Snort, Kali Linux’ta bulunan ve ağ tabanlı saldırıları tespit etmek, engellemek ve analiz etmek için kullanılan açık kaynaklı bir ağ tabanlı saldırı tespit ve engelleme sistemi (IDS/IPS) aracıdır. Snort, ağdaki trafiği analiz eder ve belirlenen kurallar doğrultusunda potansiyel tehditleri ve saldırıları tespit eder. Snort, hem gerçek zamanlı saldırı tespiti için hem de ağ güvenlik olaylarının kaydını tutmak için kullanılabilir.
Snort’un Temel Özellikleri
- Ağ trafiği analizi: Snort, ağ paketlerini analiz eder ve bu paketleri çeşitli saldırı vektörlerine karşı inceler.
- Saldırı tespit sistemi (IDS): Snort, ağ trafiğini izler ve bilinen saldırı kalıplarına göre uyarılar oluşturur.
- Saldırı engelleme sistemi (IPS): Snort, saldırıları tespit edip engelleyebilir.
- Paket günlüğü: Snort, ağ trafiğini kaydedebilir ve daha sonra analiz edilmek üzere depolayabilir.
- Kural tabanlı: Snort, belirli saldırıları tespit etmek için kullanıcı tarafından tanımlanmış veya önceden tanımlanmış kurallara dayanarak çalışır.
- İzleme modları: Snort, farklı izleme modları sunar; paket günlüğü, saldırı tespiti ve engelleme gibi modları vardır.
Snort’un Kurulumu
Snort, Kali Linux üzerinde genellikle önceden yüklü gelmez. Terminal üzerinden aşağıdaki komutla Snort’u yükleyebilirsiniz:
sudo apt install snort
Yükleme sırasında sizden ağ arayüzünü belirlemeniz istenebilir. Snort’un hangi ağ arayüzü üzerinde çalışacağını seçmeniz gerekiyor (örneğin eth0
).
Snort’un Temel Kullanım Modları
Snort üç ana modda çalışır:
- Dinleme (Sniffer) modu: Ağ trafiğini gerçek zamanlı olarak dinler ve trafiği ekrana yansıtır.
- Paket günlüğü (Packet Logger) modu: Ağ trafiğini kaydeder ve bu kayıtları daha sonra analiz etmenizi sağlar.
- IDS/IPS (Saldırı Tespit ve Engelleme) modu: Trafiği analiz eder, belirli kurallar doğrultusunda saldırıları tespit eder ve isteğe bağlı olarak engeller.
Snort’un Temel Kullanım Formatı
Temel Snort kullanımı şu şekildedir:
sudo snort [mod seçenekleri] -i [interface] -c [config dosyası]
- [mod seçenekleri]: Çalışma modunu belirler (dinleme, kayıt, saldırı tespiti vb.).
-i
: Hangi ağ arayüzü üzerinde çalışacağını belirtir (örneğin,eth0
).-c
: Snort’un çalışacağı yapılandırma dosyasını belirtir.
Snort Kullanım Senaryoları
1. Dinleme (Sniffer) Modu
Snort’u dinleme modunda başlatarak, ağınızdaki trafiği gerçek zamanlı olarak izleyebilirsiniz. Bu mod, gelen ve giden paketleri incelemek ve ağdaki trafiği analiz etmek için kullanılır:
sudo snort -v -i eth0
Bu komut, Snort’un eth0
arayüzünde trafiği dinlemesini sağlar ve gelen/giden tüm paketlerin özetini ekranda gösterir.
-v
: Detaylı (verbose) modu etkinleştirir ve tüm trafiği ekranda gösterir.-i eth0
: Dinleme yapılacak ağ arayüzünü belirtir.
2. Paket Günlüğü (Packet Logger) Modu
Snort’u paket günlüğü modunda çalıştırarak ağdaki trafiği kaydedebilir ve daha sonra analiz edebilirsiniz:
sudo snort -dev -l /var/log/snort/ -i eth0
Bu komut, Snort’un eth0
arayüzünde gelen/giden tüm trafiği dinleyerek /var/log/snort/
dizinine kaydetmesini sağlar.
-dev
: Detaylı paket verisi (data) ve özet bilgilerini gösterir.-l /var/log/snort/
: Trafiği belirtilen dizine kaydeder.
Bu dizinde daha sonra yakalanan paketler .pcap
formatında saklanır ve analiz edilebilir.
3. IDS (Saldırı Tespit) Modu
Snort’un saldırı tespit sistemi olarak çalıştırılması için bir yapılandırma dosyasıyla birlikte başlatılması gerekir. Aşağıdaki komutla Snort’u IDS modunda çalıştırabilirsiniz:
sudo snort -c /etc/snort/snort.conf -i eth0
Bu komut, Snort’un snort.conf
yapılandırma dosyasını kullanarak eth0
arayüzündeki trafiği analiz etmesini sağlar ve kural tabanlı saldırı tespiti yapar.
-c /etc/snort/snort.conf
: Kullanılacak yapılandırma dosyasını belirtir.-i eth0
: Ağ arayüzünü belirtir.
Snort yapılandırma dosyası olan snort.conf
, hangi saldırı kurallarına göre trafiğin analiz edileceğini belirtir. Kendi kurallarınızı oluşturabilir veya varsayılan kuralları kullanabilirsiniz.
4. Özel Kural Yazma ve Kullanma
Snort, saldırıları tespit etmek için kural tabanlı çalışır. Kendi kuralınızı yazıp uygulayabilirsiniz. Kural yazarken genel format şu şekildedir:
action proto src_ip src_port -> dest_ip dest_port (options)
action
: Kuralın gerçekleştireceği eylem (alert, log, drop).proto
: Protokol (TCP, UDP, ICMP).src_ip
: Kaynak IP adresi.src_port
: Kaynak port.dest_ip
: Hedef IP adresi.dest_port
: Hedef port.
Örnek olarak, belirli bir port üzerinden gelen trafiği tespit eden basit bir kural şu şekildedir:
alert tcp any any -> 192.168.1.100 80 (msg:"HTTP traffic detected"; sid:1000001;)
Bu kural, 192.168.1.100
IP adresine port 80 üzerinden gelen TCP trafiğini algılar ve bir uyarı oluşturur.
Kendi kuralınızı /etc/snort/rules/local.rules
dosyasına ekleyebilirsiniz. Bu kuralı uygulamak için Snort’u aşağıdaki gibi başlatabilirsiniz:
sudo snort -c /etc/snort/snort.conf -i eth0
Bu komutla, Snort yapılandırma dosyasındaki kurallar dahil tüm saldırı tespit işlemleri çalıştırılacaktır.
5. Saldırı Engelleme (IPS) Modu
Snort’u sadece saldırı tespit sistemi (IDS) olarak değil, aynı zamanda bir saldırı engelleme sistemi (IPS) olarak da kullanabilirsiniz. Ancak IPS modunda Snort’u çalıştırmak için sisteminize inline yapılandırmasını eklemeniz gerekir. Bunun için nfqueue
modunu kullanarak Snort’u ağ trafiğine doğrudan müdahale eden bir modda çalıştırabilirsiniz.
sudo snort -Q --daq nfq --daq-var queue=0 -c /etc/snort/snort.conf
Bu komut, Snort’un IPS modunda çalışarak kurallar doğrultusunda ağ trafiğini durdurmasını veya yönlendirmesini sağlar.
-Q
: IPS modunu etkinleştirir.--daq nfq
: DAQ modundanfqueue
kullanarak çalışır.
Snort Kullanımına Dair İpuçları
- Kural yazımı: Snort’u en etkili şekilde kullanmak için kuralları iyi yazmalısınız. İyi tanımlanmış kurallar, ağınızdaki saldırıları ve tehditleri daha doğru şekilde tespit eder.
- Güncel kural setleri: Snort kurallarını düzenli olarak güncellemek önemlidir.
Emerging Threats
gibi açık kaynaklı kural setlerinden yararlanabilirsiniz. - Günlükleri analiz edin: Snort, büyük miktarda veri üretebilir. Günlükleri analiz etmek için Splunk veya Kibana gibi log analiz araçlarıyla entegre kullanabilirsiniz.
Snort’un Etik Kullanımı
Snort gibi ağ güvenliği araçları yalnızca izinli sistemlerde ve yasal sınırlar içinde kullanılmalıdır. Bir ağa izinsiz olarak saldırı tespit veya analiz aracıyla müdahale etmek **yasa
dışıdır** ve ciddi hukuki sonuçlar doğurabilir. Bu nedenle, Snort’u yalnızca kendi ağlarınızda veya test izni aldığınız sistemlerde kullanmalısınız.
Sonuç
Snort, ağ tabanlı saldırı tespiti ve önleme amacıyla kullanılan güçlü bir araçtır. Ağ trafiğini izleyerek ve belirlenen kurallar doğrultusunda saldırıları tespit ederek güvenlik olaylarını analiz etmenizi sağlar. Hem IDS hem de IPS modunda çalışabilen Snort, geniş çaplı saldırılara karşı etkili koruma sağlar. Ancak, bu aracın yalnızca yasal ve etik sınırlar içinde kullanılması gerektiğini unutmamalısınız.
İçerikler ChatGPT ile oluşturulmuş ve teyide muhtaç bilgilerdir.Sorun veya önerinizi iletişim sayfasından yazabilirsiniz.
Yorum Yap