Snort-д ямар портуудыг нээх вэ?

Сүүлийн шинэчлэлт: 2023/08/11
Зохиогч: Себастьян Видал

Компьютерийн аюулгүй байдлын ертөнцөд Snort нь сүлжээний халдлагыг илрүүлэх, урьдчилан сэргийлэхэд хамгийн их хэрэглэгддэг хэрэгслүүдийн нэг болж гарч ирсэн. Сүлжээний пакетуудыг шалгах чадвар бодит цаг хугацаанд мөн тэдэнтэй харьцуул мэдээллийн сан алдартай пүүсүүд нь үүнийг манай системийг хамгаалах үнэлж баршгүй холбоотон болгодог. Гэсэн хэдий ч Snort оновчтой ажиллахын тулд тохирох портуудыг нээх нь маш чухал юм. Энэ нийтлэлд бид Snort-д байх ёстой портуудыг судалж, бат бөх, үр дүнтэй хамгаалалтыг хангахын тулд тэдгээрийг хэрхэн зөв тохируулах талаар судлах болно.

1. Snort-ийн танилцуулга: Амжилттай тохируулахын тулд ямар портуудыг нээх вэ?

Snort-г тохируулахдаа хийх хамгийн эхний ажлуудын нэг бол тохиргоог амжилттай хийхийн тулд шаардлагатай портуудыг нээх явдал юм. Snort нь сүлжээнд суурилсан халдлага илрүүлэх систем бөгөөд болзошгүй аюул, халдлагыг илрүүлэх дүрмийг ашигладаг. Хамгийн оновчтой ажиллагааг хангахын тулд урсгалыг зөв портуудаар урсгах нь маш чухал юм.

Портуудыг нээхээс өмнө сүлжээ, тохиргоо бүр өвөрмөц байдаг тул нэг төрлийн шийдэл байхгүй гэдгийг анхаарах хэрэгтэй. гэх мэт хүчин зүйлээс тодорхой тохиргоо хамаарна үйлдлийн систем, сүлжээний орчин болон танай байгууллагын тусгай шаардлага. Гэсэн хэдий ч, Snort-ийг амжилттай тохируулахад шаардлагатай портуудыг нээх ерөнхий аргыг доор харуулав.

Нэгдүгээрт, Snort-ийн үндсэн үйл ажиллагаанд шаардлагатай портуудаар дамжин өнгөрөх хөдөлгөөнийг зөвшөөрөх нь чухал юм. Ерөнхийдөө TCP 80 (HTTP) болон TCP/UDP 443 (HTTPS) портуудыг нээхийг зөвлөж байна. Эдгээр портууд нь вэб урсгалд ашиглагддаг бөгөөд ихэнх сүлжээнд зайлшгүй шаардлагатай байдаг. Нэмж хэлэхэд, хэрэв таны Snort тохиргоонд хяналт орсон бол бусад үйлчилгээ эсвэл имэйл эсвэл FTP гэх мэт тусгай протоколуудыг ашиглахын тулд та эдгээр үйлчилгээнд тохирох портуудыг нээхээ мартуузай. Өртөх гадаргууг багасгахын тулд зөвхөн шаардлагатай портуудыг нээж, шаардлагагүй эсвэл ашиглагдаагүй портуудыг идэвхгүй болгохоо бүү мартаарай.

2. Snort гэж юу вэ, яагаад портуудыг ажиллуулах нь чухал вэ?

Snort нь нээлттэй эх сурвалжийн сүлжээний халдлагыг илрүүлэх, урьдчилан сэргийлэх систем (IDPS) бөгөөд таны сүлжээ, системд аюулгүй байдлын нэмэлт давхаргыг бий болгодог. Snort нь сүлжээний траффикийг хүлээн авч, дүн шинжилгээ хийх боломжтой болох тул түүний үйл ажиллагаанд шаардлагатай портуудыг нээх нь чухал юм. үр дүнтэйгээр.

Snort-д хоёр төрлийн мэдрэгч байдаг: шугаман болон садар самуун. Snort-ийг садар самуун горимд зөв ажиллуулахын тулд та Ethernet портуудыг садар самуун горимд тохируулсан байх ёстой бөгөөд энэ нь сүлжээгээр дамжиж буй бүх урсгалыг авч, дүн шинжилгээ хийх боломжийг олгоно.

Хэрэв та Snort мэдрэгчийг шугаман горимд ашиглаж байгаа бол галт хана эсвэл чиглүүлэгч дээрээ шаардлагатай портууд нээлттэй байгаа эсэхийг шалгах хэрэгтэй. Эдгээр портууд нь таны ашиглаж буй Snort-ийн тохиргоо болон хувилбараас хамаарч өөр өөр байдаг тул Snort-ын албан ёсны баримт бичигтэй танилцах эсвэл өөрийн хэргийн онцлогт тохирсон мэдээллийг хайх нь чухал юм.

Товчхондоо, Snort-ийн зөв ажиллахад шаардлагатай портуудыг нээх нь таны сүлжээнд халдлагыг илрүүлэх, урьдчилан сэргийлэхэд маш чухал юм. Садар самуун эсвэл шугаман горимд байгаа эсэхээс үл хамааран Ethernet портуудаа зөв тохируулж, галт хана эсвэл чиглүүлэгч дээрээ шаардлагатай портуудыг нээнэ үү. Энэ нь Snort-д таны сүлжээний траффикийг үр дүнтэй шинжлэх, хамгаалах, системээ аюулгүй, найдвартай байлгах боломжийг олгоно.

3. Хурхирах чухал портуудыг тодорхойлох: Техникийн шинжилгээ

Компьютерийн аюулгүй байдлын хүрээнд дүрэмд суурилсан халдлагыг илрүүлэх хүчирхэг хэрэгсэл болох Snort-ийн зөв ажиллах чухал портуудыг тодорхойлох нь чухал юм. Эдгээр портууд нь Snort-ийн сүлжээний урсгалыг хянах, сэжигтэй үйл ажиллагаанд дүн шинжилгээ хийхэд ашигладаг холбооны замууд юм. Энэхүү техникийн шинжилгээнд бид нарийвчилсан гарын авлага өгөх болно алхам алхмаар Snort-г амжилттай байршуулахад шаардлагатай портуудыг зөв тодорхойлж, тохируулах.

Юуны өмнө HTTP протоколын TCP-80, HTTPS протоколын TCP-443 гэх мэт өнөөгийн сүлжээний холболтод хамгийн их ашиглагддаг портуудыг таних нь чухал юм. Нэмж дурдахад бид DNS үйлчилгээнд UDP-53 порт, FTP протоколын хувьд TCP-21 портуудын ач холбогдлыг онцолж байна. Эдгээр портууд нь ашиглалтын давтамж өндөр учраас маш чухалд тооцогддог бөгөөд ихэвчлэн кибер халдлагын вектор болгон ашигладаг.

Snort дахь портын тохиргоог үр дүнтэй болгохын тулд функцийг ашиглахыг зөвлөж байна портвар, энэ нь бидний хянахыг хүссэн тодорхой портуудын хувьсагчдыг тодорхойлох боломжийг олгодог. гэх мэт мөрийг оруулснаар portvar HTTP_PORTS [,80,8080] Манай Snort тохиргооны файлд бид Snort нь 80 болон 8080 портуудыг сканнердах болно гэдгийг харуулж байна. Энэхүү өндөр тохируулгатай арга нь аль портыг скан хийх талаар илүү их хяналт тавьж, хуурамч дохиоллыг багасгадаг. Түүнчлэн, Snort нь тохиргооны файлыг ашигладаг гэдгийг анхаарах нь чухал юм snort.conf портуудыг тодорхойлох.

4. Snort-д зориулсан портын тохиргоо: Шилдэг туршлага, зөвлөмжүүд

Snort-ийн зөв портын тохиргоо нь түүний зөв ажиллах, аюулыг үр дүнтэй илрүүлэхэд чухал ач холбогдолтой интернет дээр. Энэ тохиргоог оновчтой гүйцэтгэх зарим шилдэг туршлага, зөвлөмжийг доор харуулав.

1. Тодорхой портуудыг ашиглах: Бүх портуудыг ашиглахын оронд замын хөдөлгөөний хяналтын тусгай портуудыг сонгохыг зөвлөж байна. Энэ нь дуу чимээг багасгаж, тухайн сүлжээний орчинд хамааралтай портууд дээр анхаарлаа төвлөрүүлэхэд тусалдаг. Та үүнийг Snort тохиргооны файлыг засварлаж, хүссэн портуудыг зааж өгөх замаар хийж болно.

Онцгой контент - Энд дарна уу  PS5 дээр хулганы төлөвийн гэрлийн функцийг хэрхэн ашиглах вэ

2. Өгөгдмөл портуудыг өөрчлөх: Анхдагч байдлаар, Snort нь хамгийн их ашиглагддаг TCP болон UDP портуудыг хянахаар тохируулагдсан байдаг. Гэсэн хэдий ч сүлжээ бүр өвөрмөц бөгөөд хяналт тавих шаардлагатай өөр өөр холбогдох портуудтай байж болно. Snort-ийн анхдагч портуудыг сүлжээний хэрэгцээнд тохируулан өөрчлөхийг зөвлөж байна. Энэ Үүнийг хийж болно дүрмийг тохируулах, тохирох командуудыг ашиглах замаар.

5. Snort-д зориулсан галт хананд тусгай портуудыг нээх алхамууд

Snort-д зориулсан галт хананд тодорхой портуудыг нээхийн тулд та хэд хэдэн үндсэн алхмуудыг хийх хэрэгтэй. Эдгээр алхмууд нь хүссэн портууд руу чиглэсэн урсгалыг Галт ханаар ямар ч хязгаарлалтгүйгээр нэвтрүүлэх боломжийг олгоно. Үүнд хүрэхийн тулд алхам алхмаар үйл явцыг доор харуулав.

  1. Нээхийг хүсэж буй портуудаа тодорхойл: Ямар нэгэн тохиргоог хийхээсээ өмнө ямар портуудаар урсгалыг зөвшөөрөхийг хүсч байгаагаа тодорхой болгох нь чухал юм. Энэ нь системийн тодорхой хэрэгцээ болон ажиллаж байгаа програмууд эсвэл үйлчилгээнүүдээс хамаарч өөр өөр байж болно.
  2. Галт ханын тохиргоонд хандах: Портуудыг нээхийн тулд системд ашигладаг Галт ханын тохиргоонд хандах шаардлагатай. Үүнийг ашигласан Галт ханын төрлөөс хамааран график интерфэйсээр эсвэл тушаалын мөрөнд командуудаар дамжуулан хийж болно.
  3. Орох болон гарах дүрэм үүсгэх: Галт ханын тохиргоонд нэвтэрсний дараа та хүссэн портууд дээр урсгалыг зөвшөөрөх тусгай дүрмийг бий болгох ёстой. Эдгээр дүрмүүд нь Галт хананд заасан портууд дээр ирж буй урсгалыг юу хийх, үүнийг зөвшөөрөх эсвэл хаах эсэхийг хэлэх болно.

Галт хананы тохиргоо нь үүнээс хамаарч өөр өөр байж болно гэдгийг санах нь чухал үйлдлийн систем ашигласан хамгаалалтын программ хангамж. Тиймээс тухайн орчинд портуудыг хэрхэн нээх талаар дэлгэрэнгүй мэдээлэл авахын тулд Галт ханын тусгай баримт бичигтэй танилцах эсвэл онлайн хичээлүүдийг хайж олохыг зөвлөж байна. Эдгээр алхмуудыг хийснээр та Snort Firewall-д тодорхой портуудыг нээж, шаардлагатай урсгалыг асуудалгүйгээр нэвтрүүлэх боломжтой болно.

6. Snort дахь өгөгдлийн хөдөлгөөнд зориулсан чухал портууд: Лавлах жагсаалт

Энэ хэсэгт бид Snort дахь өгөгдлийн урсгалд шаардлагатай портуудын лавлах жагсаалтыг танилцуулах болно. Эдгээр портууд нь Snort-ийн үр дүнтэй ажиллахад чухал ач холбогдолтой бөгөөд сүлжээний аюулгүй байдлыг хангахын тулд сайтар хянаж байх ёстой. Таны мэдэх ёстой гол портуудыг доор харуулав.

  • 80-р боомт- HTTP гэгддэг энэ нь вэб харилцаанд хэрэглэгддэг стандарт порт юм. Вэб траффикийг хянах, болзошгүй аюул заналхийлэл, сэжигтэй үйл ажиллагааг илрүүлэх нь чухал юм.
  • 443-р боомт: HTTPS гэж нэрлэдэг бөгөөд энэ нь интернетээр дамжуулан аюулгүй өгөгдөл дамжуулахад ашиглагддаг аюулгүй порт юм. Энэ портыг хянах нь нууц мэдээллийг саатуулах оролдлогыг илрүүлэхэд маш чухал юм.
  • 25-р боомт: SMTP (Simple Mail Transfer Protocol) гэгддэг энэ порт нь гадагш имэйл дамжуулахад хэрэглэгддэг порт юм. Боломжит спам халдлага эсвэл хортой имэйл илгээх оролдлогыг илрүүлэхийн тулд энэ портыг хянах нь чухал юм.

Эдгээр чухал портуудаас гадна бусад түгээмэл хэрэглэгддэг портуудыг хянах нь зүйтэй 22-р порт SSH (Secure Shell) болон 21-р порт FTP-д (Файл дамжуулах протокол). Эдгээр портууд нь харгис хүчний халдлагад өртөмтгий байдаг тул сайтар хянаж байх ёстой.

Энэ нь зөвхөн нэг гэдгийг санах нь чухал юм лавлах жагсаалт мөн таны сүлжээнд ашиглагдаж буй портууд нь ажиллаж байгаа тодорхой програмууд болон үйлчилгээнүүдээс хамаарч өөр өөр байж болно. Snort-ээр хянах шаардлагатай чухал портуудыг тодорхойлохын тулд сүлжээг сайтар скан хийхийг зөвлөж байна.

7. Snort портуудыг нээхэд тохиолддог нийтлэг асуудлуудын шийдэл

Snort портуудыг нээхэд тохиолддог нийтлэг асуудлуудыг шийдэхийн тулд үүссэн саад бэрхшээлийг шийдвэрлэхэд тустай хэд хэдэн хувилбарууд байдаг. Процессыг хөнгөвчлөх зарим шийдлүүдийг доор харуулав.

  • Галт ханын тохиргоог шалгана уу: Портуудыг нээхээс өмнө галт хана нь холболтыг хааж байгаа эсэхийг шалгах нь чухал юм. Галт ханын дүрмийг хянаж, нээхийг хүсч буй портууддаа ирж буй болон гарах урсгалыг хоёуланг нь зөвшөөрөхийг зөвлөж байна.
  • Чиглүүлэгчийг шалгана уу: Хэрэв чиглүүлэгчийг ашиглаж байгаа бол түүнийг зөв тохируулсан эсэхийг шалгах нь чухал юм. Зарим чиглүүлэгчид тодорхой портуудыг хаах эсвэл хязгаарлах боломжтой хамгаалалтын функцууд байдаг. Чиглүүлэгчийн тохиргоог шалгаж, шаардлагатай портуудаар дамжуулан урсгалыг зөвшөөрөх нь асуудлыг шийдэж чадна.
  • Порт скан хийх хэрэгслийг ашиглах: Хэрэв та порт нээлттэй эсвэл хаалттай эсэхийг тодорхойлоход бэрхшээлтэй байгаа бол Nmap гэх мэт порт сканнердах хэрэгслийг ашиглаж болно. Эдгээр хэрэгслүүд нь портуудын төлөв байдалд дүн шинжилгээ хийж, тэдгээр нь зөв нээлттэй байгаа эсэхийг шалгах боломжийг олгодог.

Эдгээр алхмуудыг хийснээр Snort портуудыг нээхэд тохиолддог нийтлэг асуудлуудыг шийдэж, зөв ​​тохиргоог хийх боломжтой болно. Гэсэн хэдий ч нөхцөл байдал бүр өвөрмөц бөгөөд тодорхой шийдэл шаарддаг гэдгийг санах нь зүйтэй.

8. Хурхирахад саад учруулж болох хүсээгүй портуудыг хэрхэн тодорхойлж, зайлсхийх вэ

Snort-д саад учруулж болох хүсээгүй портуудыг тодорхойлж, зайлсхийхийн тулд одоогийн системийн тохиргоонд нарийвчилсан дүн шинжилгээ хийх нь чухал юм. Доорх хэд хэдэн алхамыг дагаж мөрдөх шаардлагатай.

  • Зөв тохируулагдсан, шинэчлэгдсэн эсэхийг шалгахын тулд Snort дүрмээ хянаж эхэл. Энэ нь таны хянахыг хүсэж буй портууд дүрмэнд орсон эсэхийг шалгах бөгөөд таны сүлжээнд чухал портуудыг хааж болох дүрэм байхгүй эсэхийг шалгах явдал юм.
  • Өөрийн сүлжээн дэх нээлттэй болон хаалттай портуудыг тодорхойлохын тулд nmap гэх мэт хэрэгслүүдийг ашиглан портыг сайтар хайна уу. Нээлттэй байх ёсгүй бөгөөд таны системийн аюулгүй байдалд заналхийлж болзошгүй портуудад онцгой анхаарал хандуулаарай.
  • Хүсээгүй портуудыг хаахын тулд галт ханыг хэрэгжүүлэх талаар бодож үзээрэй. Та iptables эсвэл бусад ижил төстэй хэрэгслийг ашиглан нээхийг хүсэхгүй байгаа портууд руу нэвтрэхийг хориглодог галт ханын дүрмийг тохируулах боломжтой. Хэрхэн зөв тохируулах талаар нарийвчилсан зааврыг авахын тулд сонгосон хэрэгслийнхээ баримт бичигтэй танилцахаа мартуузай.
Онцгой контент - Энд дарна уу  The Sims-д ур чадвараа хэрхэн нэмэгдүүлэх вэ

Эдгээр арга хэмжээг хэрэгжүүлсний дараа Snort бүртгэлдээ сэжигтэй үйлдэл эсвэл хүсээгүй порт руу нэвтрэх оролдлого байгаа эсэхийг тогтмол хянаж байх нь чухал юм. Хэрэв та ашиглахыг хүсэхгүй байгаа портоо олж мэдсэн бол тэдгээрийг хаах, сүлжээгээ хамгаалах хүчин чармайлтаа хоёр дахин нэмэгдүүлэх хэрэгтэй.

9. Snort болон эмзэг портууд: Сүлжээний аюулгүй байдлыг хангах

Сүлжээний аюулгүй байдлын хамгийн чухал сорилтуудын нэг бол халдагчид ашиглаж болох эмзэг порт байхгүй байх явдал юм. Халдлага илрүүлэх, урьдчилан сэргийлэх хэрэгсэл болох Snort нь аюулгүй байдлыг хангах үр дүнтэй шийдэл байж болно манай сүлжээ. Манай эмзэг портуудыг хамгаалахын тулд Snort-ийг ашиглах алхам алхмаар үйл явцыг доор харуулав.

1. Снортыг суулгах: Бидний хийх ёстой хамгийн эхний зүйл бол Snort-г татаж аваад систем дээрээ суулгах явдал юм. Бид програм хангамжийг дотроос олж болно вэбсайт Манай үйлдлийн системийн дагуу суулгах зааврыг дагана уу.

2. Snort-г тохируулах: Snort суулгасны дараа бид анхны тохиргоог хийх хэрэгтэй. Үүнд халдлагыг илрүүлэх, урьдчилан сэргийлэх дүрмийг тодорхойлох шаардлагатай. Бид Snort-тай хамт ирдэг урьдчилан тодорхойлсон дүрмийг ашиглах эсвэл өөрсдийн хэрэгцээнд нийцүүлэн өөрчлөн тохируулах боломжтой. Тохиромжтой болгохын тулд Snort вэбсайт дээрх баримт бичиг, жишээ дүрмээс лавлахыг зөвлөж байна.

10. Snort-ийн үр ашгийг дээшлүүлэх портын дэвшилтэт тохиргоо

Нарийвчилсан портын тохиргоо нь Snort-ийн үр ашгийг дээшлүүлэхэд чухал бөгөөд хортой сүлжээний урсгалыг илүү нарийвчлалтай илрүүлэх боломжийг олгодог. Энэ нийтлэлд бид энэ тохиргоог хэрхэн хийх талаар алхам алхмаар харуулах болно.

Юуны өмнө Snort нь сүлжээн дэх сэжигтэй үйлдлүүдийг илрүүлэх, сэрэмжлүүлэхийн тулд дүрэм ашигладаг гэдгийг анхаарах нь чухал юм. Үр ашгийг дээшлүүлэх гол сонголт бол бүх урсгалыг шинжлэхийн оронд тусгай портуудыг тохируулах явдал юм. Үүнийг хийхийн тулд та Snort тохиргооны файл дахь "portvar" удирдамжийг ашиглаж болно. Жишээлбэл:

  • Портуудыг тохируулах: "portvar" зааврын дараагаар таслалаар тусгаарлагдсан портуудыг ашиглан хянахыг хүсч буй портуудаа тодорхойл. Жишээлбэл, portvar HTTP_PORTS [80, 8080]. Энэ нь Snort нь зөвхөн тэдгээр портууд дээрх урсгалыг сканнердаж, системийн нөөцийг хэмнэдэг.
  • Портын татгалзлыг ашиглах: Хэрэв та Snort скан хийхээс хасахыг хүссэн тодорхой портууд байгаа бол та үгүйсгэх синтаксийг ашиглаж болно. Жишээлбэл, !22 22-р портыг (SSH) шинжилгээнд оруулахгүй.

Портуудыг тохируулахаас гадна Snort-ийн үр ашгийг дээшлүүлэхийн тулд бусад нэмэлт оновчлолуудыг хийхийг зөвлөж байна. Үүнд:

  • Босгыг тохируулах: Хуурамч эерэг үр дагавраас зайлсхийх, ачааллыг багасгахын тулд босго хэмжээг тохируулна уу.
  • IP жагсаалт ашиглах: Шаардлагагүй дүн шинжилгээ хийхээс зайлсхийж, урсгалыг эх сурвалж эсвэл очих газраар нь шүүх IP хаягийн жагсаалтыг хэрэгжүүлээрэй.
  • Дүрмүүдийг шинэчлэх: Хамгийн сүүлийн үеийн аюулгүй байдлын аюулыг илрүүлэхийн тулд Snort дүрмийг шинэчлээрэй.

Эдгээр алхмуудыг дагаснаар та Snort-д портын дэвшилтэт тохиргоог хийж, хорлонтой урсгалыг илрүүлэх үр ашиг, нарийвчлалыг мэдэгдэхүйц сайжруулах боломжтой болно. Эдгээр өөрчлөлтийг хэрэгжүүлсний дараа өргөн хүрээтэй туршилт хийж, системийн гүйцэтгэлийг хянах нь үргэлж зүйтэй гэдгийг санаарай.

11. Snort дахь захиалгат портууд: Тэдгээрийг сонгох шалгуур нь юу вэ?

Snort дахь тусгай портууд нь сүлжээний администраторуудад аль портыг хянах, сэжигтэй үйлдлийг шалгахыг тусгайлан сонгох боломжийг олгодог. Эдгээр портуудыг сонгох шалгуур нь тухайн байгууллагын сүлжээний дэд бүтэц, түүнд учирч болзошгүй аюул заналхийллийн талаарх мэдлэг, ойлголтод тулгуурласан байх ёстой. Snort дахь тусгай портуудыг сонгохдоо анхаарах зарим зүйлийг доор харуулав.

1. Хууль ёсны траффик: HTTP, FTP, SSH гэх мэт нийтлэг үйлчилгээний стандарт портууд гэх мэт сүлжээн дэх хууль ёсны урсгалд ихэвчлэн ашиглагддаг портуудыг тодорхойлох нь чухал юм. Эдгээр портууд нь захиалгат портуудын жагсаалтад орсон байх ёстой бөгөөд ингэснээр Snort тухайн үйл ажиллагааг боломжит халдлага, хорлонтой үйлдэлд хянаж, дүн шинжилгээ хийх боломжтой болно.

2. Чухал портууд: Стандарт портуудаас гадна өөрийн дэд бүтцэд чухал ач холбогдолтой портуудыг захиалгат портуудын жагсаалтад оруулах талаар бодох хэрэгтэй. Эдгээр нь танай байгууллагад зайлшгүй шаардлагатай програмууд эсвэл үйлчилгээнүүдийн ашигладаг портууд байж болно. Эдгээр портуудыг сайтар хянаснаар та өөрийн сүлжээний аюулгүй байдлыг алдагдуулах аливаа сэжигтэй үйлдэл эсвэл оролдлогыг илрүүлэх боломжтой болно.

3. Аюултай байдлын тайланд үндэслэсэн: Snort дахь захиалгат портуудыг сонгох өөр нэг арга бол нийтлэг аюулын мэдээ, халдлагууд дээр тулгуурладаг. Жишээлбэл, хэрэв тухайн портод тодорхой аюул заналхийлж байгаа бол тусгай портуудын жагсаалтад орсон порт нь болзошгүй халдлагыг илрүүлж, урьдчилан сэргийлэхэд тусална. Аюулгүй байдлын хамгийн сүүлийн үеийн онлайн аюул заналхийлэл, чиг хандлагын талаар мэдээлэлтэй байх нь аль портыг сайтар хянаж байх ёстойг ойлгох боломжийг олгоно.

Snort нь тодорхой портууд дээрх урсгалыг хянах, дүн шинжилгээ хийх тусгай дүрмийг бий болгох боломжийг санал болгодог гэдгийг санаарай. Эдгээр дүрмийг тухайн байгууллагын хувийн хэрэгцээнд үндэслэн тохируулж болно. Snort дахь тусгай портуудыг сонгохдоо сүлжээн дэх аюулгүй байдлын болзошгүй асуудлуудыг үр дүнтэй илрүүлэхийн тулд хууль ёсны траффик, чухал портууд болон аюулын мэдээг анхаарч үзэх нь чухал юм.

Онцгой контент - Энд дарна уу  Утсан дээрээ Google-ийг хэрхэн дахин тохируулах вэ.

12. Snort дахь портын нээлтийг шалгах: Хэрэгсэл ба аргууд

Snort дахь портуудыг нээсэн эсэхийг шалгах нь сүлжээний аюулгүй байдлыг хангах үндсэн ажил юм. Энэхүү баталгаажуулалтыг үр дүнтэй хийх боломжийг бидэнд олгодог янз бүрийн арга хэрэгсэл, аргууд байдаг. Доор бид энэ үйл явцад маш хэрэгтэй хэд хэдэн үндсэн алхам, хэрэгслийг танилцуулах болно.

Эхлэхийн тулд систем дээрх нээлттэй портуудыг тодорхойлохын тулд Nmap гэх мэт порт сканнердах хэрэгслийг ашиглахыг зөвлөж байна. Nmap бол нээлттэй эхийн хэрэгсэл юм ашиглагдаж байгаа сүлжээг сканнердах, компьютерийн системийн аюулгүй байдалд аудит хийх. Та үүнийг дараах тушаалаар ажиллуулж болно. nmap -p 1-65535 [dirección IP]. Энэ тушаал нь заасан муж дахь бүх портуудыг сканнердаж, аль нь нээлттэй байгааг харуулах болно.

Порт нээгдсэн эсэхийг шалгах өөр нэг арга бол "snort -T" функцийг ашиглан Snort-д синтакс шалгах болон дүрмийн тохиргоог хийх явдал юм. Энэ функц нь дүрмийг зөв тодорхойлж, тодорхой портууд нээлттэй байгаа эсэхийг шалгах боломжийг олгодог. Хэрэв алдаа илэрсэн бол Snort нь асуудал хаана байгаа талаар дэлгэрэнгүй мэдээлэл өгөх бөгөөд үүнийг шийдвэрлэхэд хялбар болгоно.

13. Snort портуудыг нээх үед аюулгүй байдлын талаар анхаарах зүйлс

Snort портуудыг нээхдээ зөв тохиргоог хийж, болзошгүй эмзэг байдлаас зайлсхийхийн тулд аюулгүй байдлын зарим зүйлийг анхаарч үзэх нь чухал юм. Энд анхаарах зарим гол зүйл байна:

1. Нээх портуудыг болгоомжтой сонгоно уу: Аливаа портыг нээхээс өмнө ямар үйлчилгээ, програм ашиглах, ямар портууд нээлттэй байх ёстойг сайтар үнэлэх хэрэгтэй. Гадны халдлагын эрсдэлийг багасгахын тулд зөвхөн шаардлагатай портуудыг нээж, бусад бүх портуудыг хаахыг зөвлөж байна.

2. Галт ханыг хэрэгжүүлэх: Портуудыг нээх үед аюулгүй байдлыг бэхжүүлэхийн тулд галт хана ашиглахыг зөвлөж байна. Галт хана нь дотоод сүлжээ болон гадаад траффикийн хооронд саад болж, аль портууд нээлттэй байгааг хянаж, зөвшөөрөлгүй хандалтыг хязгаарладаг. Snort урсгалыг зөвшөөрөх, хүсээгүй урсгалыг хаахын тулд тусгай дүрмийг тохируулах ёстой.

3. Snort-г тогтмол шинэчлэх: Snort-ийг хамгийн сүүлийн үеийн аюулгүй байдлын шинэчлэлтүүдээр байнга шинэчилж байх нь таны системийг хамгаалахад маш чухал юм. Шинэчлэлтүүд нь ихэвчлэн мэдэгдэж буй сул талуудыг засч, аюулгүй байдлын шинэ функцуудыг нэмдэг. Аюулгүй байдлын асуудлаас урьдчилан сэргийлэхийн тулд та хамгийн сүүлийн үеийн хувилбаруудыг шинэчилж, шинэчлэлтүүдийг цаг тухайд нь хийж байгаарай.

14. Snort-д зориулсан өөр портын тохиргоог туршиж үзэх нь: Кейс судалгаа

“Snort-д зориулсан өөр портын тохиргоотой туршилт хийх” жишээн дээр нээлттэй эх сурвалжийн сүлжээний халдлагыг илрүүлэх програм хангамж болох Snort-ийн гүйцэтгэлийг оновчтой болгохын тулд хэд хэдэн боломжит тохиргоог үзүүлэв. Доорх нь алхам алхмаар үйл явц юм асуудлыг шийдвэрлэх Snort дахь портын тохиргоотой холбоотой.

Нэгдүгээрт, Snort нь сүлжээнд нэвтэрч болзошгүй халдлагуудыг илрүүлэх дүрмийг ашигладаг гэдгийг ойлгох нь чухал юм. Эдгээр дүрмүүд нь заасан портууд дээр хүлээн авсан сүлжээний пакетуудад хамаарна. Snort-ийн өөр портын тохиргоог туршиж үзэхийн тулд та дараах алхмуудыг дагана уу.

  • Та анхаарлаа төвлөрүүлэхийг хүсч буй тодорхой портуудыг тодорхойл. Та авч болно бүрэн жагсаалт Snort тохиргооны файлд байгаа портуудын.
  • Nmap гэх мэт хэрэгслийг ашиглан сүлжээг сканнердаж, аль портууд нь нээлттэй, ашиглагдаж байгааг олж мэдээрэй. Энэ нь таны хэрэгцээнд хамгийн их хамааралтай портуудыг тодорхойлоход тусална.
  • Анхаарал хандуулахыг хүсч буй портуудаа зааж өгөхийн тулд Snort тохиргооны файлыг өөрчил. Та "portvar" эсвэл "portvar_list" гэх мэт удирдамжийг ашиглан тодорхой портын муж эсвэл портын жагсаалтыг тодорхойлж болно.
  • Тохиргооны өөрчлөлт хүчин төгөлдөр болохын тулд Snort-г дахин эхлүүлнэ үү.

Та өөр портын тохиргоог туршиж үзсэнийхээ дараа Snort-ийн гүйцэтгэлийг үнэлэхийн тулд өргөн хүрээтэй туршилт хийх нь чухал юм. Та Wireshark гэх мэт хэрэгслийг ашиглан сүлжээний траффикийг авч, дүн шинжилгээ хийж, Snort тохируулсан портууд дээрх халдлагыг зөв илрүүлж байгаа эсэхийг шалгах боломжтой. Шаардлагатай бол тохиргоог тохируулж, өөрийн тусгай орчинд Snort-ийн гүйцэтгэлийг илүү оновчтой болгохын тулд нэмэлт туршилт хийхээ мартуузай.

Эцэст нь хэлэхэд, Snort-д нээх портуудыг сонгох нь энэхүү халдлагыг илрүүлэх системийн үр нөлөөг баталгаажуулах чухал тал юм. Тохиромжтой портуудыг тодорхойлох, сонгох үйл явц нь сүлжээний траффик болон орчин бүрийн аюулгүй байдлын тусгай хэрэгцээг сайтар шинжлэхийг шаарддаг. Бүх портыг нээх шаардлагагүй бөгөөд хэт олон портыг шаардлагагүйгээр нээх нь сүлжээг илүү эрсдэлд оруулж болзошгүйг анхаарах нь чухал юм.

Аюулгүй байдлын мэргэжилтнүүдийн санал болгосон удирдамжийг дагаж мөрдөхөөс гадна тухайн тохиолдол бүрт хэрэглэгдэж буй дэд бүтэц, үйлчилгээний онцлогийг анхаарч үзэхийг зөвлөж байна. Нэмж дурдахад, аливаа сэжигтэй үйлдэл эсвэл хортой үйлдлийг илрүүлэхийн тулд Snort-ийн үүсгэсэн бүртгэл, сэрэмжлүүлгийг байнга хянаж байх нь чухал юм.

Сүлжээний администраторууд Snort-ийн үндсэн зарчмуудыг мэдэж, аль портыг ухаалгаар нээхээ хэрхэн сонгохоо ойлгосноор системээ хамгаалж, системийн бүрэн бүтэн байдлыг хамгаалахад илүү бэлтгэлтэй байх болно. таны өгөгдөл. Сүлжээний аюулгүй байдал нь байнгын анхаарал, байнга гарч ирж буй шинэ аюулд дасан зохицохыг шаарддаг тасралтгүй, динамик үйл явц гэдгийг мартаж болохгүй. Snort болон нээлттэй портуудыг зөв сонгосноор аюулгүй байдлыг эрс нэмэгдүүлж, системийг хүсээгүй халдлагаас хамгаалах боломжтой.