4.4 Crear tablas en bases de datos Snort y Archive

Usaremos el esquema de Snort para diseñar las bases de datos de Snort y Archive.

# cd /usr/share/doc/snort-mysql # zcat create_mysql.gz | mysql-u -h localhost -p snort # zcat create_mysql.gz | mysql-u -h localhost -p archivo

4.5 Confirmación de la creación de bases de datos y tablas de nueva creación.

Inicie sesión en el servidor MySQL y verifique las bases de datos que acabamos de crear y las tablas alojadas en esas bases de datos. Si todo se creó correctamente, verá cuatro (4) bases de datos (mysql, test, snort y archive) en las bases de datos mysql y aproximadamente 16 tablas en cada base de datos.

# mysql -u root -p mysql> mostrar bases de datos; mysql> usar bufido; mysql> mostrar tablas; mysql> usar archivo; mysql> mostrar tablas; mysql> salir

4.6 Prueba de resoplido

En modo terminal, escriba el comando: # snort -c /etc/snort/snort.conf

Si todo ha ido bien deberías ver la respuesta en códigos ascii.

Para finalizar la prueba presione ctrl + c

5. Configurando Apache2

El paquete Apache2 ya debe estar instalado en su computadora.

Usando su editor de texto favorito, cree un archivo llamado test.php en la carpeta /var/www/.

# vim /var/www/test.php

Escribe en él:

Guarde sus cambios y cierre este archivo.

Edite el archivo /etc/php5/apache2/php.ini

# vim /etc/php5/apache2/php.ini

Debajo de la línea "Extensiones dinámicas", agregue lo siguiente:

Extensión=mysql.so extensión=gd.so

Reinicie Apache2.

# /etc/init.d/apache2 reiniciar

Obtenga la dirección IP de su computadora de trabajo.

#ifconfig-a

Abra su navegador web y vaya a http://YOUR_IP_ADDRESS/test.php.

Si todo salió bien, se mostrará la información de PHP.

6. Configurar carpetas

Mueva ADOdb a la carpeta /var/www.

# mv /usr/share/php/adodb /var/www/

Cree una carpeta llamada web en www y mueva ACIDBASE a ella.

# mkdir /var/www/web # mv /usr/share/acidbase /var/www/web/

Permita temporalmente escribir en la carpeta de la base de datos acidbase para instalarla.

# chmod 777 /var/www/web/acidbase

# cd /var/www/web/acidbase # mv base_conf.php base_conf.old

Para trabajar en ACIDBASE, ejecute el comando:

#pear instala Image_Color

7. Instalación de ACIDBASE para bases de datos Snort y Archive

7.1 Instalación de la base de datos de Snort a través de un navegador web

Paso 1 de 5:

Ingrese la ruta a ADODB. Este es /var/www/adodb.

Paso 2 de 5:

Tipo de base de datos principal = MySQL
Nombre de la base de datos = bufido
Host de base de datos = localhost (Ubicación local de la base de datos de Snort),
Nombre de usuario de la base de datos =<ваше_имя_пользователя>(Nombre de usuario de la base de datos de Snort)
Contraseña de la base de datos =<ваш_пароль>(Contraseña para la base de datos de Snort)

Tipo de base de datos de archivo = MySQL (tipo de base de datos de archivo),


Nombre de usuario de la base de datos =<ваше_имя_пользователя>
Contraseña de la base de datos =<ваш_пароль>

Paso 3 de 5:

Si desea utilizar la autenticación, ingrese su nombre de usuario y contraseña (usuario:<ваше_имя>, contraseña:<ваш_пароль>).

Paso 4 de 5:

Haga clic en Crear AG BASE.

Paso 5 de 5:

Cuando se complete el paso 4, en la parte inferior, haga clic en: Ahora continúe con el paso 5.

Marca esta pagina.

7.2 Crear una carpeta para la base de datos Archive ACIDBASE

Para que la base de datos de archivo funcione correctamente, se debe crear una carpeta de archivo en la carpeta ACIDBASE.

# mkdir /var/www/web/acidbase/archive # cd /var/www/web/acidbase # cp -R * /var/www/web/acidbase/archive # chmod 777 /var/www/web/acidbase/archive

Cambie el nombre del archivo base_conf.php existente a base_conf.old.

# cd /var/www/web/acidbase/archive # mv base_conf.php base_conf.old

7.3 Instalación de la base de datos del Archivo a través de un navegador web.

Abra un navegador web y vaya a http://YOUR_IP_ADDRESS/web/acidbase/archive/setup.

En la primera página, haga clic en Continuar.

Paso 1 de 5:

Ingrese la ruta a ADODB. Este es /var/www/adodb. >

Paso 2 de 5:

Tipo de base de datos de archivo = MySQL
Nombre de la base de datos = archivo (Archivo de base de datos),
Host de base de datos = localhost (ubicación local de la base de datos del archivo),
Nombre de usuario de la base de datos =<ваше_имя_пользователя>(nombre de usuario de la base de datos de archivo),
Contraseña de la base de datos =<ваш_пароль>(Contraseña para la base de datos del archivo)

Paso 3 de 5:

Si desea utilizar la autenticación, ingrese su nombre de usuario y contraseña (usuario:<ваше_имя_пользователя>, contraseña:<ваш_пароль>).

Paso 4 de 5:

Haga clic en Crear BASE AG.

Paso 5 de 5:

Cuando se complete el paso 4, haga clic en la parte inferior: Ahora continúe con el paso 5 (Ahora vaya al paso 5).

8. Inicie Snort y verifique el estado de los servicios.

Para ejecutar Snort, escriba en modo terminal:

# snort -c /etc/snort/snort.conf -i eth0 -D

Este comando inicia snort usando la interfaz eth0 en modo de demostración.

Puede verificar que el servicio se esté ejecutando usando el siguiente comando:

#ps auxiliar | grep resopló

Si el servicio se está ejecutando, verá algo similar a lo siguiente snort -c /etc/snort/snort.conf -i eth0 -D .

Verifique que todos los servicios requeridos se estén ejecutando ejecutando los siguientes comandos:

# /etc/init.d/mysql estado # /etc/init.d/apache2 estado # /etc/init.d/snort estado

Si los servicios se están ejecutando, verá un mensaje de respuesta. .

Si es necesario, ejecute el comando
# /etc/init.d/ Reanudar
para cada uno de los servicios que deben reiniciarse.

Introducción

El objetivo principal de este trabajo es describir y estudiar la popular aplicación IDS Snort. Snort es un gran proyecto de código abierto que utilizan muchos administradores de red para capturar firmas maliciosas y alertar cuando una red está bajo ataque. Snort intercepta todo el tráfico de las interfaces de red, verificando los paquetes en busca de solicitudes sospechosas e intentos de intrusión.

Su principal ventaja es su accesibilidad y la posibilidad de editar su trabajo para adaptarlo a su red de trabajo específica. El programa está diseñado para funcionar tanto en organizaciones pequeñas como grandes. También es importante la posibilidad de editar sus propias reglas únicas en función de los requisitos de seguridad de una organización en particular (por ejemplo, la prohibición del acceso del personal a las redes sociales).

Las desventajas incluyen los inconvenientes de configuración e instalación en algunos sistemas operativos (por ejemplo, Windows), la falta de una descripción única, suficientemente completa y detallada de la configuración y el desarrollo de su propio conjunto de reglas.

Además, es muy difícil eliminar las falsas alarmas, ya que diferentes empresas a menudo tienen restricciones diferentes y es necesario ajustar bastante las reglas. Muchos modos para iniciar una aplicación utilizando teclas que distinguen entre mayúsculas y minúsculas son muy difíciles de recordar y pueden generar resultados erróneos.

La tarea principal de este trabajo es comprender las características funcionales de IDS Snort y comprobar el funcionamiento de la aplicación realizando varios tipos de ataques a la red. Descubra si existen IDS similares en un formato más conveniente. Cómo interactúa Snort con las bases de datos. Desarrolle varias reglas únicas y pruébelas para comprobar su funcionalidad.

Instalación y configuración de IDS Snort

Snort: Instalación en Windows XP

Al instalar Snort en un sistema operativo Windows, puede encontrar algunas dificultades. Por tanto, este trabajo se centra en una parte bastante detallada de las opciones de instalación y configuración. Primero debe descargar los programas necesarios en su computadora de trabajo.

Reglas para Snort.

Todo lo anterior se descarga desde los sitios web oficiales de estas aplicaciones.

Winpcap es una aplicación que captura y filtra paquetes a nivel de kernel. Esto es análogo al controlador libpcap integrado de Unix. La instalación no causará ningún inconveniente particular, se inicia a través de un instalador normal. Después de esto, debe descargar el IDS desde el sitio web oficial, después de lo cual descargamos el archivo más reciente con las reglas desde allí. El siguiente paso será copiar completamente todas las carpetas que estaban en el archivo con las reglas al directorio raíz de la aplicación, reemplazando completamente el contenido cuando sea necesario. Luego, para que el programa funcione correctamente, deberá realizar cambios importantes en el archivo de configuración.

var RULE_PATH c: reglas de snort

var SO_RULE_PATH c:snortso_rules

var PREPROC_RULE_PATH c: snortpreproc_rules

directorio del preprocesador dinámico c:snortlibsnort_preprocesador dinámico

motor dinámico c:snortlibsnort_dynamicenginesf_engine.dll

#directorio de detección dinámica /usr/local/lib/snort_dynamicrules

Encontramos líneas similares en el archivo de configuración y las reemplazamos con las proporcionadas anteriormente. Después de eso, intentamos probar la aplicación. Inicie la línea de comando y vaya al directorio de la aplicación en la sección "bin". Ingrese el comando "snort -W"

Arroz. 1.1.

Con este comando comprobamos la funcionalidad de la aplicación para visualizar nuestras interfaces. Tras asegurarnos de que hay más de uno, seleccionamos el que está conectado a la red de trabajo para comenzar a interceptar paquetes y monitorizar el funcionamiento del IDS.

C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -A consola

Veamos ahora el comando que ingresamos. "- i 3" significa que miraremos la interfaz que tiene ID= 3 en la lista de nuestras interfaces. Luego especificamos la ruta al archivo de configuración y la ruta al directorio donde se debe escribir el "registro" de los paquetes interceptados. "-A console" significa que los paquetes de alarma se detectarán en nuestra consola. Si surge algún problema durante el procesamiento, lo eliminamos a medida que se identifica. Snort indica la cadena y el tipo de error de compilación. Si todo funcionó, no veremos nada hasta que se active una de las reglas en ejecución. Para utilizar uno de ellos, intentemos simular un ataque a la red y lanzar un paquete sospechoso a través de nuestra red local. Para hacer esto, por ejemplo, abra la línea de comando e ingrese lo siguiente: "Ping 192.168.1.16". Snort interceptará un intento de escuchar el host en 192.168.1.1624 y mostrará un mensaje e información sobre la actividad sospechosa en la red. Desafortunadamente, estos sistemas IDS tienen un serio inconveniente: los falsos positivos. En este sentido, para que Snort sea útil y no engañoso es necesario definir de forma suficiente y clara las reglas y diferenciar las redes que se visualizan para evitar estos falsos positivos.

Arroz. 1.2.

Ahora en la consola donde se ejecuta nuestro IDS, aparecerán mensajes sobre un paquete sospechoso que se asemeja a "escuchando". Esta regla demostró que Snort era completamente funcional. Consideremos sus modos de funcionamiento y la sintaxis de las reglas para seguir trabajando.

Cada día se transmiten miles de millones de paquetes de datos a través de redes corporativas. Algunos de ellos son peligrosos; Los autores de estos paquetes tomaron medidas especiales para eludir los cortafuegos y atravesar las líneas de defensa a lo largo del perímetro de las redes, interrumpiendo el funcionamiento de todos los sistemas que encontraron en el camino. Los efectos destructivos de los ataques empaquetados como Code Red, Nimda, SQL Slammer y MSBlaster son bien conocidos. Todo este malware explota protocolos confiables (como HTTP) o tráfico de red de sistemas Microsoft. Estos protocolos no pueden simplemente tomarse y bloquearse, por lo que los administradores suelen intentar capturar el tráfico peligroso lo más rápido posible utilizando sistemas de detección de acceso no autorizado, el Sistema de Detección de Intrusiones en la Red (NIDS), para poder responder a la amenaza a tiempo.

Hay varios NIDS disponibles comercialmente, que varían en capacidades y costos. En general, todos funcionan con éxito. Todos los paquetes comerciales que he encontrado han sido excelentes. Pero, ¿qué deberían hacer las organizaciones con presupuestos modestos si la detección de intrusiones no es una prioridad? Para tales casos, existe Snort, un potente paquete NIDS gratuito. A diferencia de muchos paquetes de código abierto, es compatible con Windows.

Conociendo a Snort

El desarrollador original de Snort, Martin Resch, puso el programa a disposición de la comunidad abierta bajo los términos de la Licencia Pública General GNU (GPL). La historia de este paquete comenzó en 1998 y desde entonces ha demostrado su fiabilidad más de una vez. Gracias a las contribuciones de los miembros de la comunidad abierta y administradores de redes de todo el mundo, Snort se ha convertido en un producto muy poderoso. La versión actual proporciona análisis del tráfico de red en tiempo real y registro de tráfico IP a velocidades Fast Ethernet y Gigabit Ethernet.

Michael Davis portó Snort 1.7 a la plataforma Win32, poniéndolo a disposición de la comunidad de Windows. Luego, Chris Reid asumió la tarea de compilar nuevas versiones de Snort en ejecutables listos para usar que pudieran implementarse fácilmente en un entorno Windows.

Los administradores que no estén familiarizados con NIDS pueden considerar la herramienta como un tipo especial de analizador de red. NIDS examina cada paquete que pasa a través de la interfaz, buscando patrones conocidos en la carga útil donde normalmente se oculta el código malicioso. Con Snort, puede realizar operaciones de búsqueda y coincidencia en cada paquete que pasa por la red de una organización y detectar muchos tipos de ataques y tráfico ilegítimo en tiempo real.

Requisitos de resoplido

Para ejecutar Snort, necesita una computadora con Windows equipada con al menos un adaptador de red. Es mejor tener dos adaptadores de red, uno conectado a la red controlada y otro a la red de producción; este último envía los informes. Snort es compatible no sólo con Windows 2000 Server y versiones posteriores, sino también con Windows XP Professional Edition, XP Home Edition y Windows 2000 Professional. No se requiere licencia de servidor. Conecto mi computadora portátil XP Pro a muchas redes de clientes todos los días y normalmente ejecuto Snort como servicio. De esta manera, el programa se ejecuta en segundo plano, detectando cualquier ataque a mi sistema proveniente de esa red cliente. Utilizo Snort como sensor portátil: el programa actúa como NIDS para cualquier puerto al que esté conectada la computadora portátil.

En redes pequeñas, Snort se puede implementar en un servidor básico. No se necesita una máquina dedicada de alta potencia para detectar intentos de acceso no autorizados. Por ejemplo, he oído hablar de nodos Snort basados ​​en FreeBSD con procesadores de 1 GHz y 1 GB de RAM que sirven con éxito redes con 15.000 usuarios y múltiples enlaces WAN T-3. Gracias a la eficiencia del código fuente de Snort, no se requiere una máquina muy potente para ejecutar el programa.

¿Cuál es el mejor lugar de la red para ubicar NIDS? La primera idea es colocar el dispositivo delante del firewall. Aquí es donde NIDS detectará la mayoría de los ataques, pero el número de falsos positivos también será mayor y el administrador recibirá muchas advertencias inútiles sobre el peligro. No deberías preocuparte por las amenazas detenidas por un firewall; es más importante detectar los programas peligrosos que se esconden detrás de él. Por lo tanto, es mejor colocar Snort detrás del firewall de todos modos.

Sin embargo, si los usuarios se conectan a la red a través de una conexión VPN (a través de Internet o un enlace inalámbrico), tiene sentido colocar el NIDS más detrás del firewall, como detrás de un servidor o concentrador VPN, donde los paquetes se descifran a medida que salen de la red. Túnel VPN. De lo contrario, NIDS no podrá contrarrestar el malware incrustado en el tráfico VPN, ya que los paquetes analizados estarán cifrados. Lo mismo se aplica al tráfico SMTP cifrado, a los archivos .zip cifrados adjuntos a mensajes de correo electrónico y a otros tipos de datos cifrados.

Idealmente, NIDS debería ubicarse lo suficientemente detrás de cualquier componente que cifre el tráfico y lo suficientemente cerca del perímetro de la red para analizar el tráfico en tantos segmentos y subredes como sea posible. En un entorno de red conmutada, un conmutador normalmente requiere un puerto de diagnóstico para recopilar todos los paquetes que pasan a través de la red. Como resultado, NIDS tiene un cómodo acceso a todo el tráfico de la red.

Ahora que está familiarizado con Snort y conoce sus requisitos de alojamiento, puede instalar y probar NIDS. Para obtener más información sobre Snort, consulte los documentos vinculados en la barra lateral "Recursos web". Este proceso consta de siete etapas:

1. Instalación de WinPcap
2. Instalando Snort
3. Bufido de prueba
4. Configurando Snort
5. Establecer reglas
6. Configurar alertas y registros
7. Ejecutar como servicio

Etapa 1. Instalación de WinPcap

Snort es esencialmente un analizador de red en modo promiscuo, por lo que requiere soporte de controlador. Este soporte lo proporciona WinPcap. Loris Digioanni creó WinPcap trasladando el controlador de captura de paquetes libpcap, ampliamente utilizado entre los usuarios de Unix, al entorno Windows. WinPcap incluye un filtro de paquetes a nivel de kernel, una DLL de bajo nivel (packet.dll) y una biblioteca de alto nivel independiente del sistema (wpcap.dll, basada en libpcap 0.6.2).

WinPcap se puede descargar desde http://winpcap.polito.it. El controlador es compatible con Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me y Windows 9x. WinPcap también admite el rastreador de paquetes Ethereal de código abierto, que se puede obtener en . Usando Ethereal, puedes verificar que Snort esté instalado correctamente.

Después de descargar el archivo de instalación de WinPcap de la red, sólo necesita pasar por varias pantallas del procedimiento de instalación. El mayor esfuerzo por parte del usuario lo requiere la pantalla donde debe aceptar los términos de la licencia.

Paso 2: instalar Snort

El siguiente paso es instalar Snort. La última versión se puede encontrar en los sitios web de CodeCraft Consultants ( http://www.codecraftconsultants.com/snort.aspx) o Snort.org ( http://www.snort.org). Recomiendo descargar Snort de CodeCraft Consultants, ya que puede obtener un ejecutable autoextraíble desde ese sitio. El programa incluso guía al usuario a través de los pasos básicos para instalar Snort en una computadora. En la preparación de este artículo se utilizó la última versión de Snort 2.1.1, compilación 18. Desde entonces se han publicado versiones actualizadas.

Cuando ejecuta el programa de instalación, en el primer cuadro de diálogo debe seleccionar el modo de configuración de la base de datos para almacenar los resultados. Si está utilizando MySQL o una base de datos compatible con ODBC, puede aceptar el modo predeterminado (Figura 1). Pero si va a almacenar protocolos en una base de datos Microsoft SQL Server u Oracle, debe seleccionar el modo apropiado y asegurarse de que el programa cliente requerido esté disponible en la máquina. El modo predeterminado se utilizó en la preparación de este artículo.

El siguiente paso es identificar los componentes de Snort que desea instalar. El conjunto estándar (Pantalla 2) está bien, por lo que recomiendo aceptarlo y pulsar Siguiente. En el cuadro de diálogo Elegir ubicación de instalación, debe especificar el directorio donde se implementará Snort. Después de ingresar el nombre del directorio, haga clic en Siguiente para completar el proceso de instalación.

Pantalla 2: Selección de componentes de instalación

Paso 3: prueba tu instalación de Snort

Después de completar el proceso de instalación, es necesario probar Snort. De forma predeterminada, al ejecutable de Snort se le deben indicar dos ubicaciones: dónde escribir registros y dónde encontrar el archivo de configuración (snort.conf). Esta información la proporciona el usuario cuando ejecuta Snort desde la línea de comando usando los modificadores -l y -c, respectivamente. Por ejemplo, el comando

Snort -l F:snortlog -c F:snortetcsnort.conf -A consola

le dice al programa que los registros deben escribirse en el directorio F:snortlog y que snort.conf está ubicado en el directorio F:snortetc. El modificador -A especifica el método para transmitir advertencias generadas por el programa. En este ejemplo, se muestran advertencias en la pantalla de la consola para que el administrador pueda verificar que Snort esté funcionando correctamente. Tenga en cuenta que en el artículo el comando está impreso en varias líneas, pero en la ventana de comandos debe ingresarse en una línea. Lo mismo se aplica a los demás comandos multilínea de este artículo. Muchos modificadores de línea de comandos de Snort distinguen entre mayúsculas y minúsculas, por lo que debe ingresar los comandos exactamente como se escriben.

Si el sistema tiene múltiples interfaces de red, entonces, de forma predeterminada, Snort escucha en la primera interfaz que descubre. Si se desconoce el orden de las interfaces de red en una máquina, puede ejecutar el comando Snort con un solo modificador -W. Snort enumera los nombres y números de las interfaces de red en el orden en que el programa las detecta. Para forzar a Snort a usar una interfaz de red específica, debe ingresar el modificador -i con el número de interfaz al iniciar Snort. Después de ejecutar Snort, la pantalla mostrará información similar a la que se muestra en pantalla 3 .

Una vez que ejecute Snort, puede probar su sensibilidad enviando tráfico especialmente preparado a NIDS. Una de las formas más sencillas de activar una advertencia es llamar al intérprete de comandos (cmd.exe) en la máquina remota como parte de una solicitud de URL HTTP (una técnica común para los gusanos Code Red y Nimda). Para simular esta fase del ataque, acceda a cualquier URL y agregue los caracteres /cmd.exe al final de la solicitud. Por ejemplo, en respuesta a una llamada a http://www.a-website-that-I-can-trust.com/cmd.exe, Snort debería mostrar una advertencia en la ventana de comandos similar en apariencia a las tres primeras advertencias. en pantalla 4. Estos mensajes se escriben en el registro F:snortlog.

Los sitios web de destino para las pruebas deben seleccionarse con cuidado. Desde un punto de vista técnico, la mayoría de los administradores de sitios web considerarían tales acciones como un intento de piratería. Este intento no tendrá éxito (a menos que haya errores graves en la configuración del servidor), pero recomiendo probar solo con su propio servidor o un servidor confiable cuyos administradores estén al tanto de las pruebas.

Si no es posible realizar la prueba, otra forma de probar Snort es enviar una solicitud de eco inusualmente larga a través de la red a un servidor o computadora con Snort ejecutándose. Por ejemplo, puedes usar el comando Ping.

Ping -l 32767 dirección_ip

donde dirección_ip es la dirección IP del servidor de destino o computadora Snort. Este comando debe enviar un paquete muy largo (longitud exacta: 32 KB), lo cual es claramente inusual para un comando Ping. Snort debería detectar este paquete, como se ve en las ocho advertencias inferiores en pantalla 4 .

Si recibe advertencias, puede comenzar a configurar Snort para sus condiciones específicas. De lo contrario, deberá volver al procedimiento de instalación y comprobar si se omitió algún paso.

Paso 4: Configurar Snort

Los datos de configuración básica de Snort se almacenan en el archivo snort.conf, que de forma predeterminada se encuentra en el directorio %systemdrive%snortetc. El archivo se puede dejar en esta carpeta o mover a otra si especifica la ruta al programa en la línea de comando.

Una descripción detallada de todos los parámetros presentes en snort.conf podría llenar un número entero de revista, ya que Snort es un programa increíblemente poderoso. Por ahora, consideraremos sólo sus parámetros principales.

Para distinguir el tráfico entrante del tráfico saliente, debe indicarle a Snort los hosts y las direcciones IP de su red empresarial. Para ingresar esta información, la variable HOME_NET debe estar configurada en el archivo snort.conf. Deberías encontrar la línea

Var HOME_NET cualquiera

y reemplácelo con un rango de direcciones IP. Puede especificar un rango, por ejemplo

Var. HOME_NET 192.168.0.1/24

o varios rangos. Al especificar varios rangos, debe encerrar el conjunto de rangos entre corchetes y separar cada rango con una coma. No puede ingresar espacios entre rangos de direcciones IP. Por ejemplo, la línea

Var. HOME_NET

le dice a Snort que las subredes 10.0.1.0/24, 10.0.2.0/24 y 10.0.3.0/24 pertenecen a la red empresarial. De forma predeterminada, Snort trata todas las demás direcciones como externas. Puede especificar explícitamente qué redes deben considerarse externas configurando la variable EXTERNAL_NET. En el archivo snort.config necesitas encontrar la línea

Var EXTERNAL_NET cualquiera

y reemplácela con la dirección IP de la red que debe considerarse externa. Sin embargo, para empezar, generalmente es mejor dejar la variable EXTERNAL_NET configurada en cualquiera.

Después de dedicar un tiempo, podrá identificar los tipos de servidores que tiene su empresa y sus ubicaciones. Esta información está contenida en las variables DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS y TELNET_SERVERS en las siguientes líneas del archivo snort.conf:

Var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var TELNET_SERVERS $HOME_NET var SNMP_SERVERS $HOME_NET

De forma predeterminada, las seis variables del servidor están configuradas en $HOME_NET; esto significa que Snort monitoreará todo tipo de ataques en todos los sistemas en el rango HOME_NET. Esta configuración es bastante aceptable para una red pequeña cuyos administradores toleran una cierta cantidad de alertas falsas. Pero para monitorear tráfico pesado, es aconsejable ajustar Snort para verificar solo una parte de las firmas de ciertos nodos. No tiene sentido proteger un servidor web que ejecuta sólo Microsoft IIS contra ataques de desbordamiento del búfer SQL. Para definir una clase de host específica, debe reemplazar $HOME_NET con un rango de direcciones IP del servidor de destino según el formato utilizado para la variable HOME_NET. Por ejemplo, para la variable DNS_SERVERS, en lugar de $HOME_NET, debes sustituir el rango de direcciones IP de los servidores DNS.

La precisión del ajuste se puede mejorar identificando los puertos utilizados por los servidores para aplicaciones específicas. Por ejemplo, si los servidores web usan un puerto especial 8080 para el tráfico HTTP en lugar del puerto 80 (este puerto generalmente se usa para servidores web y navegadores), puede configurar Snort para monitorear el puerto 8080 cambiando la variable HTTP_PORTS. En snort.conf deberías encontrar la línea

Var HTTP_PORTS 80

y reemplazarlo con la línea

Var HTTP_PORTS 8080

De manera similar, puede cambiar los puertos para Oracle (definidos por la variable ORACLE_PORTS) y otras aplicaciones. Al igual que la variable HTTP_PORTS, ORACLE_PORTS tiene como valor predeterminado 80. Si el servidor usa el puerto 1521, la cadena se vería así

Var ORACLE_PORTS 1521

Por lo tanto, hay muchas opciones que se pueden configurar en el archivo snort.conf. Debe revisar snort.conf para encontrar las configuraciones más importantes para su entorno específico y configurarlas en consecuencia.

Etapa 5. Estableciendo las reglas

Una de las líneas en snort.conf contiene la variable RULE_PATH. Un ejemplo de esta línea:

Var RULE_PATH ../reglas

La opción ../rules especifica que las reglas (es decir, las firmas) se pueden encontrar en el directorio de reglas, que está al mismo nivel que los binarios de Snort en la estructura del directorio. Entonces, por ejemplo, si instala Snort en la carpeta genérica F:snort, los binarios de Snort están en F:snortin y las reglas están en F:snort ules. Puede cambiar la variable RULE_PATH si lo desea, pero la opción predeterminada está bien.

Las reglas son la base de Snort. Son secuencias de bytes, firmas de ataques y otro tipo de datos que, al ser detectados, generan una alerta. Snort tiene más de 1.500 firmas ya preparadas.

¿Cómo es la regla? La regla para cmd.exe que fue violada durante la prueba de Snort se ve así: alerta tcp $EXTERNAL_NET cualquiera -> $HTTP_SERVERS $HTTP_PORTS (msg:"Acceso WEB-IIS cmd.exe"; flujo:al_servidor, establecido; contenido: " cmd.exe"; nocase; tipo de clase: ataque-aplicación-web; sid:1002; rev:5;). Veamos los componentes principales de la regla. El enlace $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS especifica que solo se debe analizar el tráfico que ingresa a la red desde el exterior (según lo definido por la variable EXTERNAL_NET). El parámetro contenido: especifica la búsqueda de una secuencia de caracteres cmd.exe en el flujo de datos. Cuando Snort detecta dicha secuencia, genera una advertencia especificada por el parámetro msg:.

Como puede ver en el ejemplo de cmd.exe, las reglas son en su mayoría simples. Puedes crear tus propias reglas para cualquier tipo de tráfico. Por ejemplo, si desea detectar intentos no autorizados de acceder de forma remota a un directorio en una máquina a través del intérprete de comandos, puede buscar el volumen en la unidad o el número de serie del volumen en puertos donde rara vez se encuentran, como los puertos de salida. Gracias al enfoque flexible para asignar reglas, los administradores cuentan con amplias opciones de configuración para Snort.

Las 1.500 reglas de Snort se almacenan en diferentes archivos según los tipos de datos que se analizan. Por ejemplo, la regla para cmd.exe está en el archivo web-iis.rules. Si la empresa no utiliza IIS, entonces el programa no necesita detectar ataques de IIS. El archivo web-iis.rules se puede eliminar fácilmente de la configuración por completo buscando y comentando la línea

Incluir $RULE_PATH/web-iis.rules

en el archivo snort.conf. Para convertir una línea en un comentario, precedala con un símbolo (#):

# incluir $RULE_PATH/web-iis.rules

De forma predeterminada, algunos tipos de archivos de reglas (por ejemplo, icmp-info.rules, chat.rules) están representados por comentarios en snort.conf. La configuración predeterminada de reglas en snort.conf es bastante buena. Después de activar reglas bloqueadas, el programa suele generar muchas advertencias innecesarias.

Algunos archivos contienen varias reglas útiles, pero algunas reglas generan demasiadas advertencias innecesarias. Para deshabilitar una regla en particular, debe marcar la línea correspondiente en el archivo de reglas como comentario. En el futuro, Snort ignorará esta regla cuando trabaje con el archivo.

Cuando aparecen nuevas fuentes de amenazas, se debe actualizar el archivo de reglas. El mejor recurso para nuevas reglas es Snort.org. Este sitio web no tiene un servicio de actualización automática, por lo que el administrador tendrá que consultarlo periódicamente para obtener actualizaciones cuando surja una nueva amenaza.

Paso 6: configurar alertas y registros

Como se señaló, Snort proporciona registro de información en bases de datos compatibles con MySQL, SQL Server, Oracle y ODBC. Simplemente seleccione el tipo de base de datos apropiado durante el proceso de instalación de Snort. Para no aumentar excesivamente la extensión del artículo, consideraremos los modos de registro estándar utilizando un archivo de texto y la función de escribir mensajes en el registro de eventos de Windows.

Cuando se ejecuta NIDS usando el comando Snort, el interruptor de consola -A hace que se muestren advertencias en la pantalla. Para reenviar mensajes a un archivo de texto, debe reemplazar este modificador con -A rápido o -A completo, según su modo de registro preferido. El parámetro completo muestra una descripción detallada de la amenaza en varias líneas de un archivo de texto llamado alerts.ids en el directorio, cuya ruta se especifica mediante el parámetro -l. Este tipo de registro proporciona detalles completos, pero puede ser difícil de entender si se registran muchos eventos en la red. En redes tan "ruidosas", se recomienda utilizar el modo rápido para agregar entradas de una línea a alerts.ids que contienen las principales características del tráfico sospechoso. En mi opinión, trabajar con un archivo de texto en modo rápido es más fácil que en modo completo.

La versión actual de Snort proporciona acceso al registro de eventos de Windows. Muchas organizaciones ya han comprado herramientas centralizadas de recopilación de datos, registro y monitoreo de eventos, y esta característica sería una gran adición al entorno de Windows.

Para escribir advertencias en el registro de eventos de la aplicación del sistema en el que se ejecuta Snort, use el modificador -E en lugar del modificador -A (los parámetros son opcionales). La Figura 5 muestra cómo se ve un evento Snort (en este caso, un intento de acceder a cmd.exe) publicado en el registro de la aplicación. El evento de Windows proporciona la misma información detallada que la pantalla de la consola.

NIDS es inútil si el administrador mira los registros de eventos (o registros de texto) una vez por semana. Si algo sucede en la red, el administrador debe saberlo inmediatamente. Un sistema centralizado de monitoreo y procesamiento de eventos puede enviar mensajes por correo electrónico, buscapersonas y otros dispositivos de comunicación. Pero si no existe tal sistema, esto no es motivo de preocupación. NETIKUS.NET ofrece un paquete EventSentry Light gratuito que se puede utilizar para enviar alertas.

EventSentry Light es una versión de prueba de EventSentry y se puede descargar desde http://www.netikus.net/products_downloads.html. Con EventSentry Light, puede configurar su sistema para monitorear los registros de eventos y enviar automáticamente mensajes de correo electrónico detallados sobre cualquier evento de Snort registrado en el registro. En pantalla 6 muestra un mensaje de correo electrónico sobre intentos de atacar cmd.exe. Recibí este mensaje de EventSentry Light unos segundos después de que se produjera el ataque.

Como se mencionó anteriormente, Snort generalmente genera una tonelada de mensajes innecesarios que llenan rápidamente los registros de eventos. Esto es algo a tener en cuenta al elegir tamaños de archivos para registros de eventos y cómo rotarlos. Para evitar que EventSentry Light inunde su bandeja de entrada con mensajes sobre eventos menores, puede crear un filtro para buscar cadenas clave. Por ejemplo, organicé un filtro de búsqueda para una cadena en el texto de los mensajes.

Paso 7: ejecutar como servicio

Una vez que haya terminado, puede ejecutar Snort como un servicio en lugar de tener que iniciar sesión en su computadora de escritorio cada vez que desee ejecutar el programa. Si ejecuta Snort con las opciones /SERVICE y /INSTALL (junto con otras opciones de línea de comando), Snort está configurado para ejecutarse como un servicio de Windows y se inicia automáticamente con Windows sin intervención del usuario.

Siguiente nivel: módulos de expansión

Snort es una aplicación con todas las funciones. Sin embargo, en algunos casos es necesario ampliar el programa. Por ejemplo, si se implementan varios NIDS en diferentes partes de la red, entonces es conveniente administrar Snort desde la interfaz gráfica. Estas capacidades se implementan en los módulos de extensión IDScenter de Engage Security e IDS Policy Manager de Activeworx. En ocasiones es necesario analizar la información contenida en los mensajes. Puede ver y analizar datos almacenados utilizando el módulo Analysis Console for Intrusion Databases (ACID) desarrollado en la Universidad Carnegie Mellon.

Protección confiable

Snort es un programa con todas las funciones que no perjudicará el presupuesto de la empresa. Al combinar Snort con una poderosa aplicación de monitoreo de eventos como EventSentry Light, puede prevenir de manera proactiva ataques contra su red.

MINISTERIO DE EDUCACIÓN Y CIENCIA DE LA FEDERACIÓN DE RUSIA

Institución educativa estatal de educación profesional superior.

"UNIVERSIDAD ESTATAL DE SAN PETERSBURGO
INGENIERÍA DE INSTRUMENTOS AEROESPACIALES"

TRABAJO DEL CURSO (PROYECTO)
PROTEGIDO CON CALIFICACIÓN EXCELENTE

SUPERVISOR

TRABAJO COMPLETADO)

San Petersburgo 2011

1..¿Qué es Snort?. 2

2. Modo rastreador: 2

3. Modo de registro de paquetes. 6

4. Modo de detección de intrusiones en la red. 6

1. ¿Qué es Snort?

Snort es un sistema ligero de detección de intrusos. A Snort se le suele llamar NIDS / descifrar, traducir / "ligero" porque está diseñado principalmente para redes pequeñas. El programa puede realizar análisis de protocolos y puede usarse para detectar una variedad de ataques.

Snort utiliza "reglas" (especificadas en archivos de "reglas") para saber qué tráfico permitir y cuál bloquear. La herramienta es flexible y le permite escribir nuevas reglas y seguirlas.

Snort puede funcionar en 3 modos principales:

· Modo rastreador: le permite simplemente capturar paquetes de la red y mostrarlos en la pantalla (generalmente la consola)

· Modo de registro de paquetes: le permite guardar paquetes en su disco duro

· El modo Sistema de detección de intrusiones (NIDS) es la configuración más sofisticada y personalizable que le permite analizar el tráfico de red en función de un conjunto de reglas definidas por el usuario.

2. Modo rastreador:

En el modo de rastreo de paquetes, Snort simplemente lee los paquetes provenientes de la red y los muestra en la pantalla. Para mostrar los encabezados de los paquetes TCP/IP, debe ejecutar:

resoplar –v

Este comando muestra los encabezados de los paquetes IP y TCP/UDP/ICMP. Puede ver desde dónde se enviaron los paquetes, dónde y a cuántas /direcciones/. Las figuras/dibujos deben estar numerados como referencia. No hay ningún enlace, eso significa que la imagen no es necesaria / está claro que hay dos direcciones de salida. / ¿Desde dónde puedes verla? Descifre los formatos de las entradas en la figura o al menos consulte el número de línea /

Para comprender cuáles son estas direcciones, simplemente ejecute el comando

información del sistema

De la imagen / ya - imágenes. y no dibujos? ¡Se debe mantener la uniformidad dentro del documento! ¿O es otra cosa?/ Queda claro cuáles son estas direcciones salientes. /bueno, enumérelos, o al menos indíquelos. que sus números están entre corchetes/

Para poder ver los datos contenidos en los paquetes deberás ingresar:

bufido-vd

https://pandia.ru/text/78/320/images/image004_112.jpg" alt=" detallado_output.jpg" width="589" height="338">!}

Los interruptores se pueden dar en cualquier forma, por ejemplo: "snort - vde", "snort - d - ev" y "snort - e - v -d".

Snort continuará recopilando información hasta que sea interrumpido. Para completar la captura de paquetes, debe presionar Ctrl-C. Después de presionar Ctrl-C, se mostrará un informe de los paquetes capturados. A continuación se muestra el informe después de ejecutar Snort durante aproximadamente un minuto.

En la instantánea puede ver que la mayoría de los paquetes analizados son paquetes TCP/IP. También se capturaron paquetes UDP.

3. Modo de registro de paquetes

El modo de registro de paquetes le permite escribir un flujo de información en el disco. Esto es útil cuando se realizan análisis durante un período de tiempo o se verifican cambios en la configuración y las políticas de seguridad.
Debe crear y especificar un directorio para los registros y Snort cambiará automáticamente al modo de registro de paquetes.

Ejemplo: crear un directorio registros y correr:

resoplido - dev - l../log

Como resultado de la operación /dónde, dónde buscarlo, ¿cómo especificar la ubicación deseada?/ el archivo snort. log.. Los números al final de los nombres de archivos nuevos son marcas de tiempo, lo que ayuda a evitar conflictos al crear archivos. /es deseable un ejemplo de un archivo de registro/

4. Modo de detección de intrusiones en la red

El tercer modo de Snort es el modo de detección de intrusiones en la red (NIDS).

En su forma básica, una regla de Snort /¿dónde se almacenan?/ tiene dos partes: un encabezado y parámetros. A continuación se muestra un ejemplo de una regla.

alerta tcp cualquiera cualquiera -> cualquiera cualquiera (contenido: "www."; mensaje: "Alguien está visitando youtube ahora"; sid:1000002; rev:1)

¿Se puede representar el modelo de estructura de reglas?, ¿está codificado o se puede cambiar? Esperamos que los elementos entre corchetes sean opcionales. conocido. ¿Pero existen separadores especiales entre ellos? / según el siguiente esquema:

<действие_правила> <протокол> <порт> <оператор_направления>

<порт>([meta_datos] [paquete_contenido_datos]

[data_in_header] [action_after_detection])

Las acciones de reglas se dividen en las siguientes categorías:

1. alerta - Crear una alerta utilizando el método seleccionado y reportar la información al sistema de registro.

2. registro - Utilice un sistema de registro para registrar la información del paquete.

3. aprobar - Ignora el paquete.

4. activar - Utilice otra regla dinámica.

5. dinámica - Después de ejecutar la regla activa, se activa la regla con el procedimiento de registro.

6. gota - Descartar el paquete usando un firewall de software e informar la información al sistema de registro

7. caer - Descarte el paquete utilizando un software de firewall y no utilice el sistema de registro.

8. rechazar - Usando un firewall, descarte el paquete si el protocolo es TCP, o escriba un mensaje en el archivo de registro: el puerto ICMP no está disponible si el paquete llega a través del protocolo UDP

La segunda parte de la regla Snort son las opciones que especifican detalles adicionales del tráfico detectado. Puede buscar por un conjunto de campos en el encabezado TCP/ o por la carga útil del paquete. Cada opción debe ir seguida de comillas y el valor que se busca. Puede agregar múltiples opciones separándolas con un punto y coma. Las siguientes son opciones válidas.

sid – una etiqueta única que identifica la regla. Esta opción debe usarse con la opción Rdo .

<100 зарезервировано для дальнейшего использования

100-999,999 reglas ya reservadas

>=1.000.000 reglas definidas por el usuario

Rdo- valor de la versión de la regla. Usando el intérprete de reglas rev

Snort determina la versión de la regla escrita.

Puedes ejecutar Snort en modo IDS con el comando:

snort - c "D:\Program Files\Snort\etc\snort. conf" - l " D:\Program Files\Snort\log" - Una consola - i 1

llave -Con significa que el modo IDS está habilitado

llave – yo habilita el modo de grabación al disco duro indicando la ruta al archivo

llave – A muestra que todas las advertencias serán duplicadas por la salida de la consola

llave – i Indica el número de índice de la interfaz que nos interesa.

Para conocer las interfaces compatibles, debe ejecutar el comando:

bufido – W.

Contenido del archivo bufido. confinar

Contenido del archivo *****les:

En el archivo resopló. conf puedes conectar reglas usando la palabra clave incluir .

Resultado del comando:

Se puede observar que Snort detectó un intento de llegar a un sitio “peligroso”.

No hay información sobre la fuente de donde se tomó la distribución ni sobre el sistema operativo en el que se realizó la investigación.

En general el trabajo es muy interesante. /