Snort Nedir ve Nasıl Kurulur?
Snort: Açık Kaynaklı Ağ Güvenlik Çözümü
Snort, 1998 yılında Martin Roesch tarafından geliştirilen ve ağ güvenliğini artırmaya yönelik açık kaynaklı bir ağ tabanlı saldırı tespit ve önleme sistemidir (IDS/IPS). Snort, siber tehditleri tespit etmek için imza tabanlı bir yöntem kullanarak, ağınızın güvenliğini sağlamaya yardımcı olur.
Snort’un Temel Modları
- Paket Dinleyici (Packet Sniffer)
Bu mod, ağ üzerinden geçen paketleri gerçek zamanlı olarak dinler ve bunları konsola yansıtır. Ağ trafiğini gözlemlemek ve analiz etmek için kullanışlıdır. - Paket Kaydedici (Packet Logger Mode)
Bu mod, ağ paketlerinin bilgilerini bir dosyaya kaydeder. Paketleri daha sonra detaylı bir şekilde incelemek için bu kayıtları kullanabilirsiniz. - Ağ Tabanlı IDS/IPS (NIDS/NIPS)
Snort’un en kapsamlı modu olan bu seçenek, imza tabanlı veri tabanı ve kullanıcı tarafından yazılmış kurallara dayanarak ağınızı korur. Potansiyel tehditleri tespit eder ve bu tehditlere karşı koruma sağlar.
Snort Kurulumu ve Konfigürasyonu
Snort’u kullanmaya başlamak için yazılımı resmi web sitesinden indirebilirsiniz. Kurulum ve yapılandırma adımları hakkında bilgi edinmek için YouTube’da veya CrowdStrike web sitesinde bulunan çeşitli kaynaklara başvurabilirsiniz.
Snort Alternatifleri
Snort’un bazı popüler alternatifleri şunlardır:
- Suricata: Çoklu iş parçacığı desteği ve yüksek performansı ile bilinen bir ağ güvenlik sistemidir.
- Bro/Zeek: Ağ trafiğini analiz ederek güvenlik olaylarını tespit eden ve kaydeden bir açık kaynaklı sistemdir.
- OpenSnort: Snort’un açık kaynaklı bir versiyonu olarak, çeşitli ek özellikler sunar.
Bu alternatifler, ağ güvenliğini sağlamak için farklı özellikler ve yaklaşımlar sunar, dolayısıyla ihtiyacınıza uygun olanı seçebilirsiniz.
Snort Kurulumu Kali Linux Üzerinde
Snort, Kali Linux’ta oldukça kolay bir şekilde kurulabilir. Kali Linux, genellikle güvenlik testleri ve sızma testleri için kullanıldığından, Snort gibi ağ tabanlı saldırı tespit ve önleme sistemleri için ideal bir ortamdır. İşte Snort’u Kali Linux üzerine kurmak için adım adım yönergeler:
Adım 1: Sistem Güncellemeleri
Öncelikle, sisteminizi güncelleyerek en son paketleri ve güvenlik yamalarını almanız önemlidir. Terminal açın ve aşağıdaki komutları çalıştırın:
sudo apt update
sudo apt upgrade
Bu komutlar, sisteminizdeki mevcut paketlerin güncellenmesini sağlar.
Adım 2: Snort ve Bağımlılıklarının Kurulumu
Snort ve gerekli bağımlılıkları Kali Linux’a kurmak için aşağıdaki komutu kullanın:
sudo apt install snort
Bu komut, Snort’u ve Snort için gerekli tüm bağımlılıkları otomatik olarak yükleyecektir.
Adım 3: Snort Konfigürasyon Dosyalarını Düzenleme
Kurulum tamamlandığında, Snort’un temel yapılandırma dosyalarını düzenlemeniz gerekebilir. Bu dosyalar genellikle /etc/snort/snort.conf konumunda bulunur. Konfigürasyon dosyasını bir metin editörü ile açarak (örneğin nano), ağınızın özelliklerine ve güvenlik ihtiyaçlarınıza göre yapılandırabilirsiniz:
sudo nano /etc/snort/snort.conf
Adım 4: Snort Servisini Başlatma ve Durumunu Kontrol Etme
Snort’u başlatmak için aşağıdaki komutu kullanabilirsiniz:
sudo systemctl start snort
Snort servisinin çalıştığından emin olmak için durumunu kontrol edin:
Adım 5: Snort’un Test Edilmesi
Snort’un doğru şekilde çalışıp çalışmadığını test etmek için aşağıdaki komutu kullanarak gerçek zamanlı olarak paketleri izleyebilirsiniz:
sudo systemctl status snort
Burada eth0, Snort’un dinleyeceği ağ arayüzüdür. Sunucunuzda bu isim farklı olabilir, dolayısıyla uygun ağ arayüzü adını kullanmalısınız.
Snort Kural Yapısı:
Snort Kurallarında Kullanılan Eylemler ve Parametreler
Eylemler (Actions):
Snort kuralları, belirli bir duruma göre ne yapılması gerektiğini belirleyen çeşitli eylem türleri içerir:
💠Alert (Alarm): Kuralı karşılayan paketleri tespit eder ve bir alarm oluşturur. Bu, potansiyel tehditleri hızlı bir şekilde fark etmenizi sağlar.
💠Pass (Geç): Kuralı karşılayan paketleri göz ardı eder ve herhangi bir işlem yapmaz. Bu, belirli trafiği analiz dışında bırakmanıza olanak tanır.
💠Log (Kayıt): Kuralı karşılayan paketleri kaydeder ancak alarm oluşturmaz. Paketlerin daha sonra incelenmesi için bu eylemi kullanabilirsiniz.
💠Activate (Aktif Et): Kuralı karşılayan paketleri tespit eder ve bir alarm oluşturur; ayrıca, diğer kuralları da aktive eder. Bu, belirli bir kural tetiklendiğinde ek kuralların çalışmasını sağlar.
💠Dynamic (Dinamik): Kural aktif hale gelene kadar bekler ve sonrasında aktif olan kurala göre işlem yapar. Bu, dinamik olarak değişen kuralların uygulanmasını sağlar.
💠Drop (Düşür): Kuralı karşılayan paketleri engeller ve kaydeder. Bu, kötü amaçlı trafiği hem engelleyip hem de kayıt altına almanızı sağlar.
💠Sdrop (Sadece Düşür): Kuralı karşılayan paketleri engeller, ancak kaydetmez. Bu, sadece paketi engellemek için kullanılır.
💠Reject (Reddet): Kuralı karşılayan paketleri engeller, kaydeder ve aynı zamanda hedefe hata mesajı gönderir. Bu, hem paketleri engelleyip hem de bir hata yanıtı ile bildirir.
Protokol (Protocol):
Kuralların hangi protokol üzerinde uygulanacağını belirler (TCP, UDP, ICMP, vb.).
Kaynak Adresi/Portu (Source Address/Port):
Paketlerin geldiği kaynak IP adresini ve portunu belirtir.
Hedef Adresi/Portu (Destination Address/Port):
Paketlerin hedef aldığı IP adresini ve portunu belirtir.
Mesaj (Msg):
Alarm durumunda gösterilecek metni belirtir. Bu mesaj, hangi kuralın tetiklendiğini anlamanıza yardımcı olur.
Sid (Signature ID):
Her kural için benzersiz bir ID numarası sağlar. Bu, kuralların kolayca tanımlanması ve yönetilmesi için kullanılır.
