Yazılar

Centos 7 iptables firewalld

Centos 7 yeni kurulumlarda  iptables servisi yerine firewalld adında bir başka firewall sistemiyle beraber geliyor.Eğer eski sisteme geri dönmek veya güvenlik duvarını tamamiyle kapatmak isterseniz aşağıdaki komutları uygulayınız.

firewalld servisini durdurmak için

systemctl stop firewalld

firewalld servisini pasif yapmak için (açılışta çalışmayacak)

systemctl disable firewalld

önceki versiyonlardaki sisteme dönmek için se  iptables servisini kurmalısınız.

yum -y install iptables-services

Sunucu Yönetimi

Sunucu Teknik Destek ve Yönetim Hizmetleri

Sunucu yönetimi, genel olarak internette ortamında yayın yapan sunucuların sürekli kontrol altında tutulması ,izlenmesi (monitoring) ve bellirlenmiş IT politikaları çerçevesinde oluşturulan görevlerin yerine getirilmesi anlamına gelir.Sunucu Yedekleme sistemleri ve sunucu optimizasyonu da bu görevlerin içerisinde yer alır.
Ağırlıklı olarak web servislerinin çalışmakta olduğu hosting sunucularının kurulumu,yönetimi yanısıra web tabanlı özel uygulamalar,kurumlara yönelik üretim planlama (ERP),muhasebe,veritabanı,müşteri yönetimi (CRM) gibi bazı özel yazılımların sunucu yönetimini yapmaktayız.

Server yönetim servisimiz, Lisans Kiralama ,Microsoft Windows veya Linux başta olmak üzere pek çok farklı platformu modern bulut altyapısında sağlamakta olduğumuz sunucu servislerimizlerimizi tamamlayıcı niteliktedir.

Kendi bünyesinde bilişim personeli bulundurmak istemeyen firmalar,bilgi yönetim sistemlerini ve kritik derecede önem taşıyan kurum içi uygulamaların yönetilmesini isteyen kurumlar, e-ticaret firmaları,web tasarım ve reklam ajansları,hosting satışı yapan firmalar sunucu yönetim servislerimizden faydalanabilirler.

Danışmanlık verdiğimiz servislerin tamamı faturalı ve sözleşmelidir.Sunucu yönetim ve profesyonel destek servislerimizin detaylarını aşağıda inceleyebilirsiniz..

Sunucu Güvenliği

Bilişim Güvenlik Politikaları

Amacı veya sektörü ne olursa olsun bilgi sistemi kullanan herkesin uygulanabilir güvenlik politikalarına ihtiyacı vardır.İşinize ugun güvenlik politikalarını beraber belirleyip uygulamaya geçiriyoruz.

Zaafiyet Denetimi ve Yazılım Açıkları

Zincir,en zayıf halkası kadar sağlamdır.Web uygulamarınızın açıklarını tespit etmek ve zaafiyetleri konularında danışmanlık veriyoruz.

IPS,IDS,Firewall Servisleri

Saldırı tespiti (IDS)ve saldırı engelleme sistemleri (IPS) güvenlik duvarı (firewall)ve uygulama güvenliği (Application Firewall konularında ihityacınıza yönelik profesyonel destek vermekteyiz

AntiSpam ve Antivirus Servisleri

Antispam ve Antivirus filtreleme servislerimiz e-mail sunucunuz nerede olursa olsun sizi koruyabilir.

Web Sunucuları

Sunucu Kurulumu

Tercih ettiğiniz Linux veya Unix tabanlı sunucu kurulumunu gerçekleştirip, hosting hizmetine hazır hale getiriyoruz.

Yük Dengeleme

Yoğun çalışan internet hizmetleri için birçok sunucuyu aynı servisi verecek şekilde konumlandırıyoruz.

Hata Toleransı

Sunacağınız hizmetin kesintisiz çalışması için failover planı hazırlayarak en yeni yazılım ve donanımlarla hata payını en aza indirgeyebiliyoruz.Yüksek Erişilebilirlik

Bulut,CDN,HA,Sanallaştırma ve donanım durumu yüksek erişilebilirliğin birer parçası.Hangi noktada erişilebilirliği yükseltmeniz gerektiğini analiz ederek sizi yönlendiriyoruz.

Email Sunucuları Yönetimi

Eposta Sunucuları

Sisteminizi sadece eposta alıp göndermesi sizin için yeterli midir?Günümüzde bu haliyle basit bir iletişim yöntemi gibi görünebilir,ancak doğru yönetilmediği durumlarda para kaybı ve iş sürekliliğinin engellenmesi manasına gelir.

Doğru Yapılandırma

E-Posta sistemleri diğer sistemlere göre daha karmaşıktır.Çok bilinmeyenli bir denkleme benzetilebilir.Denklemdeki her bilinmeyen bize hatadan ziyade bir sebebi de gösterebilir.Neden olanı ortadan kaldırsanız dahi o e-postayı alamadığınızda bazen iş işten geçmiş olabilir.

Yeni Nesil E-Posta Sunucuları

Sadece mesaj alıp göndermek size yetersiz geliyor olabilir.Günümüzde entegrasyonu güçlü,çok çeşitli ve daha fazla ihtiyaca cevap veren eposta sistemleri var.Exchange ve exchange uyumlu sunucular sadece e-posta alıp göndermekten öte,veri güvenliğini,bütünlüğünü, esnekliği ve ortak bir iş platformu sunuyor

Kesintisiz Çalışma

Kurulumunu ve çalışmasını sağladığımız uygulamalar ile eposta iletişiminizi,çok sunuculu,erişilebilirliği yüksek ve yük dengeleme özelliği olan sistemlere taşıyoruz.Böylece donanım/sunucu arızaları veya network problemleri artık size engel değil.

Desteklediğimiz Yazılım ve Teknolojiler

Streaming Video Sunucularından network uygulamalarına,Database Sunucularından Masaüstü Uygulamalara ve bunların bulut/sanallaştırma ortamında projelendirmesi konusunda destek verdiğimiz marka ve teknolojiler..

debian sarge 3.1 Bridge+Snort Inline+Clamav kurulumu için epey kirli bir döküman

Açıklama

Bu belgede debian linux üzerine snort_inline kurulumunu anlatmaya çalıştım.Snort_inline’in kurulum sonrası özelleştirmeleri sizlere ait.Benim o kadar vaktim olmadı.Ancak belgede anlatılan şekilde kurulum mezzanine’de gerçekleştirildi ve tek istemcili ( o istemci ben oluyorum:) ) networkte 3 hafta kadar testi edildi.Test yorumlarını belgenin sonunda bulabilirsiniz.
Snort_inline için bulabileceğiniz pek az belgede ilk göze çarpan özellik bridge modda çalışması.Kanımca bu çok iyi bir özellik.Bridge,nat moda göre daha esnek ve güvenli.Ayrıca daha az uğraştırıyor:)
Bu yüzden linux üzerinde bridge mod deneyimi olmayanlar için kısa bir bölüm hazırladım.
Gelelim snort_inline’ın ne olduğuna.Snort_inline, snort’un işlevi bakımından değiştirilmiş hali.Snort sadece bir saldırı tespit aracıyken,snort_inline karşımıza bir saldırı koruma aracı olarak çıkıyor.Koruma snortta olduğu gibi yine kural tabanlı.Snort ağda geçen paketleri kokladıktan sonra kurallara göre sizi uyarırken,snort_inline yine bu kurallara göre iptables kuralından gelen paketleri öldürüyor veya reddediyor.Bu durumda snort_inline kurmayı düşündüğünüz sistemin çekirdeğinde iptables/netfilter için ip_queue desteği olması
gerekiyor.Bunu biraz açıklamak lazım.Şöyleki,iptables, queue desteği ile paketi kullanıcı alanını için kuyruğa sokar.Kullanıcı alanında paketi bekleyen bir uygulama varsa işlenir,yoksa paket drop edilir.Tahmin edebileceğiniz gibi o uygulama da snort_inline’dır.
Bu açıklamalardan sonra kuruluma başlayalım.

Bridge Mode için hazırlıklar

apt-get install bridge-utils modconf ebtables //bridge mod için gerekli paketleri kuruyoruz.

ifconfig eth0 0.0.0.0 promisc up // ethernet arayüzlerine ait ip leri değiştiriyoruz.
ifconfig eth1 0.0.0.0 promisc up

brctl addbr br0 // brctl ile br0 adında yeni bir bridge arayüzü oluşturuyoruz.
brctl addif br0 eth0 // ilk ethernet bridge ekleniyor.
brctl addif br0 eth1 // ve ikincisi de.

Bu işlemlerden sonra ifconfig komutu verdiğinizde iki fiziksel ethernet arayüzünün dışında bir de bridge arayüz görüyor olmalısınız.Opsiyonel olarak bu arayüze bir ip ve gateway verebilirsiniz.Hemen bir örnekle açıklayalım.

ifconfig br0 192.168.160.100 netmask 255.255.255.0 up
route add default gw 192.168.160.1 dev br0 // linuxun kendisi böylece nete çıkabilir.

Ip verirken iç networkunuze uygun bir ip vermelisiniz.Eğer bu arayüze bir ip vermesseniz makinanın kendisi nete bağlanamayacaktır.Ama lokasyon olarak arkasında bulunan makinaların nete çıkmasına engel olmayacaktır.

Snort_inline kurulumu

Kurulumda sorun yaşamamak için debian depolarından kurulması gereken paketler
libpcap0.8
libpcap0.8-dev
libpcre3
libpcre3-dev
snort-rules-default
iptables-dev
libclamav1 ve libclamav-dev // snort_inline’a clamav desteği için gerekli.Eğer bu özelliği istemiyorsanız,kurmayabilirsiniz.

Yukarıda adı geçen paketleri şu şekilde kurabilirsiniz.

apt-get install libpcap0.8 libpcap0.8-dev libpcre3 libpcre3-dev iptables-dev libclamav1 libclamav-dev snort-rules-default

libdnet kurulumu

not : libdnet ve libdnet-dev paketleri debian depolarında var.ancak bunları kurduktan sonra bir türlü snort_inline a gösteremedim.siz sorunun sebebini bulabilirseniz lütfen bilgilendirin.uğraşamam diyorsanız,kaynaktan kurulum size sorun çıkarmayacaktır.

wget http://belnet.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz
tar zxvf libdnet-1.11.tar.gz
./configure && make
make install

Yukarıdaki gibi libdneti kurduktan sonra snort_inline’ı kurmaya başlıyoruz.Debian depolarında aramayın.Unstable/Sid kategorisinde bile bulamassınız.

http://snort-inline.sourceforge.net/download.html
adresinden paketi indirdikten sonra paketi aşağıdaki gibi sisteminize kurun.
tar zxvf snort_inline-2.4.5a.tar.gz
./configure –enable-inline –enable-clamav

–enable-clamav parametresi snort_inline’ı clam antivirüs ile beraber çalıştırmak için gereklidir.Sisteminize ek bir yük istemiyorsanız kurmayın.Ancak şirket içi networkler için oldukça faydalıdır.

make
make install
Yukarıdaki aşamaları sorunsuz geçtiyseniz artık kurulum sonrası ayarlara geçebiliriz.

Kurulum başarıyla gerçekleştikten sonra make install komutu snort_inline’ı /usr/local/bin altına atacaktır.
Kurulum dizininin altındaki etc dizinindeki dosyaları alıp uygun bir yere yerleştirin.Örneğin /usr/local/etc/snort_inline
altına atabilirsiniz.

Sıra snort_inline için en önemli kısma geldi.Kurallar…
Eğer debian depolarından snort-rules-default paketini indirdiyseniz,bu dosyalar sisteminizde /etc/snort/rules
altında bulunuyor olmalı.Bir kural örneğine göz atalım.

alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:”POP3 DELE negative argument attempt”; flow:to_server,established; content:”DELE”; nocase; pcre:”/^DELE\s+-\d/smi”; reference:bugtraq,6053; reference:bugtraq,7445; reference:cve,20022-1539; classtype:misc-attack; sid:2121; rev:9;)

Dikkatinizi çekmek istediğim nokta kuralın “alert” ile başlıyor olması.Bu da snort’un saldırı tespit sistemi olmasından kaynaklanıyor.
Kuralın snort_inline ile birlikte etkili olması için üç kural tipi kullanabiliriz.

drop: paket iptables aracılığıyla bloklanır.snort olayı loglar.
reject: paket yine iptables tarafından bloklanır.snort olayı loglar ve eğer protokol tcp ise tcp reset,protokol
udp ise karşıya “icmp port unreachable” gönderilir.

sdrop: paket iptables tarafından bloklanır.hiçbirşey loglanmaz.

Ben drop kullanmayı tercih ettim ama siz nasıl değiştireceğinize karar verin ve
aşağıdaki script ile bütün kuralları değiştirin

#!/bin/bash
for file in $(ls -1 *.rules)
do
sed -e ‘s:^alert:drop:g’ ${file} > ${file}.new
mv ${file}.new ${file} -f
done

Kuralları değiştirdikten sonra sistemin doğru çalışması için yapmanız gereken bir nokta daha var.
snort_inline.conf dosyanızı açın.İlk tanımlamalar arasında HOME_NET değişkenini kendi sisteminize göre
değiştirin.Bu sizin güvenilir ağınız olmalıdır.

Örneğin;

var HOME_NET 192.168.160.0/24

gibi.

Ayrıca güvenilmeyen ağ tanımlamanız gerekiyor.Ben şöyle yaptım

var EXTERNAL_NET !$HOME_NET

Kurallarınızın bulunduğu dizine göre RULE_PATH değişkenini düzenledikten sonra dosyayı kaydedip çıkın.

Son olarak snort_inline’ı daemon modunda çalıştırmadan önce iptables’a forward edilen bütün paketleri
kuyruğa sokmasını söylüyoruz

iptables -I FORWARD -j QUEUE

ve sonunda….

/usr/local/bin/snort_inline -Q -D -c /usr/local/etc/snort_inline/snort_inline.conf -l /var/log/snort

Not:Iptables stratejiniz tamamiyle size kalmış bişey.Hangi paketleri yönüne göre nasıl snort_inline’a yönlendirmek
isterseniz,iptables kuralını da ona göre belirlemelisiniz.

Sayfalar

Centos 7 iptables firewalld

Centos 7 yeni kurulumlarda  iptables servisi yerine firewalld adında bir başka firewall sistemiyle beraber geliyor.Eğer eski sisteme geri dönmek veya güvenlik duvarını tamamiyle kapatmak isterseniz aşağıdaki komutları uygulayınız.

firewalld servisini durdurmak için

systemctl stop firewalld

firewalld servisini pasif yapmak için (açılışta çalışmayacak)

systemctl disable firewalld

önceki versiyonlardaki sisteme dönmek için se  iptables servisini kurmalısınız.

yum -y install iptables-services

Sunucu Teknik Destek ve Yönetim Hizmetleri

Sunucu yönetimi, genel olarak internette ortamında yayın yapan sunucuların sürekli kontrol altında tutulması ,izlenmesi (monitoring) ve bellirlenmiş IT politikaları çerçevesinde oluşturulan görevlerin yerine getirilmesi anlamına gelir.Sunucu Yedekleme sistemleri ve sunucu optimizasyonu da bu görevlerin içerisinde yer alır.
Ağırlıklı olarak web servislerinin çalışmakta olduğu hosting sunucularının kurulumu,yönetimi yanısıra web tabanlı özel uygulamalar,kurumlara yönelik üretim planlama (ERP),muhasebe,veritabanı,müşteri yönetimi (CRM) gibi bazı özel yazılımların sunucu yönetimini yapmaktayız.

Server yönetim servisimiz, Lisans Kiralama ,Microsoft Windows veya Linux başta olmak üzere pek çok farklı platformu modern bulut altyapısında sağlamakta olduğumuz sunucu servislerimizlerimizi tamamlayıcı niteliktedir.

Kendi bünyesinde bilişim personeli bulundurmak istemeyen firmalar,bilgi yönetim sistemlerini ve kritik derecede önem taşıyan kurum içi uygulamaların yönetilmesini isteyen kurumlar, e-ticaret firmaları,web tasarım ve reklam ajansları,hosting satışı yapan firmalar sunucu yönetim servislerimizden faydalanabilirler.

Danışmanlık verdiğimiz servislerin tamamı faturalı ve sözleşmelidir.Sunucu yönetim ve profesyonel destek servislerimizin detaylarını aşağıda inceleyebilirsiniz..

Sunucu Güvenliği

Bilişim Güvenlik Politikaları

Amacı veya sektörü ne olursa olsun bilgi sistemi kullanan herkesin uygulanabilir güvenlik politikalarına ihtiyacı vardır.İşinize ugun güvenlik politikalarını beraber belirleyip uygulamaya geçiriyoruz.

Zaafiyet Denetimi ve Yazılım Açıkları

Zincir,en zayıf halkası kadar sağlamdır.Web uygulamarınızın açıklarını tespit etmek ve zaafiyetleri konularında danışmanlık veriyoruz.

IPS,IDS,Firewall Servisleri

Saldırı tespiti (IDS)ve saldırı engelleme sistemleri (IPS) güvenlik duvarı (firewall)ve uygulama güvenliği (Application Firewall konularında ihityacınıza yönelik profesyonel destek vermekteyiz

AntiSpam ve Antivirus Servisleri

Antispam ve Antivirus filtreleme servislerimiz e-mail sunucunuz nerede olursa olsun sizi koruyabilir.

Web Sunucuları

Sunucu Kurulumu

Tercih ettiğiniz Linux veya Unix tabanlı sunucu kurulumunu gerçekleştirip, hosting hizmetine hazır hale getiriyoruz.

Yük Dengeleme

Yoğun çalışan internet hizmetleri için birçok sunucuyu aynı servisi verecek şekilde konumlandırıyoruz.

Hata Toleransı

Sunacağınız hizmetin kesintisiz çalışması için failover planı hazırlayarak en yeni yazılım ve donanımlarla hata payını en aza indirgeyebiliyoruz.Yüksek Erişilebilirlik

Bulut,CDN,HA,Sanallaştırma ve donanım durumu yüksek erişilebilirliğin birer parçası.Hangi noktada erişilebilirliği yükseltmeniz gerektiğini analiz ederek sizi yönlendiriyoruz.

Email Sunucuları Yönetimi

Eposta Sunucuları

Sisteminizi sadece eposta alıp göndermesi sizin için yeterli midir?Günümüzde bu haliyle basit bir iletişim yöntemi gibi görünebilir,ancak doğru yönetilmediği durumlarda para kaybı ve iş sürekliliğinin engellenmesi manasına gelir.

Doğru Yapılandırma

E-Posta sistemleri diğer sistemlere göre daha karmaşıktır.Çok bilinmeyenli bir denkleme benzetilebilir.Denklemdeki her bilinmeyen bize hatadan ziyade bir sebebi de gösterebilir.Neden olanı ortadan kaldırsanız dahi o e-postayı alamadığınızda bazen iş işten geçmiş olabilir.

Yeni Nesil E-Posta Sunucuları

Sadece mesaj alıp göndermek size yetersiz geliyor olabilir.Günümüzde entegrasyonu güçlü,çok çeşitli ve daha fazla ihtiyaca cevap veren eposta sistemleri var.Exchange ve exchange uyumlu sunucular sadece e-posta alıp göndermekten öte,veri güvenliğini,bütünlüğünü, esnekliği ve ortak bir iş platformu sunuyor

Kesintisiz Çalışma

Kurulumunu ve çalışmasını sağladığımız uygulamalar ile eposta iletişiminizi,çok sunuculu,erişilebilirliği yüksek ve yük dengeleme özelliği olan sistemlere taşıyoruz.Böylece donanım/sunucu arızaları veya network problemleri artık size engel değil.

Desteklediğimiz Yazılım ve Teknolojiler

Streaming Video Sunucularından network uygulamalarına,Database Sunucularından Masaüstü Uygulamalara ve bunların bulut/sanallaştırma ortamında projelendirmesi konusunda destek verdiğimiz marka ve teknolojiler..

debian sarge 3.1 Bridge+Snort Inline+Clamav kurulumu için epey kirli bir döküman

Açıklama

Bu belgede debian linux üzerine snort_inline kurulumunu anlatmaya çalıştım.Snort_inline’in kurulum sonrası özelleştirmeleri sizlere ait.Benim o kadar vaktim olmadı.Ancak belgede anlatılan şekilde kurulum mezzanine’de gerçekleştirildi ve tek istemcili ( o istemci ben oluyorum:) ) networkte 3 hafta kadar testi edildi.Test yorumlarını belgenin sonunda bulabilirsiniz.
Snort_inline için bulabileceğiniz pek az belgede ilk göze çarpan özellik bridge modda çalışması.Kanımca bu çok iyi bir özellik.Bridge,nat moda göre daha esnek ve güvenli.Ayrıca daha az uğraştırıyor:)
Bu yüzden linux üzerinde bridge mod deneyimi olmayanlar için kısa bir bölüm hazırladım.
Gelelim snort_inline’ın ne olduğuna.Snort_inline, snort’un işlevi bakımından değiştirilmiş hali.Snort sadece bir saldırı tespit aracıyken,snort_inline karşımıza bir saldırı koruma aracı olarak çıkıyor.Koruma snortta olduğu gibi yine kural tabanlı.Snort ağda geçen paketleri kokladıktan sonra kurallara göre sizi uyarırken,snort_inline yine bu kurallara göre iptables kuralından gelen paketleri öldürüyor veya reddediyor.Bu durumda snort_inline kurmayı düşündüğünüz sistemin çekirdeğinde iptables/netfilter için ip_queue desteği olması
gerekiyor.Bunu biraz açıklamak lazım.Şöyleki,iptables, queue desteği ile paketi kullanıcı alanını için kuyruğa sokar.Kullanıcı alanında paketi bekleyen bir uygulama varsa işlenir,yoksa paket drop edilir.Tahmin edebileceğiniz gibi o uygulama da snort_inline’dır.
Bu açıklamalardan sonra kuruluma başlayalım.

Bridge Mode için hazırlıklar

apt-get install bridge-utils modconf ebtables //bridge mod için gerekli paketleri kuruyoruz.

ifconfig eth0 0.0.0.0 promisc up // ethernet arayüzlerine ait ip leri değiştiriyoruz.
ifconfig eth1 0.0.0.0 promisc up

brctl addbr br0 // brctl ile br0 adında yeni bir bridge arayüzü oluşturuyoruz.
brctl addif br0 eth0 // ilk ethernet bridge ekleniyor.
brctl addif br0 eth1 // ve ikincisi de.

Bu işlemlerden sonra ifconfig komutu verdiğinizde iki fiziksel ethernet arayüzünün dışında bir de bridge arayüz görüyor olmalısınız.Opsiyonel olarak bu arayüze bir ip ve gateway verebilirsiniz.Hemen bir örnekle açıklayalım.

ifconfig br0 192.168.160.100 netmask 255.255.255.0 up
route add default gw 192.168.160.1 dev br0 // linuxun kendisi böylece nete çıkabilir.

Ip verirken iç networkunuze uygun bir ip vermelisiniz.Eğer bu arayüze bir ip vermesseniz makinanın kendisi nete bağlanamayacaktır.Ama lokasyon olarak arkasında bulunan makinaların nete çıkmasına engel olmayacaktır.

Snort_inline kurulumu

Kurulumda sorun yaşamamak için debian depolarından kurulması gereken paketler
libpcap0.8
libpcap0.8-dev
libpcre3
libpcre3-dev
snort-rules-default
iptables-dev
libclamav1 ve libclamav-dev // snort_inline’a clamav desteği için gerekli.Eğer bu özelliği istemiyorsanız,kurmayabilirsiniz.

Yukarıda adı geçen paketleri şu şekilde kurabilirsiniz.

apt-get install libpcap0.8 libpcap0.8-dev libpcre3 libpcre3-dev iptables-dev libclamav1 libclamav-dev snort-rules-default

libdnet kurulumu

not : libdnet ve libdnet-dev paketleri debian depolarında var.ancak bunları kurduktan sonra bir türlü snort_inline a gösteremedim.siz sorunun sebebini bulabilirseniz lütfen bilgilendirin.uğraşamam diyorsanız,kaynaktan kurulum size sorun çıkarmayacaktır.

wget http://belnet.dl.sourceforge.net/sourceforge/libdnet/libdnet-1.11.tar.gz
tar zxvf libdnet-1.11.tar.gz
./configure && make
make install

Yukarıdaki gibi libdneti kurduktan sonra snort_inline’ı kurmaya başlıyoruz.Debian depolarında aramayın.Unstable/Sid kategorisinde bile bulamassınız.

http://snort-inline.sourceforge.net/download.html
adresinden paketi indirdikten sonra paketi aşağıdaki gibi sisteminize kurun.
tar zxvf snort_inline-2.4.5a.tar.gz
./configure –enable-inline –enable-clamav

–enable-clamav parametresi snort_inline’ı clam antivirüs ile beraber çalıştırmak için gereklidir.Sisteminize ek bir yük istemiyorsanız kurmayın.Ancak şirket içi networkler için oldukça faydalıdır.

make
make install
Yukarıdaki aşamaları sorunsuz geçtiyseniz artık kurulum sonrası ayarlara geçebiliriz.

Kurulum başarıyla gerçekleştikten sonra make install komutu snort_inline’ı /usr/local/bin altına atacaktır.
Kurulum dizininin altındaki etc dizinindeki dosyaları alıp uygun bir yere yerleştirin.Örneğin /usr/local/etc/snort_inline
altına atabilirsiniz.

Sıra snort_inline için en önemli kısma geldi.Kurallar…
Eğer debian depolarından snort-rules-default paketini indirdiyseniz,bu dosyalar sisteminizde /etc/snort/rules
altında bulunuyor olmalı.Bir kural örneğine göz atalım.

alert tcp $EXTERNAL_NET any -> $HOME_NET 110 (msg:”POP3 DELE negative argument attempt”; flow:to_server,established; content:”DELE”; nocase; pcre:”/^DELE\s+-\d/smi”; reference:bugtraq,6053; reference:bugtraq,7445; reference:cve,20022-1539; classtype:misc-attack; sid:2121; rev:9;)

Dikkatinizi çekmek istediğim nokta kuralın “alert” ile başlıyor olması.Bu da snort’un saldırı tespit sistemi olmasından kaynaklanıyor.
Kuralın snort_inline ile birlikte etkili olması için üç kural tipi kullanabiliriz.

drop: paket iptables aracılığıyla bloklanır.snort olayı loglar.
reject: paket yine iptables tarafından bloklanır.snort olayı loglar ve eğer protokol tcp ise tcp reset,protokol
udp ise karşıya “icmp port unreachable” gönderilir.

sdrop: paket iptables tarafından bloklanır.hiçbirşey loglanmaz.

Ben drop kullanmayı tercih ettim ama siz nasıl değiştireceğinize karar verin ve
aşağıdaki script ile bütün kuralları değiştirin

#!/bin/bash
for file in $(ls -1 *.rules)
do
sed -e ‘s:^alert:drop:g’ ${file} > ${file}.new
mv ${file}.new ${file} -f
done

Kuralları değiştirdikten sonra sistemin doğru çalışması için yapmanız gereken bir nokta daha var.
snort_inline.conf dosyanızı açın.İlk tanımlamalar arasında HOME_NET değişkenini kendi sisteminize göre
değiştirin.Bu sizin güvenilir ağınız olmalıdır.

Örneğin;

var HOME_NET 192.168.160.0/24

gibi.

Ayrıca güvenilmeyen ağ tanımlamanız gerekiyor.Ben şöyle yaptım

var EXTERNAL_NET !$HOME_NET

Kurallarınızın bulunduğu dizine göre RULE_PATH değişkenini düzenledikten sonra dosyayı kaydedip çıkın.

Son olarak snort_inline’ı daemon modunda çalıştırmadan önce iptables’a forward edilen bütün paketleri
kuyruğa sokmasını söylüyoruz

iptables -I FORWARD -j QUEUE

ve sonunda….

/usr/local/bin/snort_inline -Q -D -c /usr/local/etc/snort_inline/snort_inline.conf -l /var/log/snort

Not:Iptables stratejiniz tamamiyle size kalmış bişey.Hangi paketleri yönüne göre nasıl snort_inline’a yönlendirmek
isterseniz,iptables kuralını da ona göre belirlemelisiniz.