Snort exe что это
Snort или Suricata. Часть 2: установка и первичная настройка Suricata
Если верить статистике, объем сетевого трафика увеличивается примерно на 50% каждый год. Это приводит к росту нагрузки на оборудование и, в частности, повышает требования к производительности IDS/IPS. Можно покупать дорогостоящее специализированное железо, но есть вариант подешевле — внедрение одной из систем с открытым исходным кодом. Многие начинающие администраторы считают, будто установить и сконфигурировать бесплатную IPS довольно сложно. В случае с Suricata это не совсем верно — поставить и ее и начать отражать типовые атаки с набором бесплатных правил можно за несколько минут.
Зачем нужна еще одна открытая IPS?
Долгое время считавшаяся стандартом система Snort разрабатывается с конца девяностых, поэтому изначально она была однопоточной. За долгие годы в ней появились все современные фишки, вроде поддержки IPv6, возможности анализа протоколов прикладного уровня или универсальный модуль доступа к данным.
Базовый движок Snort 2.X научился работать с несколькими ядрами, но так и остался однопоточным и потому не может оптимально использовать преимущества современных аппаратных платформ.
Проблема была решена в третьей версии системы, но ее готовили так долго, что на рынке успела появиться написанная с нуля Suricata. В 2009 году ее начали разрабатывать именно как многопоточную альтернативу Snort, обладающую из коробки функциями IPS. Код распространяется под лицензией GPLv2, но финансовые партнеры проекта имеют доступ к закрытой версии движка. Некоторые проблемы с масштабируемостью в первых версиях системы возникали, но они довольно быстро были решены.
Почему Suricata?
В Suricata есть нескольких модулей (как и в Snort): захвата, сбора, декодирования, обнаружения и вывода. По умолчанию захваченный трафик идет до декодирования одним потоком, хотя это больше нагружает систему. При необходимости потоки можно разделить в настройках и распределить по процессорам — Suricata очень хорошо оптимизируется под конкретное железо, хотя это уже не уровень HOWTO для начинающих. Стоит также отметить наличие в Suricata основанных на библиотеке HTP продвинутых средств инспектирования HTTP. Они же могут быть использованы для протоколирование трафика без детектирования. Система также поддерживает декодирование IPv6, включая туннели IPv4-in-IPv6, IPv6-in-IPv6 и другие.
Для перехвата трафика могут использоваться разные интерфейсы (NFQueue, IPFRing, LibPcap, IPFW, AF_PACKET, PF_RING), а в режиме Unix Socket можно автоматически анализировать захваченные другим сниффером файлы PCAP. Кроме того, модульная архитектура Suricata упрощает подключение новых элементов для захвата, декодирования, анализа и обработки сетевых пакетов. Важно также отметить, что в Suricata блокировка трафика осуществляется средствами штатного фильтра операционной системы. В GNU/Linux доступно два варианта работы IPS: через очередь NFQUEUE (режим NFQ) и через zero copy (режим AF_PACKET). В случае первом случае попадающий в iptables пакет направляется в очередь NFQUEUE, где может обрабатываться на пользовательском уровне. Suricata прогоняет его по своим правилам и выносит один из трех вердиктов: NF_ACCEPT, NF_DROP и NF_REPEAT. Первые два пояснений не требуют, а последний позволяет промаркировать пакеты и отправить их в начало текущей таблицы iptables. Режим AF_PACKET отличается более высоким быстродействием, но накладывает на систему ряд ограничений: она должна иметь два сетевых интерфейса и работать в качестве шлюза. Заблокированный пакет просто не пересылается на второй интерфейс.
Важная фишка Suricata — возможность использования наработок для Snort. Администратору доступны, в частности, наборы правил Sourcefire VRT и OpenSource Emerging Threats, а также коммерческие Emerging Threats Pro. Унифицированный вывод можно анализировать с помощью популярных бэкендов, также поддерживается вывод в PCAP и Syslog. Настройки системы и правила хранятся в файлах формата YAML, который легко читается и может обрабатываться автоматически. Движок Suricata распознает множество протоколов, поэтому в правилах нет необходимости привязываться к номеру порта. Кроме того в правилах Suricata активно практикуется концепция flowbits. Для отслеживания срабатывания используются переменные сессии, позволяющие создавать и применять различные счетчики и флаги. Многие IDS рассматривают разные TCP-соединения как отдельные сущности и могут не увидеть связи между ними, свидетельствующей о начале атаки. Suricata старается видеть картину целиком и во многих случаях распознает распределенный по разным соединениям вредоносный трафик. О ее преимуществах можно рассуждать долго, мы лучше перейдем к установке и настройке.
Как установить?
Мы будем устанавливать Suricata на виртуальный сервер, работающий под управлением Ubuntu 18.04 LTS. Все команды необходимо выполнять от имени суперпользователя (root). Наиболее безопасный вариант — подключиться к серверу по SSH с правами обычного пользователя, а затем применить утилиту sudo для повышения привилегий. Для начала необходимо установить пакеты, которые нам понадобятся:
Подключаем внешний репозиторий:
Устанавливаем последнюю стабильную версию Suricata:
При необходимости правим конфигурационные файлы имя, заменив использующийся по умолчанию eth0 на фактическое имя внешнего интерфейса сервера. Настройки по умолчанию хранятся в файле /etc/default/suricata, а пользовательские — в /etc/suricata/suricata.yaml. Настройка IDS по большей части ограничивается правкой этого конфигурационного файла. В нем множество параметров, которые по названию и назначению совпадают с аналогами из Snort. Синтаксис тем не менее совершенно другой, но файл читать намного проще чем конфиги Snort, к тому же он хорошо прокомментирован.
Внимание! Перед запуском стоит проверить значения переменных из раздела vars.
Чтобы завершить настройку потребуется установить suricata-update для обновления и загрузки правил. Сделать это довольно просто:
Дальше нам нужно запустить команду suricata-update для установки набора правил Emerging Threats Open:
Для просмотра списка источников правил выполняем следующую команду:
Обновляем источники правил:
Повторно просматриваем обновленные источники:
При необходимости можно включить доступные бесплатные источники:
После этого необходимо еще раз обновить правила:
На этом установку и первичную настройку Suricata в Ubuntu 18.04 LTS можно считать законченной. Дальше начинается самое интересное: в следующей статье мы подключим виртуальный сервер к офисной сети через VPN и начнем анализировать весь входящий и исходящий трафик. Особое внимание уделим блокированию атак DDoS, активности вредоносного ПО и попыткам эксплуатации уязвимостей в доступных из сетей общего пользования сервисов. Для наглядности будут смоделированы атаки наиболее распространенных типов.
Как использовать систему обнаружения вторжений Snort в Linux — CloudSavvy IT
Запустите Snort в Linux и защитите свою сеть с помощью анализа трафика в реальном времени и обнаружения угроз. Безопасность — это все, а Snort — это продукт мирового класса. Эта свинья может просто спасти твой бекон.
Что такое Snort?
Snort анализирует сетевой трафик в режиме реального времени и выявляет любую подозрительную активность. В частности, он ищет все, что может указывать на попытки несанкционированного доступа и другие атаки в сети. Полный набор правила определить, что считается «подозрительным» и что Snort должен делать при срабатывании правила.
Точно так же, как пакеты антивируса и защиты от вредоносных программ полагаются на актуальные определения сигнатур вирусов, чтобы иметь возможность идентифицировать и защищать вас от новейших угроз, правила Snort обновляются и переиздаются часто, так что Snort всегда работает в оптимальном режиме. эффективность.
Правила Snort
Установка Snort
Одно время установка Snort была длительным процессом вручную. Это было несложно, но шагов было много, и можно было легко пропустить один. Основные дистрибутивы Linux упростили задачу, сделав Snort доступным из репозиториев программного обеспечения.
Версии в репозиториях иногда отстают от последней версии, доступной на сайте Snort. При желании вы можете скачать и установить из источника. Пока у вас есть последняя правила, не имеет большого значения, если ваш Snort не самый последний и лучший, если он не древний.
Для исследования этой статьи мы установили Snort на Ubuntu 20.04, Fedora 32 и Manjaro 20.0.1.
Чтобы установить Snort в Ubuntu, используйте эту команду:
В процессе установки вам зададут несколько вопросов. Вы можете найти ответы на эти вопросы, используя ip addr перед началом установки или в отдельном окне терминала.
Обратите внимание на имя вашего сетевого интерфейса. На этом исследовательском компьютере enp0s3.
Нажмите «Tab», чтобы выделить кнопку «ОК», и нажмите «Enter».
Введите имя сетевого интерфейса и нажмите «Tab», чтобы выделить кнопку «ОК», и нажмите «Enter».
Введите диапазон сетевых адресов в формате CIDR, нажмите «Tab», чтобы выделить кнопку «OK», и нажмите «Enter».
Чтобы установить Snort в Fedora, вам нужно использовать две команды:
Когда вас спросят, хотите ли вы собрать Snort из AUR (Репозиторий пользователей Arch) нажмите «Y» и нажмите «Enter». Мы не хотим редактировать файлы сборки, поэтому ответьте на этот вопрос, нажав «N» и нажав «Enter». Нажмите «Y», а затем «Enter», когда вас спросят, следует ли применять транзакцию.
Вам будет предложено ввести пароль.
Были установлены следующие версии Snort:
Вы можете проверить свою версию, используя:
Настройка Snort
Прежде чем мы сможем запустить Snort, необходимо выполнить несколько шагов. Нам нужно отредактировать файл «snort.conf».
Найдите строку с надписью « ipvar HOME_NET any »И отредактируйте его, заменив« любой »диапазоном адресов в нотации CIDR вашей сети.
Сохраните изменения и закройте файл.
Обновление правил Snort
Чтобы убедиться, что ваша копия Snort обеспечивает максимальный уровень защиты, обновите правила до самой последней версии. Это гарантирует, что Snort имеет доступ к новейшему набору определений атак и действий защиты.
Если вы зарегистрировались и получили собственное Oinkcode, вы можете использовать следующую команду, чтобы загрузить набор правил для зарегистрированных пользователей. Фырканье страница загрузки список доступных наборов правил, включая набор правил сообщества, для которого вам не нужно регистрироваться.
Загрузите набор правил для установленной вами версии Snort. Мы загружаем версию 2.9.8.3, которая ближе всего к версии 2.9.7.0 Snort, которая была в репозитории Ubuntu.
-O snortrules-snapshot-2983.tar.gz в окне терминала» width=»646″ height=»97″ onload=»pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon(this);» onerror=»this.onerror=null;pagespeed.lazyLoadImages.loadIfVisibleAndMaybeBeacon(this);»/>
После завершения загрузки используйте эту команду, чтобы извлечь правила и установить их в каталог «/ etc / snort / rules».
Беспорядочный режим
Сетевые карты обычно игнорируют трафик, не предназначенный для их IP-адреса. Мы хотим, чтобы Snort обнаруживал подозрительный сетевой трафик, адресованный любому устройству в сети, а не только сетевой трафик, который отправляется на компьютер, на котором установлен Snort.
Чтобы сетевой интерфейс компьютера Snort прослушивал весь сетевой трафик, нам нужно установить его в неразборчивый режим. Следующая команда вызовет сетевой интерфейс enp0s3 действовать в беспорядочном режиме. Замена enp0s3 с именем сетевого интерфейса, который вы используете на своем компьютере.
Если вы запускаете Snort на виртуальной машине, не забудьте также изменить настройки в гипервизоре для виртуальной сетевой карты, используемой вашей виртуальной машиной. Например, в VirtualBox вам нужно перейти в Settings > Network > Advanced и в раскрывающемся списке «Беспорядочный режим» выберите «Разрешить все».
Запуск Snort
Теперь вы можете запустить Snort. Формат команды:
В этой команде используются следующие параметры командной строки:
Snort прокручивает большую часть вывода в окне терминала, а затем переходит в режим мониторинга и анализа. Если он не увидит какую-либо подозрительную активность, вы больше не увидите вывод на экран.
С другого компьютера мы начали генерировать вредоносную активность, которая была направлена непосредственно на наш тестовый компьютер, на котором был запущен Snort.
Snort определяет сетевой трафик как потенциально вредоносный, отправляет предупреждения в окно консоли и записывает записи в журналы.
Атаки, классифицируемые как «утечки информации», указывают на то, что на вашем компьютере была предпринята попытка получить некоторую информацию, которая могла бы помочь злоумышленнику. Это, вероятно, указывает на то, что кто-то проводит разведку вашей системы.
Атаки, классифицированные как атаки типа «отказ в обслуживании», указывают на попытку завалить ваш компьютер ложным сетевым трафиком. Атака пытается перегрузить ваш компьютер до такой степени, что он не может продолжать предоставлять свои услуги.
Чтобы убедиться, что неразборчивый режим работает правильно и мы защищаем весь диапазон сетевых адресов, мы направим вредоносный трафик на другой компьютер и посмотрим, обнаружит ли его Snort.
Следующие шаги
Чтобы поддерживать бдительность, Snort нужны актуальные правила. Вы можете написать небольшой скрипт и поместить в него команды для загрузки и установки правил, а также установить cron работа автоматизировать процесс периодически вызывая сценарий. В тушеная свинина script — это готовый сценарий, предназначенный именно для этого, если вы не хотите писать свой собственный.
Snort не имеет внешнего интерфейса или графического пользовательского интерфейса. Сторонние проекты создали несколько, и вы, возможно, захотите изучить некоторые из них, например Snorby и Squil.
Snort: Часть 1. Введение
Snort является сетевой системой обнаружения (IDS) и предотвращения вторжений (IPS) с открытым исходным кодом, способная выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP-сетях, комбинируя возможности сопоставления по сигнатурам, средства для инспекции протоколов и механизмы обнаружения аномалий. Snort был создан Мартином Решем в 1998-м году и очень быстро завоевал популярность, как бесплатная система обнаружения вторжений, позволяющая самостоятельно и без особых усилий писать правила для обнаружения атак. По сути язык описания сигнатур Snort стал стандартом де-факто для многих систем обнаружения вторжений, которые стали его использовать в своих движках.
Структура и функционирование Snort
Систему обнаружения вторжений Snort по способу мониторинга системы можно отнести как к узловой, так и к сетевой системе в зависимости от параметров настройки. Обычно она защищает определённый сегмент локальной сети от внешних атак из интернета. Система Snort выполняет протоколирование, анализ, поиск по содержимому, а также широко используется для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований. Snort способен выявлять:
Вы можете настроить Snort для работы в нескольких различных режимах — режим анализа пакетов, режим журналирования пакетов, режим обнаружения сетевых вторжений и встраиваемым (inline) режим. Snort может быть сконфигурирован для работы в этих режимах:
Режиме анализа пакетов (Sniffer mode)
Snort просто читает пакеты приходящие из сети и выводит их на экран. В этом режиме Snort действует просто как анализатор, показывая нефильтрованное содержимое среды передачи. Конечно, если вам требуется только анализатор, можно применить Tcpdump или Ethereal, однако данный режим позволяет убедиться, что все работает правильно и Snort видит пакеты.
Режиме журналирования (протоколирования) пакетов (Packet Logger mode)
Эта команда создаст файлы журналов в каталоге /var/log/snort.
Режиме обнаружения сетевых вторжений (Network Intrusion Detection System (NIDS) mode)
Встраиваемым режим (inline mode)
Архитектура Snort
Основу Snort составляет движок, состоящий из пяти модулей:
Снифер пакетов: данный модуль отвечает за захват передаваемых по сети данных для последующей их передаче на декодер. Делает он это с помощью библиотеки DAQ (Data AcQuisition). Работать данный снифер может “в разрыв” (inline), в пассивном режиме (passive) или читать сетевые данные из заранее подготовленного файла.
Декодер пакетов: данный модуль занимается разбором заголовков захваченных пакетов, их разбором, поиском аномалий и отклонений от RFC, анализом TCP-флагов, исключением отдельных протоколов из дальнейшего анализа и другой аналогичной работой. Фокусируется данный декодер на стеке TCP/IP.
Препроцессоры: если декодер разбирал трафик на 2-м и 3-м уровне эталонной модели, то препроцессоры предназначены для более детального анализа и нормализации протоколов на 3-м, 4-м и 7-м уровнях. Среди самых популярных препроцессоров можно назвать frag3 (работа с фрагментированным трафиком), stream5 (реконструкция TCP-потоков), http_inspect_ (нормализация HTTP-трафика), DCE/RPC2, sfPortscan (применяется для обнаружения сканирования портов) и различные декодеры для протоколов Telnet, FTP, SMTP, SIP, SSL, SSH, IMAP и т.п. Некоторые российские разработчики пишут свои препроцессоры (например, для промышленных протоколов) и добавляют в собственные системы обнаружения вторжений (IDS), построенные на базе Snort.
Движок обнаружения атак: данный движок состоит из двух частей. Конструктор правил собирает множество различных решающих правил (сигнатур атак) в единый набор, оптимизированный для последующего применения подсистемой инспекции захваченного и обработанного трафика в поисках тех или иных нарушений.
Модуль вывода: по факту обнаружения атаки Snort может выдать (записать или отобразить) соответствующее сообщение в различных форматах — файл, syslog, ASCII, PCAP, Unified2 (двоичный формат для ускоренной и облегченный обработки).
Рассмотрим простое графическое представление прохождения данных через Snort:
Национальная библиотека им. Н. Э. Баумана
Bauman National Library
Персональные инструменты
Snort (Система Предотвращения Вторжений)
Snort является свободно распространяемой программой с открытым исходным кодом под лицензией GPL. Изначально Snort был создан одним из известнейших людей в мире информационной безопасности, автором многих: книг Мартином Рошем в 1998 году. Основной причиной создания этой IDS было отсутствие на тот момент достаточно эффективного, тем более бесплатного, инструмента оповещения об атаках.
Содержание
Snort является самой распространенной IDS(а со временем и IPS) в мире, во многом благодаря ее открытости и работе авторов.
Возможности
Данная IPS выявляет следующее:
Помимо всего прочего Snort имеет:
Snort поддерживает следующие интерфейсы для прослушивания:
IPS Snort может работать на многих операционных системах: Linux, Windows, IRIX, SunOS, *BSD и др. Также сушествует отличное расширение функциональности для Snort под названием inline, которое позволяет связать firewall с действиями правил. К примеру, можно передать firewall’у IP адрес того хоста, с которого пришел подозрительный пакет и дать команду игнорировать весь трафик с этого IP. Часто это применяется при DDoS атаках. В свою очередь Snort получает пакеты не от библиотеки libpcap, а от iptables. Но существует и обратная сторона. Рассмотрим ситуацию, когда злоумышленник поймет, как происходит блокирование и сможет воспользоваться этим, подделывая пакеты и присылая их с важных серверов, вызывая тем самым состояние DDoS. Поэтому специалисты по безопасности крайне не рекомендуют реализовывать данную возможность или же использовать ее только в исключительных случаях.
Установка Snort
Где скачать
Последнюю версию Snort всегда можно найти на сайте разработчиков: http://www.snort.org
Куда лучше установить Snort
Конфигурация установочной программы
Будет рассмотрена установка Snort версии 2.4.3 на Linux
опций. Ниже приведены некоторые из них:
Настройка snort.conf
каталоге «etc/», который в свою очередь находится в разархивированной директории вместе со Snort. Фаил опций можно разбить на 5 основных частей:
Его опции подробно описаны на официальном сайте.
Linuxoid
OpenSource forever
Snort: мощный инструмент обнаружения сетевых атак
Статья напечатана в журнале Хакер
Защита компьютерных сетей, как обычных, так и беспроводных, — тема острая и злободневная. Сегодня информацию с описаниями взломов, а также готовых программ, реализующих их, найти легко, и любой может испытать на тебе весь доступный арсенал. Чтобы обезопасить себя от неожиданных сюрпризов, следует реализовать защиту в комплексе: межсетевой экран, фильтрация MAC-адресов и шифрование трафика. Особое место в этом списке занимают системы обнаружения атак, своевременно сигнализирующие о появлении хакера. К таким средствам относится сетевая СОА Snort — мощный инструмент с открытым исходным кодом.
Возможности Snort
Snort является сетевой системой обнаружения атак (IDS) с открытым исходным кодом, которая способна выполнить в реальном времени анализ IP-пакетов, передаваемых на контролируемых интерфейсах. Snort обнаруживает атаки, комбинируя два метода: сигнатурный и анализ протоколов.
Всю собранную информацию детектор Snort позволяет сохранить в файлах журналов, которые могут иметь различный формат: обычный текстовый ASCII или бинарный формат, совместимый с tcpdump. Кроме того, для удобства анализа информацию можно занести в базу данных: Postgresql, MySQL, unixODBC и некоторые другие.
Система, построенная на Snort, способна собирать и обрабатывать информацию с нескольких разнесенных датчиков. Все в дело в производительности компьютеров, используемых в качестве сенсоров. Для того чтобы улучшить производительность, разделяя быструю работу IDS по захвату пакетов и относительно медленную по занесению информации, необходимо использовать Barnyard, который доступен на странице закачки проекта Snort. В этом случае Snort создает специальный двоичный выходной «унифицированный» формат, с которым в дальнейшем и работает Barnyard.
Snort and Wireless
Установка Snort
Хотелось бы отметить, что подкаталог contrib, содержащий различные дополнения к Snort, начиная с версии 2.2.0, пустует. Скрипты для создания баз данных переместились в подкаталог schemas, а для создания rpm-пакетов — в одноименный подкаталог. Остальные же расширения можно найти на странице www.snort.org/dl/contrib. Итак, все основное сказано, можно начинать установку.
Распаковываем архив:
# tar –xzvf snort-2.х.х.tar.gz
Конфигурируем. В самом простом случае скрипту не нужно передавать никаких параметров. Если же необходимо использовать базу данных, то, например, для MySQL добавляем опцию ‘—with-mysql’. С версии 2.3.0 RC1 в Snort включен код проекта Snort-inline, тем самым он получил возможность не только выявлять, но и останавливать начавшуюся атаку, перестраивая правила iptables. И теперь Snort является полноценной системой предотвращения атак. Для включения этого режима добавляем ‘—enable-inline’.
Настройка Snort
Не знаю, с чем это связано, но все каталоги, необходимые для работы Snort, до сих пор приходится создавать вручную. Сюда мы будем складывать конфигурационные файлы и правила:
А здесь будет вестись журнал работы:
Теперь в каталог /etc/snort копируем все, что лежит в подкаталоге etc дистрибутива:
Далее распаковываем файл правил и помещаем их в /etc/snort/rules. В принципе, место для правил можно выбрать любое, но так удобнее, да и считается традиционным:
# tar –xzvf snortrules-snapshot-CURRENT.tar.gz
# mv rules /etc/snort
Играем по правилам
Для описания событий, которые могут считаться злонамеренными или аномальными, используется гибкий язык правил плюс модульная система анализа. Сегодня существует два типа правил. Первый тип — официальные сертифицированные и строго протестированные Sourcefire VRT Certified Rules, распространяющиеся по лицензии VRT Certified Rules License Agreement, ограничивающей их коммерческое использование. Эти правила доступны в двух вариантах: для зарегистрированных и не зарегистрированных пользователей. Регистрация абсолютно бесплатна. Все изменения в первую очередь распространяются среди подписчиков (subscription release с буквой «s» в названии пакета), затем становятся доступными для зарегистрированных пользователей (без буквы «s»). Те же, кто не зарегистрировался, довольствуются статистическими правилами, обновляемыми лишь к каждому релизу Snort и, естественно, отстающими от жизни (они имеют префикс «pr» в названии). Второй тип правил называется Community Rules. Эти правила создаются добровольцами, они еще не прошли проверку и распространяются под лицензией GPL. Для загрузки Certified Rules необходимо зайти на страницу Download Rules, выбрать нужное правило и изменить ссылку. Например, ссылка на VRT Certified Rules for Snort CURRENT выглядит так:
www.snort.org/pub-bin/downloads.cgi/Download/vrt_os/snortrules-snapshot-CURRENT.tar.gz.
Но, нажав на нее, файл не получишь. Сначала ее необходимо привести к такому виду:
Учти, что при ошибке ввода повторная закачка будет возможна лишь через 15 минут, также нельзя пользоваться некоторыми менеджерами закачки.
Давай рассмотрим одно правило, для того чтобы было ясно, как они пишутся. Вдруг тебе понадобится писать их самому или захочется разобраться в том, что конкретно делает то или иное правило. Возьмем одно правило из файла community-smtp.rule:
Несмотря на довольно серьезный вид, правило довольно простое, и если разобрать его по частям, то все становится на свои места. Первая строка говорит о том, что все сообщения по протоколу TCP, направленные с любого порта на порт 25 (то есть почтовый трафик) с определенным адресом в поле отправителя принадлежат вирусу-червю W32.Mytob@mm. Ниже дан комментарий (reference), позволяющий найти более подробную информацию об уязвимости на сайте Symantec. Некоторые правила, занимают несколько экранов монитора. Директива alert указывает на действия, которые должен производить Snort при обнаружении пакета, попадающего под это правило. По умолчанию имеется пять действий: alert, log, pass, activate и dynamic. Кроме того, в режиме inline доступны еще три: drop, reject и sdrop. Правило может быть односторонним (->) и двусторонним ( ), когда направление движения пакета роли не играет.
Файл конфигурации snort.conf
Последний шаг, который остается сделать, — это отредактировать конфигурационный файл /etc/snort/snort.conf. В дистрибутиве уже имеется готовый шаблон, поэтому с нуля его писать не придется. В файле используются переменные, в том числе встречающиеся в правилах. Это довольно удобно: при смене какого-либо параметра затем не придется его переписывать несколько раз. Кроме того, некоторые опции вынесены во внешние файлы, которые подключаются директивой include с именем файла. Все параметры снабжены комментариями, начинающимися традиционно со знака решетки. Для удобства восприятия файл разбит на шесть частей:
1. установка переменных сети;
2. указание динамически подгружаемых библиотек;
3. настройка препроцессоров;
4. настройка вывода информации;
5. установка дополнительных директив;
6. модификация правил.
Примечание: вторая и пятая секции не представляют для нас особого интереса.
Переменная HOME_NET определяет IP-адреса, которые Snort будет считать домашними. Возможно задание отдельного адреса или диапазона. Если требуется указать несколько адресов, то они перечисляются через запятую. Ключевое слово «any» означает любой адрес. Например:
var HOME_NET 192.168.1.0/24
var HOME_NET [10.1.1.0/24,192.168.1.0/24]
Переменная EXTERNAL_NET указывает на внешние узлы. По умолчанию стоит any. Можно оставить как есть, а можно указать более логично, что все, не являющееся домом, будет внешним:
var HTTP_PORTS 80
var HTTP_PORTS 8080
Препроцессоры, подключаемые в третьей секции «Configure preprocessors», — штука довольно серьезная и в хозяйстве, как говорится, полезная, но требующая некоторого времени для того, чтобы разобраться с назначением и особенностями работы. Обрати внимание, что некоторые препроцессоры дублируют друг друга, поэтому включать все сразу также не имеет смысла. Так, вместо Portscan и Flow-Portscan разработчики рекомендуют использовать sfPortscan, разработанный в Sourcefire и предназначенный для тех же целей, то есть для определения сканирования портов. Более быстрый в работе модуль Frag3, предназначенный для дефрагментации IP-пакетов, пришел на смену более старому Frag2. Кроме того, некоторые препроцессоры направлены на определение аномалий в работе определенных сервисов. Так X-Link2State предназначен для определения уязвимости в Exchange Server, а HTTPInspect изучает аномалии в http-трафике.
Настройка вывода данных
В четвертой секции «Configure output plugins», как уже говорилось, настраиваются выходные параметры. В общем случае строка параметров имеет такой вид:
В настоящее время Snort может использовать 10 плагинов для вывода информации (каждый из которых имеет дополнительные опции):
1. alert_syslog – для вывода информации используется демон syslog; модуль позволяет настроить приоритеты сообщений и уровень;
2. alert_fast – информация о возможной атаке выводится в указанный в качестве дополнительного параметра файл в сокращенном формате без подробностей;
3. alert_full – модуль, подходящий для небольших сетей, так как сильно тормозит работу Snort; заголовок пакета выводится полностью; в лог-каталоге будет создан подкаталог, по каждому IP в который будут записываться пакеты, вызвавшие предупреждение;
4. alert_unixsock – схож с предыдущим за исключением того, что информация в реальном времени передается в Unix-сокет, откуда может быть считана любой другой программой;
5. log_tcpdump — записывает в указанный файл перехваченные пакеты в формате утилиты tcpdump (к имени файла будет добавляться метка времени, поэтому затереть его при перезапуске не получится);
6. database – модуль, позволяющий заносить информацию в базу данных;
7. csv – вывод в файл формата csv, который может быть использован для занесения информации в базу данных. Кроме имени файла, необходимо перечислить параметры, которые в него заносятся;
8. unified – выводит данные в специальном формате, оптимизированном для обработки внешними утилитами, которые затем будут заниматься регистрацией события;
9. alert_prelude – доступен при конфигурировании с опцией ‘-–enable-prelude’, в этом случае Snort используется как датчик гибридной IDS Prelude (www.prelude-ids.org);
10. log_null – в этом случае Snort способен реагировать на указанные предупреждения без регистрации пакетов.
И, наконец, в конце файла ты найдешь шестую секцию «Customize your rule set», в которой необходимо убрать комментарии, указывающие на файлы с правилами:
Названия правил говорят сами за себя. Оставь то, что тебе действительно нужно (хотя если сомневаешься, лучше включи все). По умолчанию файл local.rules пуст, в него заносит свои правила сам пользователь.
После того как все будет готово, можно запускать Snort. Для работы в режиме снифера Snort запускается с флагом ‘–v’. При этом на экран выводятся заголовки пакетов. Если же есть желание просмотреть и передаваемую информацию, используй следующую команду:
Если в системе один интерфейс, то программа сама разберется, с чем ей работать. В противном случае его требуется указать c помощью ‘–i’:
Можно указать на конкретную информацию, которую требуется захватить. Например, устанавливаем в качестве домашней сети 192.168.1.0 и захватываем пакеты с узла 192.168.1.1:
Для регистрации пакетов в общем случае указываем каталог, куда следует записывать информацию:
Если на выходе требуется файл в формате tcpdump, то добавляем параметр ‘–b’.
И, наконец, работа в режиме системы обнаружения атак. Так как файл snort.conf уже создан, то поступаем просто:
Для тестирования набираем «ping –s 65507 ip_адрес». После чего, если выбран соответствующий режим ведения журнала, в каталоге /var/log/snort появится файл с предупреждением о потенциально опасном пакете: