Configurați Snort IDS și creați reguli

Snort este un sistem open source de detectare a intruziunilor pe care îl puteți utiliza pe sistemele Linux. Acest tutorial va trece în revistă configurarea de bază a Snort IDS și vă va învăța cum să creați reguli pentru a detecta diferite tipuri de activități pe sistem.

Pentru acest tutorial rețeaua pe care o vom folosi este: 10.0.0.0.0/24. Editați fișierul /etc/snort/snort.conf și și și înlocuiți „any” de lângă $HOME_NET cu informațiile despre rețeaua dvs. așa cum se arată în exemplul de ecran de mai jos:

Alternativ, puteți defini, de asemenea, adrese IP specifice de monitorizat separate prin virgulă între ele așa cum se arată în această captură de ecran:

Acum să începem și să executăm această comandă în linia de comandă:

# snort -d -l /var/log/snort/ -h 10.0.0.0.0/24 -A console -c /etc/snort/snort.conf

Unde:
d= îi spune lui snort să afișeze datele
l= determină directorul de jurnale
h= specifică rețeaua de monitorizat
A= îi ordonă lui snort să tipărească alertele în consolă
c= îi specifică lui Snort fișierul de configurare

Lansează lansarea unei scanări rapide de pe un alt dispozitiv folosind nmap:

Și haideți să vedem ce se întâmplă în consola snort:

Snort a detectat scanarea, acum, tot de pe un dispozitiv diferit haideți să atacăm cu DoS folosind hping3

# hping3 -c 10000 -d 120 -S -w 64 -p 21 –flood –rand-source 10.0.0.3

Dispozitivul care afișează Snort detectează traficul rău, așa cum se arată aici:

Din moment ce am instruit Snort să salveze jurnalele, le putem citi rulând:

# snort -r

Introducere la regulile Snort

Modul NIDS al lui Snort funcționează pe baza unor reguli specificate în fișierul /etc/snort/snort/snort.conf.

În cadrul fișierului snort.conf putem găsi reguli comentate și necomentate, după cum puteți vedea mai jos:

Calea regulilor este în mod normal /etc/snort/rules , acolo putem găsi fișierele de reguli:

Să vedem regulile împotriva backdoors:

Există mai multe reguli pentru a preveni atacurile backdoor, în mod surprinzător există o regulă împotriva NetBus, un cal troian care a devenit popular cu câteva decenii în urmă, să ne uităm la ea și voi explica părțile sale și cum funcționează:

alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg: „BACKDOOR NetBus Pro 2.0 connection
established”; flow:from_server,established;
flowbits:isset,backdoor.netbus_2.connect; content: „BN|10 00 02 00|”; depth:6; content:”|
05 00|”; depth:2; offset:8; classtype:misc-activity; sid:115; rev:9;)

Această regulă instruiește snort să alerteze cu privire la conexiunile TCP pe portul 20034 care transmit către orice sursă dintr-o rețea externă.

-> = specifică direcția traficului, în acest caz dinspre rețeaua noastră protejată către una externă

msg = instruiește alerta să includă un mesaj specific atunci când se afișează

content = caută un conținut specific în cadrul pachetului. Acesta poate include text dacă este cuprins între ” ” sau date binare dacă este cuprins între | |
depth = intensitatea analizei, în regula de mai sus vedem doi parametri diferiți pentru două conținuturi diferite
offset = îi spune lui Snort octetul de început al fiecărui pachet pentru a începe căutarea conținutului
classtype = spune despre ce tip de atac alertează Snort

sid:115 = identificatorul regulii

Crearea propriei noastre reguli

Acum vom crea o nouă regulă pentru a notifica despre conexiunile SSH primite. Deschideți /etc/snort/rules/yourrule.rules, iar în interior lipiți următorul text:

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg: „SSH incoming”;
flow:stateless; flags:S+; sid:100006927; rev:1;)

Îi spunem lui Snort să alerteze cu privire la orice conexiune tcp de la orice sursă externă către portul nostru ssh (în acest caz portul implicit), inclusiv mesajul text „SSH INCOMING”, unde stateless îl instruiește pe Snort să ignore starea conexiunii.

Acum, trebuie să adăugăm regula pe care am creat-o la fișierul nostru /etc/snort/snort.conf. Deschideți fișierul de configurare într-un editor și căutați #7, care este secțiunea cu reguli. Adăugați o regulă necomentată ca în imaginea de mai sus adăugând:

include $RULE_PATH/yourrule.rules

În loc de „yourrule.rules”, setați numele fișierului dumneavoastră, în cazul meu a fost test3.rules.

După ce este gata, rulați Snort din nou și vedeți ce se întâmplă.

#snort -d -l /var/log/snort/ -h 10.0.0.0.0/24 -A console -c /etc/snort/snort.conf

Sh la dispozitivul dvs. de la un alt dispozitiv și vedeți ce se întâmplă:

Vezi că a fost detectată intrarea SSH.

Cu această lecție sper că știi cum să faci reguli de bază și să le folosești pentru detectarea activității pe un sistem. Vedeți de asemenea un tutorial despre Cum să configurați Snort și să începeți să îl folosiți și același tutorial disponibil în limba spaniolă la Linux.lat.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.