Konfigurace IDS Snort a vytvoření pravidel

Snort je open source systém detekce narušení, který můžete používat v systémech Linux. V tomto návodu projdeme základní konfiguraci systému Snort IDS a naučíme vás vytvářet pravidla pro detekci různých typů aktivit v systému.

Pro tento návod použijeme síť: 10.0.0.0/24.

Pro tento návod použijeme síť: 10.0.0.0/24. Upravte soubor /etc/snort/snort.conf a nahraďte „any“ vedle $HOME_NET informacemi o vaší síti, jak je znázorněno na ukázkovém snímku obrazovky níže:

Alternativně můžete také definovat konkrétní IP adresy, které chcete sledovat, oddělené čárkou mezi sebou, jak je znázorněno na tomto snímku obrazovky:

Nyní začneme a spustíme tento příkaz v příkazovém řádku:

# snort -d -l /var/log/snort/ -h 10.0.0.0/24 -A console -c /etc/snort/snort.conf

Kde:
d= říká snortu, aby zobrazoval data
l= určuje adresář logů
h= určuje síť, která se má sledovat
A= dává snortu pokyn, aby vypisoval výstrahy do konzole
c= určuje snortu konfigurační soubor

Spustí rychlé skenování z jiného zařízení pomocí nmap:

A podívejme se, co se stane v konzoli snort:

Snort detekoval skenování, nyní také z jiného zařízení zaútočíme pomocí hping3

# hping3 -c 10000 -d 120 -S -w 64 -p 21 –flood –rand-source 10.0.0.3

Zařízení zobrazující Snort detekuje špatný provoz, jak ukazuje tento obrázek:

Protože jsme Snortu dali pokyn k ukládání logů, můžeme si je přečíst spuštěním:

# snort -r

Úvod do pravidel Snort

Režim NIDS Snortu pracuje na základě pravidel zadaných v /etc/snort/snort.conf.

V rámci souboru snort.conf můžeme najít komentovaná i nekomentovaná pravidla, jak vidíte níže:

Cesta k pravidlům je obvykle /etc/snort/rules , tam najdeme soubory s pravidly:

Podívejme se na pravidla proti backdoorům:

Je zde několik pravidel proti útokům backdoorem, překvapivě je zde pravidlo proti NetBusu, trojskému koni, který se stal populární před pár desítkami let, podívejme se na něj a vysvětlím jeho části a jak funguje:

alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg: „BACKDOOR NetBus Pro 2.0 connection
established“; flow:from_server,established;
flowbits:isset,backdoor.netbus_2.connect; content: „BN|10 00 02 00|“; depth:6; content:“|
05 00|“; depth:2; offset:8; classtype:misc-activity; sid:115; rev:9;)

Toto pravidlo instruuje snort, aby upozorňoval na spojení TCP na portu 20034 přenášející na libovolný zdroj v externí síti.

-> = určuje směr provozu, v tomto případě z naší chráněné sítě do externí sítě

msg = instruuje upozornění, aby při zobrazení zahrnovalo konkrétní zprávu

content = vyhledává konkrétní obsah v paketu. Může obsahovat text, pokud je mezi “ „, nebo binární data, pokud je mezi | |
depth = intenzita analýzy, ve výše uvedeném pravidle vidíme dva různé parametry pro dva různé obsahy
offset = říká Snortu, od kterého bajtu každého paketu má začít hledat obsah
classtype = říká, na jaký druh útoku Snort upozorňuje

sid:115 = identifikátor pravidla

Vytvoření vlastního pravidla

Nyní vytvoříme nové pravidlo, které bude upozorňovat na příchozí připojení SSH. Otevřete soubor /etc/snort/rules/yourrule.rules a dovnitř vložte následující text:

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg: „SSH incoming“;
flow:stateless; flags:S+; sid:100006927; rev:1;)

Říkáme Snortu, aby upozorňoval na jakékoli tcp spojení z jakéhokoli vnějšího zdroje na náš ssh port (v tomto případě výchozí port) včetně textové zprávy „SSH INCOMING“, kde stateless instruuje Snort, aby ignoroval stav spojení.

Nyní je třeba přidat vytvořené pravidlo do našeho souboru /etc/snort/snort.conf. Otevřete konfigurační soubor v editoru a vyhledejte #7, což je část s pravidly. Přidejte nekomentované pravidlo jako na obrázku výše přidáním:

include $RULE_PATH/yourrule.rules

Místo „yourrule.rules“ nastavte název vašeho souboru, v mém případě to byl test3.rules.

Po dokončení spusťte znovu Snort a uvidíte, co se stane.

#snort -d -l /var/log/snort/ -h 10.0.0.0/24 -A console -c /etc/snort/snort.conf

přistupte na své zařízení z jiného zařízení a podívejte se, co se stane:

Vidíte, že byl detekován příchozí SSH.

Doufám, že díky této lekci víte, jak vytvořit základní pravidla a použít je pro detekci aktivity v systému. Podívejte se také na návod Jak nastavit Snort a začít ho používat a stejný návod je k dispozici ve španělštině na Linux.lat.

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.