahipliğe sahip olması, izinlerin doğru ayarlanmasını ve yetkisiz erişimleri önler.

Kurulum ve Yapılandırma​

Adım 1: Paketleri Güncelleyin​

sudo apt update
sudo apt upgrade -y

Adım 2: Snort'u Yükleyin​

sudo apt install snort -y

Adım 3: Yapılandırma Dosyasını Düzenleyin​

sudo nano /etc/snort/snort.conf

ipvar HOME_NET any: İzlenmesi gereken ağ arabirimini belirtir.

Adım 4: Snort'u Test Edin​

sudo snort -T -c /etc/snort/snort.conf

Adım 5: Snort'u Başlatın​

sudo snort -A console -q -c /etc/snort/snort.conf -i eth0

Özetle Snort;
Açık kaynak kodlu bir saldırı tespit ve önleme sistemidir (IDS/IPS). Ağ trafiğini izleyerek potansiyel tehditleri tespit eder ve engeller. Snort, paket yakalama, protokol analizi ve gerçek zamanlı trafik analizi yapabilir. İmza tabanlı, anomali tabanlı ve davranış tabanlı tespit yöntemlerini kullanarak saldırıları belirler. Snort, koklama modu, paket kaydedici modu ve NIDS/NIPS modlarında çalışabilir. Kullanımı ve yapılandırılması kolaydır, bu nedenle ağ güvenliği için yaygın olarak tercih edilir.

​

​

 

['ReDLiNe]

peki bir soru..
bunun wireshark ile farklılıkları tam olarak nelerdir biraz daha açabilirmisin?

 

[Beklenmeyen Misafir]

peki bir soru..
bunun wireshark ile farklılıkları tam olarak nelerdir biraz daha açabilirmisin?

İkisi de ağ trafiğini analiz etmek için kullanılan iki popüler araçtır, ancak farklı amaçlar ve işlevlerle öne çıkarlar.
Bunların bir kaçına örnek vermek gerekirse;
Snort; Snort, temel olarak bir saldırı tespit ve önleme sistemi olarak çalışır.(IDS/IPS)
Wireshark ise Wireshark, ağ trafiğini detaylı olarak incelemek için kullanılır. (Paket Analizörü)
Temelde ise farkları şunlardır;

• Amacı: Snort, saldırı tespiti ve önleme odaklıdır; Wireshark ise genel ağ analizi ve hata ayıklama için kullanılır.
• Kullanım Alanı: Snort, güvenlik profesyonelleri tarafından ağ güvenliğini sağlamak için kullanılırken, Wireshark ağ yöneticileri ve mühendisler tarafından ağ trafiğini incelemek için kullanılır.
• Tespit ve Önleme: Snort, saldırıları otomatik olarak tespit eder ve önleyebilir; Wireshark ise saldırıları tespit etmez, sadece analiz eder.

 

['TE0MAN]

Bugün sizlere Snort Programı nedir, temel işlevleri,Tespit ve Önleme Teknikleri gibi bir çok konuda konuşacağız.
​

Snort Nedir?​

Snort, açık kaynak kodlu bir ağ saldırı tespit sistemi (IDS) ve saldırı önleme sistemi (IPS) yazılımıdır. Ağ trafiğini izler ve potansiyel saldırıları tespit eder. Snort, paket yakalama teknikleriyle trafiği analiz eder ve tanımlanmış kurallar setine göre potansiyel tehditleri belirler.

​

Temel İşlevleri Nelerdir? ​

1. Paket İzleme: Ağ üzerinden geçen paketleri dinleyerek analiz eder.
2. Saldırı Tespiti: Tanımlı saldırı kalıplarına göre ağ trafiğindeki anormallikleri ve saldırı girişimlerini tespit eder.
3. Saldırı Önleme: Tespit edilen saldırıları engelleyebilir.
4. Loglama ve Raporlama: Tespit edilen olayları kaydeder ve raporlar sunar.

IDS ve IPS​

IDS (Saldırı Tespit Sistemi) ve IPS (Saldırı Önleme Sistemi), ağ ve sistem güvenliğini sağlamak için kullanılır. IDS saldırıları tespit ederken IPS, bu saldırıları otomatik olarak engeller. IDS, ağ tabanlı (NIDS) ve ana bilgisayar tabanlı (HIDS) olarak ikiye ayrılır. IPS ise ağ tabanlı (NIPS), ana bilgisayar tabanlı (HIPS), Inline IPS ve Virtual IPS olmak üzere dört ana tipe sahiptir.​

IDS (Saldırı Tespit Sistemi)​

• Ağ Tabanlı IDS (NIDS): Ağ trafiğini izler ve ağdaki anormallikleri tespit eder.
• Ana Bilgisayar Tabanlı IDS (HIDS): Bir ana bilgisayarın (örneğin bir sunucunun) olay günlüklerini ve sistem çağrılarını izler.

IPS (Saldırı Önleme Sistemi)​

• Ağ Tabanlı IPS (NIPS): Ağ trafiğini izler ve saldırıları engeller.
• Ana Bilgisayar Tabanlı IPS (HIPS): Belirli bir ana bilgisayar üzerindeki saldırıları engeller.
• Inline IPS: Trafiği doğrudan izler ve gerektiğinde engeller.
• Virtual IPS: Sanal ağlar üzerinde çalışan IPS sistemleridir.

Tespit ve Önleme Teknikleri​

1. İmza Tabanlı Tespit: Önceden tanımlanmış saldırı imzalarına dayanarak saldırıları tespit eder.
2. Anomali Tabanlı Tespit: Normalden sapma gösteren davranışları belirler.
3. Davranış Tabanlı Tespit: Belirli uygulamaların veya sistemlerin normal davranış modellerini öğrenir ve sapmaları tespit eder.

İmza Tabanlı Tespit​

• Önceden tanımlanmış saldırı imzalarına dayanır.
• Bilinen saldırıların tespiti için etkilidir.
• Yeni veya bilinmeyen saldırılara karşı zayıftır.

Anomali Tabanlı Tespit​

• Ağ trafiğinin normal davranışını öğrenir.
• Normalden sapma gösteren davranışları tespit eder.
• Bilinmeyen saldırıları tespit etme yeteneği yüksektir.

Davranış Tabanlı Tespit​

• Belirli uygulamaların veya sistemlerin normal davranış modellerini öğrenir.
• Sapmaları tespit eder.
• Bilinen ve bilinmeyen saldırıları tespit etmede etkilidir.

Snort'un Yetenekleri​

• Canlı trafik analizi​
• Saldırı ve soruşturma tespiti​
• Paket kaydı​
• Protokol analizi​
• Gerçek zamanlı uyarı​
• Modüller ve eklentiler​
• Ön işlemciler​
• Platformlar arası destek (Linux ve Windows)​

Kullanım Modelleri​

1. Koklama Modu: IP paketlerini okuyup konsol uygulamasında istemde bulunur.
2. Paket Kaydedici Modu: Ağı ziyaret eden tüm IP paketlerini kaydeder.
3. NIDS/NIPS Modları: Zararlı olduğu belirlenen paketleri kaydeder veya bırakır.

Koklama Modu​

• -dev: İzlenmesi gereken ağ arabirimini belirtir.
• -d: Paket verilerini görüntüler.
• -e: Bağlantı katmanı başlıklarını görüntüler.
• -l: Log dosyalarının kaydedileceği dizini belirtir.
• -c: Kullanılacak Snort kurallar dosyasını belirtir.
• -i: İzlenmesi gereken ağ arabirimini belirtir.
• -A: Alarm modunu belirtir.
• -X: Paketin tüm ayrıntılarını HEX’te görüntüler.

Paket Kaydedici Modu​

• -l: Hedef log ve uyarı çıkış dizinini belirtir.
• -K ASCII: Paketleri ASCII formatında loglar.
• -r: Dökülen logları Snort’ta okuma seçeneği.
• -n: İşlenecek/okunacak paket sayısını belirtir.

Log Dosyalarının Sahipliği​

Log dosyalarının sahipliği güvenlik ve erişim kontrolü açısından önemlidir. Log dosyalarının doğru sahipliğe sahip olması, izinlerin doğru ayarlanmasını ve yetkisiz erişimleri önler.

Kurulum ve Yapılandırma​

Adım 1: Paketleri Güncelleyin​

sudo apt update
sudo apt upgrade -y

Adım 2: Snort'u Yükleyin​

sudo apt install snort -y

Adım 3: Yapılandırma Dosyasını Düzenleyin​

sudo nano /etc/snort/snort.conf

ipvar HOME_NET any: İzlenmesi gereken ağ arabirimini belirtir.

Adım 4: Snort'u Test Edin​

sudo snort -T -c /etc/snort/snort.conf

Adım 5: Snort'u Başlatın​

sudo snort -A console -q -c /etc/snort/snort.conf -i eth0

Özetle Snort;
Açık kaynak kodlu bir saldırı tespit ve önleme sistemidir (IDS/IPS). Ağ trafiğini izleyerek potansiyel tehditleri tespit eder ve engeller. Snort, paket yakalama, protokol analizi ve gerçek zamanlı trafik analizi yapabilir. İmza tabanlı, anomali tabanlı ve davranış tabanlı tespit yöntemlerini kullanarak saldırıları belirler. Snort, koklama modu, paket kaydedici modu ve NIDS/NIPS modlarında çalışabilir. Kullanımı ve yapılandırılması kolaydır, bu nedenle ağ güvenliği için yaygın olarak tercih edilir.

​

​

Elinize emeğinize sağlık.

 

[0x762]

Eline sağlık