Snort je open source systém detekce narušení, který můžete používat v systémech Linux. V tomto návodu projdeme základní konfiguraci systému Snort IDS a naučíme vás vytvářet pravidla pro detekci různých typů aktivit v systému.
Pro tento návod použijeme síť: 10.0.0.0/24.
Pro tento návod použijeme síť: 10.0.0.0/24. Upravte soubor /etc/snort/snort.conf a nahraďte „any“ vedle $HOME_NET informacemi o vaší síti, jak je znázorněno na ukázkovém snímku obrazovky níže:
Alternativně můžete také definovat konkrétní IP adresy, které chcete sledovat, oddělené čárkou mezi sebou, jak je znázorněno na tomto snímku obrazovky:
Nyní začneme a spustíme tento příkaz v příkazovém řádku:
Kde:
d= říká snortu, aby zobrazoval data
l= určuje adresář logů
h= určuje síť, která se má sledovat
A= dává snortu pokyn, aby vypisoval výstrahy do konzole
c= určuje snortu konfigurační soubor
Spustí rychlé skenování z jiného zařízení pomocí nmap:
A podívejme se, co se stane v konzoli snort:
Snort detekoval skenování, nyní také z jiného zařízení zaútočíme pomocí hping3
Zařízení zobrazující Snort detekuje špatný provoz, jak ukazuje tento obrázek:
Protože jsme Snortu dali pokyn k ukládání logů, můžeme si je přečíst spuštěním:
Úvod do pravidel Snort
Režim NIDS Snortu pracuje na základě pravidel zadaných v /etc/snort/snort.conf.
V rámci souboru snort.conf můžeme najít komentovaná i nekomentovaná pravidla, jak vidíte níže:
Cesta k pravidlům je obvykle /etc/snort/rules , tam najdeme soubory s pravidly:
Podívejme se na pravidla proti backdoorům:
Je zde několik pravidel proti útokům backdoorem, překvapivě je zde pravidlo proti NetBusu, trojskému koni, který se stal populární před pár desítkami let, podívejme se na něj a vysvětlím jeho části a jak funguje:
established“; flow:from_server,established;
flowbits:isset,backdoor.netbus_2.connect; content: „BN|10 00 02 00|“; depth:6; content:“|
05 00|“; depth:2; offset:8; classtype:misc-activity; sid:115; rev:9;)
Toto pravidlo instruuje snort, aby upozorňoval na spojení TCP na portu 20034 přenášející na libovolný zdroj v externí síti.
-> = určuje směr provozu, v tomto případě z naší chráněné sítě do externí sítě
msg = instruuje upozornění, aby při zobrazení zahrnovalo konkrétní zprávu
content = vyhledává konkrétní obsah v paketu. Může obsahovat text, pokud je mezi “ „, nebo binární data, pokud je mezi | |
depth = intenzita analýzy, ve výše uvedeném pravidle vidíme dva různé parametry pro dva různé obsahy
offset = říká Snortu, od kterého bajtu každého paketu má začít hledat obsah
classtype = říká, na jaký druh útoku Snort upozorňuje
sid:115 = identifikátor pravidla
Vytvoření vlastního pravidla
Nyní vytvoříme nové pravidlo, které bude upozorňovat na příchozí připojení SSH. Otevřete soubor /etc/snort/rules/yourrule.rules a dovnitř vložte následující text:
flow:stateless; flags:S+; sid:100006927; rev:1;)
Říkáme Snortu, aby upozorňoval na jakékoli tcp spojení z jakéhokoli vnějšího zdroje na náš ssh port (v tomto případě výchozí port) včetně textové zprávy „SSH INCOMING“, kde stateless instruuje Snort, aby ignoroval stav spojení.
Nyní je třeba přidat vytvořené pravidlo do našeho souboru /etc/snort/snort.conf. Otevřete konfigurační soubor v editoru a vyhledejte #7, což je část s pravidly. Přidejte nekomentované pravidlo jako na obrázku výše přidáním:
Místo „yourrule.rules“ nastavte název vašeho souboru, v mém případě to byl test3.rules.
Po dokončení spusťte znovu Snort a uvidíte, co se stane.
přistupte na své zařízení z jiného zařízení a podívejte se, co se stane:
Vidíte, že byl detekován příchozí SSH.
Doufám, že díky této lekci víte, jak vytvořit základní pravidla a použít je pro detekci aktivity v systému. Podívejte se také na návod Jak nastavit Snort a začít ho používat a stejný návod je k dispozici ve španělštině na Linux.lat.
.