4.4 स्नॉर्ट और आर्काइव डेटाबेस में टेबल बनाना

हम स्नॉर्ट और आर्काइव डेटाबेस को लेआउट करने के लिए स्नॉर्ट स्कीमा का उपयोग करेंगे।

# cd /usr/share/doc/snort-mysql # zcat create_mysql.gz | mysql -u -एच लोकलहोस्ट -पी स्नॉर्ट # zcat create_mysql.gz | mysql -u -एच लोकलहोस्ट -पी आर्काइव

4.5 डेटाबेस और नव निर्मित तालिकाओं के निर्माण की पुष्टि।

MySQL सर्वर में लॉग इन करें और हमारे द्वारा अभी बनाए गए डेटाबेस और उन डेटाबेस में होस्ट की गई तालिकाओं की जाँच करें। यदि सब कुछ सफलतापूर्वक बनाया गया था, तो आपको MySQL डेटाबेस में चार (4) डेटाबेस (mysql, टेस्ट, स्नॉर्ट और आर्काइव) और प्रत्येक डेटाबेस में लगभग 16 तालिकाएँ दिखाई देंगी।

# mysql -u root -p mysql> डेटाबेस दिखाएं; mysql> खर्राटे का उपयोग करें; MySQL> टेबल दिखाएं; MySQL> संग्रह का उपयोग करें; MySQL> टेबल दिखाएं; MySQL> बाहर निकलें

4.6 खर्राटे का परीक्षण

टर्मिनल मोड में, कमांड टाइप करें: # snort -c /etc/snort/snort.conf

यदि सब कुछ ठीक रहा, तो आपको एएससीआई कोड में प्रतिक्रिया देखनी चाहिए।

परीक्षण समाप्त करने के लिए Ctrl + C दबाएँ

5. Apache2 को कॉन्फ़िगर करना

Apache2 पैकेज आपके कंप्यूटर पर पहले से ही इंस्टॉल होना चाहिए।

अपने पसंदीदा टेक्स्ट एडिटर का उपयोग करके, /var/www/ फ़ोल्डर में test.php नामक एक फ़ाइल बनाएं।

# vim /var/www/test.php

इसमें लिखें:

अपने परिवर्तन सहेजें और इस फ़ाइल को बंद करें।

/etc/php5/apache2/php.ini फ़ाइल संपादित करें

# vim /etc/php5/apache2/php.ini

"डायनामिक एक्सटेंशन्स" पंक्ति के अंतर्गत, निम्नलिखित जोड़ें:

एक्सटेंशन=mysql.so एक्सटेंशन=gd.so

Apache2 को पुनरारंभ करें।

# /etc/init.d/apache2 पुनरारंभ करें

अपने कार्य कंप्यूटर का आईपी पता प्राप्त करें.

# ifconfig -a

अपना वेब ब्राउज़र खोलें और http://YOUR_IP_ADDRESS/test.php पर जाएँ।

यदि सब कुछ ठीक रहा, तो PHP जानकारी प्रदर्शित की जाएगी।

6. फ़ोल्डरों को कॉन्फ़िगर करना

ADOdb को /var/www फ़ोल्डर में ले जाएँ।

# mv /usr/share/php/adodb /var/www/

www में वेब नाम का एक फोल्डर बनाएं और ACIDBASE को उसमें ले जाएं।

# mkdir /var/www/web # mv /usr/share/acidbase /var/www/web/

इसे स्थापित करने के लिए एसिडबेस डेटाबेस फ़ोल्डर में अस्थायी रूप से लिखने की अनुमति दें।

# chmod 777 /var/www/web/acidbase

# सीडी /var/www/web/acidbase # mv बेस_conf.php बेस_conf.old

ACIDBASE में काम करने के लिए, कमांड चलाएँ:

#नाशपाती Image_Color स्थापित करें

7. स्नॉर्ट और आर्काइव डेटाबेस के लिए ACIDBASE स्थापित करना

7.1 वेब ब्राउज़र के माध्यम से स्नॉर्ट डेटाबेस स्थापित करना

5 में से चरण 1:

ADODB के लिए पथ दर्ज करें. यह /var/www/adodb है।

5 में से चरण 2:

मुख्य डेटाबेस प्रकार = MySQL
डेटाबेस का नाम = खर्राटे
डेटाबेस होस्ट = लोकलहोस्ट (स्नॉर्ट डेटाबेस का स्थानीय स्थान),
डेटाबेस उपयोक्तानाम =<ваше_имя_пользователя>(स्नॉर्ट डेटाबेस उपयोगकर्ता नाम)
डेटाबेस पासवर्ड =<ваш_пароль>(स्नॉर्ट डेटाबेस के लिए पासवर्ड)

पुरालेख डेटाबेस प्रकार = MySQL (संग्रह डेटाबेस प्रकार),


डेटाबेस उपयोक्तानाम =<ваше_имя_пользователя>
डेटाबेस पासवर्ड =<ваш_пароль>

5 में से चरण 3:

यदि आप प्रमाणीकरण का उपयोग करना चाहते हैं, तो अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करें (उपयोगकर्ता:<ваше_имя>, पासवर्ड:<ваш_пароль>).

5 में से चरण 4:

क्रिएट बेस एजी पर क्लिक करें।

चरण 5 में से 5:

जब चरण 4 पूरा हो जाए, तो सबसे नीचे, क्लिक करें: अब चरण 5 पर जारी रखें।

इस पृष्ठ को बुकमार्क करें।

7.2 पुरालेख ACIDBASE डेटाबेस के लिए एक फ़ोल्डर बनाएँ

संग्रह डेटाबेस के सही ढंग से काम करने के लिए, ACIDBASE फ़ोल्डर में एक संग्रह फ़ोल्डर बनाया जाना चाहिए।

# mkdir /var/www/web/acidbase/archive # cd /var/www/web/acidbase # cp -R * /var/www/web/acidbase/archive # chmod 777 /var/www/web/acidbase/archive

मौजूदा Base_conf.php फ़ाइल का नाम बदलकर Base_conf.old कर दें।

# सीडी /var/www/web/acidbase/archive # mv Base_conf.php Base_conf.old

7.3 एक वेब ब्राउज़र के माध्यम से पुरालेख डेटाबेस स्थापित करना।

एक वेब ब्राउज़र खोलें और http://YOUR_IP_ADDRESS/web/acidbase/archive/setup पर जाएं।

पहले पृष्ठ पर, जारी रखें पर क्लिक करें।

5 में से चरण 1:

ADODB के लिए पथ दर्ज करें. यह /var/www/adodb है। >

5 में से चरण 2:

पुरालेख डेटाबेस प्रकार = MySQL
डेटाबेस का नाम = संग्रह (डेटाबेस संग्रह),
डेटाबेस होस्ट = लोकलहोस्ट (संग्रह डेटाबेस का स्थानीय स्थान),
डेटाबेस उपयोक्तानाम =<ваше_имя_пользователя>(संग्रह डेटाबेस उपयोगकर्ता नाम),
डेटाबेस पासवर्ड =<ваш_пароль>(पुरालेख डेटाबेस के लिए पासवर्ड)

5 में से चरण 3:

यदि आप प्रमाणीकरण का उपयोग करना चाहते हैं, तो अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करें (उपयोगकर्ता:<ваше_имя_пользователя>, पासवर्ड:<ваш_пароль>).

5 में से चरण 4:

क्रिएट बेस एजी पर क्लिक करें।

चरण 5 में से 5:

जब चरण 4 पूरा हो जाए, तो नीचे क्लिक करें: अब चरण 5 पर जारी रखें (अब चरण 5 पर जाएं)।

8. स्नॉर्ट लॉन्च करें और सेवाओं की स्थिति जांचें।

स्नॉर्ट चलाने के लिए, टर्मिनल मोड में टाइप करें:

# स्नॉर्ट -सी /etc/snort/snort.conf -i eth0 -D

यह कमांड डेमो मोड में eth0 इंटरफ़ेस का उपयोग करके शुरू होता है।

आप निम्न आदेश का उपयोग करके सत्यापित कर सकते हैं कि सेवा चल रही है:

#पीएस औक्स | ग्रेप खर्राटे

यदि सेवा चल रही है, तो आपको निम्न snort -c /etc/snort/snort.conf -i eth0 -D जैसा कुछ दिखाई देगा।

निम्नलिखित कमांड चलाकर सत्यापित करें कि सभी आवश्यक सेवाएँ चल रही हैं:

# /etc/init.d/mysql स्थिति # /etc/init.d/apache2 स्थिति # /etc/init.d/snort स्थिति

यदि सेवाएँ चल रही हैं, तो आपको एक प्रतिक्रिया संदेश दिखाई देगा .

यदि आवश्यक हो तो कमांड चलाएँ
# /etc/init.d/ पुनः आरंभ करें
प्रत्येक सेवा के लिए जिसे पुनः आरंभ करने की आवश्यकता है।

परिचय

इस कार्य का मुख्य लक्ष्य लोकप्रिय आईडीएस एप्लिकेशन स्नॉर्ट का वर्णन और अध्ययन करना है। स्नॉर्ट एक बड़ा ओपन सोर्स प्रोजेक्ट है जिसका उपयोग कई नेटवर्क प्रशासक दुर्भावनापूर्ण हस्ताक्षरों को पकड़ने और नेटवर्क पर हमला होने पर अलर्ट करने के लिए करते हैं। स्नॉर्ट नेटवर्क इंटरफेस से सभी ट्रैफ़िक को रोकता है, संदिग्ध अनुरोधों और घुसपैठ के प्रयासों के लिए पैकेट की जाँच करता है।

इसका मुख्य लाभ इसकी पहुंच और आपके विशिष्ट कार्य नेटवर्क के अनुरूप अपने कार्य को संपादित करने की क्षमता है। कार्यक्रम छोटे और बड़े दोनों संगठनों में काम करने के लिए डिज़ाइन किया गया है। किसी विशेष संगठन की सुरक्षा आवश्यकताओं के आधार पर अपने स्वयं के अनूठे नियमों को संपादित करने की क्षमता भी महत्वपूर्ण है (उदाहरण के लिए, सामाजिक नेटवर्क तक कर्मचारियों की पहुंच पर प्रतिबंध)।

नुकसान में कुछ ऑपरेटिंग सिस्टम (उदाहरण के लिए, विंडोज) पर सेटअप और इंस्टॉलेशन की असुविधा, सेटअप के एकल, पर्याप्त रूप से पूर्ण और विस्तृत विवरण की कमी और नियमों के अपने सेट का विकास शामिल है।

इसके अलावा, झूठे अलार्म को काटना बहुत मुश्किल है, क्योंकि अलग-अलग उद्यमों में अक्सर अलग-अलग प्रतिबंध होते हैं, और नियमों में काफी सुधार की आवश्यकता होती है। केस-सेंसिटिव कुंजियों का उपयोग करके एप्लिकेशन लॉन्च करने के कई तरीकों को याद रखना बहुत मुश्किल है और इससे गलत आउटपुट हो सकता है।

इस कार्य का मुख्य कार्य आईडीएस स्नॉर्ट की कार्यात्मक विशेषताओं को समझना और उस पर विभिन्न प्रकार के नेटवर्क हमलों को अंजाम देकर एप्लिकेशन के संचालन की जांच करना है। पता लगाएं कि क्या अधिक सुविधाजनक प्रारूप में समान आईडीएस मौजूद हैं। स्नॉर्ट डेटाबेस के साथ कैसे इंटरैक्ट करता है। कई अद्वितीय नियम विकसित करें और कार्यक्षमता के लिए उनका परीक्षण करें।

आईडीएस स्नॉर्ट की स्थापना और कॉन्फ़िगरेशन

खर्राटे: Windows XP पर इंस्टालेशन

विंडोज़ ऑपरेटिंग सिस्टम पर स्नॉर्ट स्थापित करते समय, आपको कुछ कठिनाइयों का सामना करना पड़ सकता है। इसलिए, यह कार्य इंस्टॉलेशन और कॉन्फ़िगरेशन विकल्पों के काफी विस्तृत भाग पर केंद्रित है। सबसे पहले आपको अपने कार्य कंप्यूटर पर आवश्यक प्रोग्राम डाउनलोड करने होंगे।

खर्राटे लेने के नियम.

उपरोक्त सभी इन एप्लिकेशन की आधिकारिक वेबसाइटों से डाउनलोड किया गया है।

Winpcap एक एप्लिकेशन है जो कर्नेल स्तर पर पैकेट को कैप्चर और फ़िल्टर करता है। यह अंतर्निर्मित यूनिक्स libpcap ड्राइवर के समान है। इंस्टॉलेशन से कोई विशेष असुविधा नहीं होगी; यह एक नियमित इंस्टॉलर के माध्यम से लॉन्च किया गया है। इसके बाद आपको आधिकारिक वेबसाइट से ही आईडीएस डाउनलोड करना होगा, जिसके बाद हम वहां से नियमों के साथ नवीनतम संग्रह डाउनलोड करते हैं। अगला कदम नियमों के साथ संग्रह में मौजूद सभी फ़ोल्डरों को पूरी तरह से एप्लिकेशन की रूट निर्देशिका में कॉपी करना होगा, जहां आवश्यक हो वहां सामग्री को पूरी तरह से बदलना होगा। फिर, प्रोग्राम को सही ढंग से काम करने के लिए, आपको कॉन्फ़िगरेशन फ़ाइल में महत्वपूर्ण परिवर्तन करने की आवश्यकता होगी।

var RULE_PATH c:स्नॉर्ट यूल्स

var SO_RULE_PATH c:snortso_rules

var PREPROC_RULE_PATH c:snortpreproc_rules

डायनामिकप्रीप्रोसेसर निर्देशिका c:snortlibsnort_dynamicpreprocessor

डायनामिकइंजन c:snortlibsnort_dynamicenginesf_engine.dll

#dynamicdetection निर्देशिका /usr/local/lib/snort_dynamicrules

हम कॉन्फ़िगरेशन फ़ाइल में समान लाइनें ढूंढते हैं और उन्हें ऊपर दी गई लाइनों से बदल देते हैं। उसके बाद, हम एप्लिकेशन का परीक्षण करने का प्रयास करते हैं। कमांड लाइन लॉन्च करें और "बिन" अनुभाग में एप्लिकेशन निर्देशिका पर जाएं। कमांड "स्नॉर्ट -डब्ल्यू" दर्ज करें

चावल। 1.1.

इस कमांड से हम अपने इंटरफेस देखने के लिए एप्लिकेशन की कार्यक्षमता की जांच करते हैं। यह सुनिश्चित करने के बाद कि उनमें से एक से अधिक हैं, हम पैकेट को इंटरसेप्ट करने और आईडीएस के संचालन की निगरानी शुरू करने के लिए कार्यशील नेटवर्क से जुड़े एक का चयन करते हैं।

C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -A कंसोल

आइए अब उस कमांड को देखें जो हमने दर्ज किया था। "- i 3" का अर्थ है कि हम उस इंटरफ़ेस को देखेंगे जिसमें हमारे इंटरफ़ेस की सूची में ID = 3 है। फिर हमने कॉन्फ़िगरेशन फ़ाइल का पथ और निर्देशिका का पथ निर्दिष्ट किया जहां इंटरसेप्टेड पैकेट का "लॉग" लिखा जाना चाहिए। "-ए कंसोल" का अर्थ है कि हमारे कंसोल में अलार्म पैकेट का पता लगाया जाएगा। यदि प्रसंस्करण के दौरान कोई समस्या आती है, तो हम उनकी पहचान होते ही उन्हें समाप्त कर देते हैं। स्नॉर्ट स्ट्रिंग और बिल्ड त्रुटि के प्रकार को इंगित करता है। यदि सब कुछ काम करता है, तो चल रहे नियमों में से एक के ट्रिगर होने तक हमें कुछ भी दिखाई नहीं देगा। उनमें से एक का उपयोग करने के लिए, आइए एक नेटवर्क हमले का अनुकरण करने और हमारे स्थानीय नेटवर्क पर एक संदिग्ध पैकेट लॉन्च करने का प्रयास करें। ऐसा करने के लिए, उदाहरण के लिए, कमांड लाइन खोलें और निम्नलिखित दर्ज करें: "पिंग 192.168.1.16"। स्नॉर्ट 192.168.1.1624 पर होस्ट को सुनने के प्रयास को रोक देगा और नेटवर्क पर संदिग्ध गतिविधि के बारे में एक संदेश और जानकारी प्रदर्शित करेगा। दुर्भाग्य से, ऐसी आईडीएस प्रणालियों में एक गंभीर खामी है - झूठी सकारात्मकता। इस संबंध में, स्नॉर्ट उपयोगी हो और भ्रामक न हो, इसके लिए नियमों को पर्याप्त और स्पष्ट रूप से परिभाषित करना और इन झूठी सकारात्मकताओं से बचने के लिए देखे जा रहे नेटवर्क को अलग करना आवश्यक है।

चावल। 1.2.

अब कंसोल में जहां हमारा आईडीएस चल रहा है, एक संदिग्ध पैकेट के बारे में संदेश दिखाई देंगे जो "सुनना" जैसा दिखता है। इसमें शामिल नियम से पता चला कि स्नॉर्ट पूरी तरह कार्यात्मक था। आइए इसके ऑपरेटिंग मोड और आगे के काम के लिए नियमों के सिंटैक्स पर विचार करें।

हर दिन अरबों डेटा पैकेट कॉर्पोरेट नेटवर्क पर प्रसारित होते हैं। उनमें से कुछ खतरनाक हैं; ऐसे पैकेजों के लेखकों ने फ़ायरवॉल को बायपास करने और नेटवर्क की परिधि के साथ रक्षा लाइनों को तोड़ने के लिए विशेष उपाय किए, जिससे रास्ते में आने वाली सभी प्रणालियों का संचालन बाधित हो गया। कोड रेड, निमडा, एसक्यूएल स्लैमर और एमएसब्लास्टर जैसे पैकेज्ड हमलों के विनाशकारी प्रभाव सर्वविदित हैं। ये सभी मैलवेयर Microsoft सिस्टम से विश्वसनीय प्रोटोकॉल (जैसे HTTP) या नेटवर्क ट्रैफ़िक का शोषण करते हैं। ऐसे प्रोटोकॉल को आसानी से नहीं लिया जा सकता है और ब्लॉक नहीं किया जा सकता है, इसलिए प्रशासक आमतौर पर समय पर खतरे का जवाब देने के लिए अनधिकृत एक्सेस डिटेक्शन सिस्टम, नेटवर्क इंट्रूज़न डिटेक्शन सिस्टम (एनआईडीएस) का उपयोग करके खतरनाक ट्रैफ़िक को जितनी जल्दी हो सके पकड़ने की कोशिश करते हैं।

व्यावसायिक रूप से कई एनआईडीएस उपलब्ध हैं, जो क्षमताओं और लागत में भिन्न हैं। सामान्य तौर पर, वे सभी सफलतापूर्वक काम करते हैं। मेरे द्वारा देखे गए सभी व्यावसायिक पैकेज उत्कृष्ट रहे हैं। लेकिन अगर घुसपैठ का पता लगाना प्राथमिकता नहीं है तो मामूली बजट वाले संगठनों को क्या करना चाहिए? ऐसे मामलों के लिए, स्नॉर्ट है - एक शक्तिशाली मुफ्त एनआईडीएस पैकेज। कई ओपन सोर्स पैकेजों के विपरीत, यह विंडोज़ के साथ संगत है।

स्नॉर्ट को जानना

स्नॉर्ट के मूल डेवलपर, मार्टिन रेस्च ने जीएनयू जनरल पब्लिक लाइसेंस (जीपीएल) की शर्तों के तहत कार्यक्रम को खुले समुदाय के लिए उपलब्ध कराया। इस पैकेज का इतिहास 1998 में शुरू हुआ और तब से इसने एक से अधिक बार अपनी विश्वसनीयता साबित की है। दुनिया भर में खुले समुदाय के सदस्यों और नेटवर्क प्रशासकों के योगदान के लिए धन्यवाद, स्नॉर्ट एक बहुत शक्तिशाली उत्पाद बन गया है। वर्तमान संस्करण फास्ट ईथरनेट और गीगाबिट ईथरनेट गति पर वास्तविक समय नेटवर्क ट्रैफ़िक विश्लेषण और आईपी ट्रैफ़िक लॉगिंग प्रदान करता है।

माइकल डेविस ने स्नॉर्ट 1.7 को Win32 प्लेटफ़ॉर्म पर पोर्ट किया, जिससे यह विंडोज़ समुदाय के लिए उपलब्ध हो गया। इसके बाद क्रिस रीड ने स्नॉर्ट के नए संस्करणों को तैयार निष्पादन योग्य में संकलित करने का काम संभाला, जिन्हें आसानी से विंडोज वातावरण में तैनात किया जा सकता था।

एनआईडीएस से अपरिचित प्रशासक इस उपकरण को एक विशेष प्रकार के नेटवर्क विश्लेषक के रूप में सोच सकते हैं। एनआईडीएस इंटरफ़ेस से गुजरने वाले प्रत्येक पैकेट की जांच करता है, पेलोड में ज्ञात पैटर्न की तलाश करता है जहां दुर्भावनापूर्ण कोड आमतौर पर छिपा होता है। स्नॉर्ट के साथ, आप किसी संगठन के नेटवर्क से गुजरने वाले प्रत्येक पैकेट पर खोज और मिलान ऑपरेशन कर सकते हैं और वास्तविक समय में कई प्रकार के हमलों और नाजायज ट्रैफ़िक का पता लगा सकते हैं।

खर्राटे की आवश्यकताएँ

स्नॉर्ट चलाने के लिए, आपको कम से कम एक नेटवर्क एडाप्टर से लैस एक विंडोज़ कंप्यूटर की आवश्यकता है। दो नेटवर्क एडेप्टर रखना बेहतर है, एक नियंत्रित नेटवर्क से जुड़ा है और दूसरा उत्पादन नेटवर्क से; बाद वाला रिपोर्ट को आगे बढ़ाता है। स्नॉर्ट न केवल विंडोज 2000 सर्वर और बाद के संस्करणों के साथ संगत है, बल्कि विंडोज एक्सपी प्रोफेशनल एडिशन, एक्सपी होम एडिशन और विंडोज 2000 प्रोफेशनल के साथ भी संगत है। किसी सर्वर लाइसेंस की आवश्यकता नहीं है. मैं अपने एक्सपी प्रो लैपटॉप को हर दिन कई क्लाइंट नेटवर्क से जोड़ता हूं और आमतौर पर एक सेवा के रूप में स्नॉर्ट चलाता हूं। इस तरह, प्रोग्राम पृष्ठभूमि में चलता है, और उस क्लाइंट नेटवर्क से मेरे सिस्टम पर होने वाले किसी भी हमले का पता लगाता है। मैं स्नॉर्ट को एक पोर्टेबल सेंसर के रूप में उपयोग करता हूं - प्रोग्राम किसी भी पोर्ट के लिए एनआईडीएस के रूप में कार्य करता है जिससे लैपटॉप जुड़ा हुआ है।

छोटे नेटवर्क में, स्नॉर्ट को एंट्री-लेवल सर्वर पर तैनात किया जा सकता है। अनधिकृत पहुंच प्रयासों का पता लगाने के लिए एक समर्पित उच्च-शक्ति मशीन की आवश्यकता नहीं है। उदाहरण के लिए, मैंने 1 गीगाहर्ट्ज प्रोसेसर और 1 जीबी रैम के साथ फ्रीबीएसडी-आधारित स्नॉर्ट नोड्स के बारे में सुना है जो 15,000 उपयोगकर्ताओं और कई टी-3 वान लिंक के साथ नेटवर्क को सफलतापूर्वक सेवा दे रहे हैं। स्नॉर्ट के स्रोत कोड की दक्षता के लिए धन्यवाद, प्रोग्राम को चलाने के लिए बहुत शक्तिशाली मशीन की आवश्यकता नहीं है।

एनआईडीएस का पता लगाने के लिए नेटवर्क में सबसे अच्छी जगह कहां है? पहला विचार डिवाइस को फ़ायरवॉल के सामने रखना है। यह वह जगह है जहां एनआईडीएस सबसे अधिक हमलों का पता लगाएगा, लेकिन झूठी सकारात्मकता की संख्या भी सबसे अधिक होगी, और प्रशासक को खतरे के बारे में बहुत सारी बेकार चेतावनियां प्राप्त होंगी। आपको फ़ायरवॉल द्वारा रोके गए खतरों के बारे में चिंता नहीं करनी चाहिए; इसके पीछे आने वाले खतरनाक प्रोग्रामों का पता लगाना अधिक महत्वपूर्ण है। इसलिए, वैसे भी स्नॉर्ट को फ़ायरवॉल के पीछे रखना बेहतर है।

हालाँकि, यदि उपयोगकर्ता वीपीएन कनेक्शन (इंटरनेट या वायरलेस लिंक पर) के माध्यम से नेटवर्क से जुड़ते हैं, तो एनआईडीएस को फ़ायरवॉल के पीछे रखना समझ में आता है, जैसे कि वीपीएन सर्वर या कंसंट्रेटर के पीछे, जहां पैकेट बाहर निकलते ही डिक्रिप्ट हो जाते हैं। वीपीएन सुरंग. अन्यथा, एनआईडीएस वीपीएन ट्रैफ़िक में एम्बेडेड मैलवेयर का मुकाबला करने में सक्षम नहीं होगा, क्योंकि विश्लेषण किए गए पैकेट एन्क्रिप्ट किए जाएंगे। यही बात एन्क्रिप्टेड एसएमटीपी ट्रैफ़िक, ईमेल संदेशों से जुड़ी एन्क्रिप्टेड .ज़िप फ़ाइलों और अन्य प्रकार के एन्क्रिप्टेड डेटा पर भी लागू होती है।

आदर्श रूप से, एनआईडीएस को ट्रैफ़िक को एन्क्रिप्ट करने वाले किसी भी घटक के पीछे काफी दूर रखा जाना चाहिए और जितना संभव हो उतने सेगमेंट और सबनेट पर ट्रैफ़िक का विश्लेषण करने के लिए नेटवर्क परिधि के काफी करीब होना चाहिए। एक स्विच्ड नेटवर्क वातावरण में, एक स्विच को आमतौर पर नेटवर्क से गुजरने वाले सभी पैकेटों को इकट्ठा करने के लिए एक डायग्नोस्टिक पोर्ट की आवश्यकता होती है। परिणामस्वरूप, एनआईडीएस के पास सभी नेटवर्क ट्रैफ़िक तक सुविधाजनक पहुंच है।

अब जब आप स्नॉर्ट से परिचित हो गए हैं और इसकी होस्टिंग आवश्यकताओं को जानते हैं, तो आप एनआईडीएस स्थापित और परीक्षण कर सकते हैं। स्नॉर्ट के बारे में अधिक जानकारी के लिए, "वेब संसाधन" साइडबार में लिंक किए गए दस्तावेज़ देखें। इस प्रक्रिया में सात चरण होते हैं:

1. WinPcap स्थापित करना
2. स्नॉर्ट स्थापित करना
3. खर्राटे का परीक्षण
4. स्नॉर्ट की स्थापना
5. नियम निर्धारित करना
6. अलर्ट और लॉग सेट करना
7. एक सेवा के रूप में चलाएँ

चरण 1. WinPcap स्थापित करना

स्नॉर्ट अनिवार्य रूप से एक प्रोमिसस-मोड नेटवर्क विश्लेषक है, इसलिए इसे ड्राइवर समर्थन की आवश्यकता होती है। यह समर्थन WinPcap द्वारा प्रदान किया गया है। लोरिस डिगियोनी ने यूनिक्स उपयोगकर्ताओं के बीच व्यापक रूप से उपयोग किए जाने वाले लिबकैप पैकेट कैप्चर ड्राइवर को विंडोज वातावरण में पोर्ट करके WinPcap बनाया। WinPcap में एक कर्नेल-स्तरीय पैकेट फ़िल्टर, एक निम्न-स्तरीय DLL (पैकेट.dll) और एक उच्च-स्तरीय सिस्टम-स्वतंत्र लाइब्रेरी (wpcap.dll, libpcap 0.6.2 पर आधारित) शामिल है।

WinPcap को यहां से डाउनलोड किया जा सकता है http://winpcap.polito.it. ड्राइवर Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me और Windows 9x के साथ संगत है। WinPcap ओपन-सोर्स ईथर पैकेट स्निफर का भी समर्थन करता है, जिसे यहां से प्राप्त किया जा सकता है। ईथरियल का उपयोग करके, आप सत्यापित कर सकते हैं कि स्नॉर्ट सही ढंग से स्थापित है।

नेटवर्क से WinPcap इंस्टॉलेशन फ़ाइल डाउनलोड करने के बाद, आपको बस इंस्टॉलेशन प्रक्रिया की कई स्क्रीन से गुजरना होगा। उपयोगकर्ता की ओर से सबसे बड़ा प्रयास स्क्रीन द्वारा आवश्यक है जहां आपको लाइसेंस शर्तों से सहमत होना होगा।

चरण 2: स्नॉर्ट स्थापित करें

अगला कदम स्नॉर्ट स्थापित करना है। नवीनतम संस्करण कोडक्राफ्ट कंसल्टेंट्स वेब साइटों पर पाया जा सकता है ( http://www.codecraftconsultents.com/snort.aspx) या Snort.org ( http://www.snort.org). मैं कोडक्राफ्ट कंसल्टेंट्स से स्नॉर्ट डाउनलोड करने की सलाह देता हूं क्योंकि आप उस साइट से स्वयं-निष्कर्षण निष्पादन योग्य प्राप्त कर सकते हैं। प्रोग्राम उपयोगकर्ता को कंप्यूटर पर स्नॉर्ट स्थापित करने के बुनियादी चरणों के माध्यम से भी मार्गदर्शन करता है। इस आलेख को तैयार करने में स्नॉर्ट 2.1.1, बिल्ड 18 का नवीनतम संस्करण उपयोग किया गया था, जिसके बाद से अद्यतन संस्करण जारी किए गए हैं।

जब आप इंस्टॉलेशन प्रोग्राम चलाते हैं, तो पहले डायलॉग बॉक्स में आपको परिणामों को संग्रहीत करने के लिए डेटाबेस कॉन्फ़िगरेशन मोड का चयन करना होगा। यदि आप MySQL या ODBC-संगत डेटाबेस का उपयोग कर रहे हैं, तो आप डिफ़ॉल्ट मोड स्वीकार कर सकते हैं (चित्र 1)। लेकिन यदि आप Microsoft SQL सर्वर या Oracle डेटाबेस में प्रोटोकॉल संग्रहीत करने जा रहे हैं, तो आपको उपयुक्त मोड का चयन करना होगा और सुनिश्चित करना होगा कि आवश्यक क्लाइंट प्रोग्राम मशीन पर उपलब्ध है। इस आलेख को तैयार करने में डिफ़ॉल्ट मोड का उपयोग किया गया था.

अगला कदम उन स्नॉर्ट घटकों की पहचान करना है जिन्हें आप इंस्टॉल करना चाहते हैं। मानक सेट (स्क्रीन 2) ठीक है, इसलिए मैं इसे स्वीकार करने और अगला क्लिक करने की सलाह देता हूं। इंस्टॉल स्थान चुनें संवाद बॉक्स में, आपको वह निर्देशिका निर्दिष्ट करनी होगी जिसमें स्नॉर्ट तैनात किया जाएगा। निर्देशिका नाम दर्ज करने के बाद, इंस्टॉलेशन प्रक्रिया को पूरा करने के लिए अगला क्लिक करें।

स्क्रीन 2: इंस्टालेशन घटकों का चयन

चरण 3: अपने स्नॉर्ट इंस्टॉलेशन का परीक्षण करें

इंस्टॉलेशन प्रक्रिया पूरी करने के बाद, स्नॉर्ट का परीक्षण करने की आवश्यकता है। डिफ़ॉल्ट रूप से, स्नॉर्ट निष्पादन योग्य को दो स्थान बताने की आवश्यकता होती है: लॉग कहां लिखना है और कॉन्फ़िगरेशन फ़ाइल कहां ढूंढनी है (snort.conf)। यह जानकारी उपयोगकर्ता द्वारा क्रमशः -l और -c स्विच का उपयोग करके कमांड लाइन से स्नॉर्ट चलाते समय प्रदान की जाती है। उदाहरण के लिए, आदेश

स्नॉर्ट -l F:snortlog -c F:snortetcsnort.conf -एक कंसोल

प्रोग्राम को बताता है कि लॉग को F:snortlog निर्देशिका में लिखा जाना चाहिए, और वह snort.conf F:snortetc निर्देशिका में स्थित है। -ए स्विच प्रोग्राम द्वारा उत्पन्न चेतावनियों को प्रसारित करने की विधि निर्दिष्ट करता है। इस उदाहरण में, कंसोल स्क्रीन पर चेतावनियाँ प्रदर्शित की जाती हैं ताकि व्यवस्थापक यह सत्यापित कर सके कि स्नॉर्ट सही ढंग से काम कर रहा है। कृपया ध्यान दें कि लेख में कमांड कई लाइनों पर मुद्रित होता है, लेकिन कमांड विंडो में इसे एक लाइन पर दर्ज किया जाना चाहिए। यही बात इस आलेख में अन्य मल्टीलाइन कमांड पर भी लागू होती है। कई स्नॉर्ट कमांड लाइन स्विच केस सेंसिटिव होते हैं, इसलिए आपको कमांड बिल्कुल वैसे ही दर्ज करने होंगे जैसे वे टाइप किए गए हैं।

यदि सिस्टम में एकाधिक नेटवर्क इंटरफ़ेस हैं, तो डिफ़ॉल्ट रूप से स्नॉर्ट पहले खोजे गए इंटरफ़ेस पर सुनता है। यदि किसी मशीन पर नेटवर्क इंटरफेस का क्रम अज्ञात है, तो आप सिंगल -डब्ल्यू स्विच के साथ स्नॉर्ट कमांड चला सकते हैं। स्नॉर्ट नेटवर्क इंटरफेस के नाम और संख्याओं को उस क्रम में सूचीबद्ध करता है जिस क्रम में प्रोग्राम उनका पता लगाता है। स्नॉर्ट को एक विशिष्ट नेटवर्क इंटरफ़ेस का उपयोग करने के लिए बाध्य करने के लिए, आपको स्नॉर्ट शुरू करते समय इंटरफ़ेस नंबर के साथ -i स्विच दर्ज करना होगा। स्नॉर्ट चलाने के बाद, स्क्रीन पर दिखाई गई जानकारी के समान जानकारी प्रदर्शित होगी स्क्रीन 3 .

एक बार जब आप स्नॉर्ट चलाते हैं, तो आप एनआईडीएस को विशेष रूप से तैयार ट्रैफ़िक भेजकर इसकी संवेदनशीलता का परीक्षण कर सकते हैं। चेतावनी ट्रिगर करने के सबसे आसान तरीकों में से एक HTTP URL अनुरोध (कोड रेड और निमडा वर्म्स के लिए एक सामान्य तकनीक) के हिस्से के रूप में रिमोट मशीन पर कमांड इंटरप्रेटर (cmd.exe) को कॉल करना है। हमले के इस चरण का अनुकरण करने के लिए, किसी भी यूआरएल तक पहुंचें और अनुरोध के अंत में /cmd.exe अक्षर जोड़ें। उदाहरण के लिए, http://www.a-website-that-I-can-trust.com/cmd.exe पर कॉल के जवाब में, स्नॉर्ट को कमांड विंडो में पहली तीन चेतावनियों के समान एक चेतावनी प्रदर्शित करनी चाहिए पर स्क्रीन 4. ये संदेश F:snortlog लॉग पर लिखे गए हैं।

परीक्षण के लिए लक्षित वेब साइटों का चयन सावधानी से किया जाना चाहिए। तकनीकी दृष्टिकोण से, अधिकांश वेब साइट प्रशासक ऐसी कार्रवाइयों को हैकिंग का प्रयास मानेंगे। यह प्रयास सफल नहीं होगा (जब तक कि सर्वर कॉन्फ़िगरेशन में गंभीर त्रुटियां न हों), लेकिन मैं केवल आपके अपने सर्वर या किसी विश्वसनीय सर्वर के साथ परीक्षण करने की सलाह देता हूं जिसके प्रशासकों को परीक्षण के बारे में पता है।

यदि परीक्षण संभव नहीं है, तो स्नॉर्ट का परीक्षण करने का दूसरा तरीका नेटवर्क पर एक असामान्य रूप से लंबे इको अनुरोध को स्नॉर्ट चलाने वाले सर्वर या कंप्यूटर पर भेजना है। उदाहरण के लिए, आप पिंग कमांड का उपयोग कर सकते हैं

पिंग -एल 32767 आईपी_एड्रेस

जहां ip_address लक्ष्य सर्वर या स्नॉर्ट कंप्यूटर का आईपी पता है। इस कमांड को एक बहुत लंबा पैकेट (सटीक लंबाई - 32 केबी) भेजना होगा, जो पिंग कमांड के लिए स्पष्ट रूप से असामान्य है। स्नॉर्ट को इस पैकेज का पता लगाना चाहिए, जैसा कि नीचे की आठ चेतावनियों में देखा गया है स्क्रीन 4 .

यदि आपको चेतावनियाँ मिलती हैं, तो आप अपनी विशिष्ट स्थितियों के लिए स्नॉर्ट को कॉन्फ़िगर करना शुरू कर सकते हैं। अन्यथा, आपको इंस्टॉलेशन प्रक्रिया पर वापस जाना होगा और जांचना होगा कि क्या कोई चरण छोड़ा गया है।

चरण 4: स्नॉर्ट स्थापित करना

बेसिक स्नॉर्ट कॉन्फ़िगरेशन डेटा snort.conf फ़ाइल में संग्रहीत होता है, जो डिफ़ॉल्ट रूप से %systemdrive%snortetc निर्देशिका में स्थित होता है। यदि आप कमांड लाइन पर प्रोग्राम का पथ निर्दिष्ट करते हैं तो फ़ाइल को इस फ़ोल्डर में छोड़ा जा सकता है या दूसरे में ले जाया जा सकता है।

Snort.conf में मौजूद सभी मापदंडों का एक विस्तृत विवरण पूरे पत्रिका अंक को भर सकता है, क्योंकि Snort एक आश्चर्यजनक रूप से शक्तिशाली कार्यक्रम है। अभी हम केवल इसके मुख्य मापदंडों पर विचार करेंगे।

आने वाले ट्रैफ़िक को आउटगोइंग ट्रैफ़िक से अलग करने के लिए, आपको अपने एंटरप्राइज़ नेटवर्क के होस्ट और आईपी पते को स्नॉर्ट को बताना होगा। इस जानकारी को दर्ज करने के लिए, HOME_NET वैरिएबल को snort.conf फ़ाइल में सेट किया जाना चाहिए। आपको लाइन ढूंढनी चाहिए

वर HOME_NET कोई भी

और इसे IP पतों की एक श्रृंखला से बदलें। उदाहरण के लिए, आप एक श्रेणी निर्दिष्ट कर सकते हैं

वर HOME_NET 192.168.0.1/24

या कई रेंज. एकाधिक श्रेणियां निर्दिष्ट करते समय, आपको श्रेणियों के सेट को वर्गाकार कोष्ठकों में संलग्न करना होगा और प्रत्येक श्रेणी को अल्पविराम से अलग करना होगा। आप आईपी एड्रेस रेंज के बीच रिक्त स्थान दर्ज नहीं कर सकते। उदाहरण के लिए, रेखा

वर HOME_NET

स्नॉर्ट को बताता है कि सबनेट 10.0.1.0/24, 10.0.2.0/24, और 10.0.3.0/24 एंटरप्राइज़ नेटवर्क से संबंधित हैं। डिफ़ॉल्ट रूप से, स्नॉर्ट अन्य सभी पतों को बाहरी मानता है। आप EXTERNAL_NET वेरिएबल सेट करके स्पष्ट रूप से निर्दिष्ट कर सकते हैं कि किन नेटवर्कों को बाहरी माना जाना चाहिए। Snort.config फ़ाइल में आपको लाइन ढूंढनी होगी

वर EXTERNAL_NET कोई भी

और इसे नेटवर्क के आईपी पते से बदलें जिसे बाहरी माना जाना चाहिए। हालाँकि, आमतौर पर शुरुआत के लिए EXTERNAL_NET वैरिएबल सेट को किसी भी पर छोड़ना सबसे अच्छा होता है।

कुछ समय बिताने के बाद, आप अपने उद्यम के सर्वरों के प्रकार और उनके स्थानों की पहचान कर सकते हैं। यह जानकारी snort.conf फ़ाइल की निम्नलिखित पंक्तियों में DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS और TELNET_SERVERS वेरिएबल्स में समाहित है:

वर DNS_सर्वर $HOME_NET वर SMTP_SERVERS $HOME_NET वर HTTP_SERVERS $HOME_NET वर SQL_SERVERS $HOME_NET वर TELNET_SERVERS $HOME_NET वर SNMP_SERVERS $HOME_NET

डिफ़ॉल्ट रूप से, सभी छह सर्वर वेरिएबल $HOME_NET पर सेट होते हैं; इसका मतलब यह है कि स्नॉर्ट HOME_NET रेंज में सभी सिस्टम पर सभी प्रकार के हमलों की निगरानी करेगा। यह कॉन्फ़िगरेशन एक छोटे नेटवर्क के लिए काफी स्वीकार्य है जिसके प्रशासक एक निश्चित संख्या में गलत अलर्ट सहन करते हैं। लेकिन भारी ट्रैफ़िक की निगरानी के लिए, कुछ नोड्स के लिए हस्ताक्षर के केवल भाग की जाँच करने के लिए स्नॉर्ट को ठीक करने की सलाह दी जाती है। केवल Microsoft IIS पर चलने वाले वेब सर्वर को SQL बफ़र ओवरफ़्लो हमलों से बचाने का कोई मतलब नहीं है। एक विशिष्ट होस्ट क्लास को परिभाषित करने के लिए, आपको HOME_NET वैरिएबल के लिए उपयोग किए गए प्रारूप के अनुसार लक्ष्य सर्वर आईपी पते की एक श्रृंखला के साथ $HOME_NET को प्रतिस्थापित करना होगा। उदाहरण के लिए, DNS_SERVERS वैरिएबल के लिए, $HOME_NET के बजाय, आपको DNS सर्वर के आईपी पते की सीमा को प्रतिस्थापित करना चाहिए।

विशिष्ट अनुप्रयोगों के लिए सर्वर द्वारा उपयोग किए जाने वाले पोर्ट की पहचान करके ट्यूनिंग सटीकता में सुधार किया जा सकता है। उदाहरण के लिए, यदि वेब सर्वर पोर्ट 80 के बजाय HTTP ट्रैफ़िक के लिए एक विशेष पोर्ट 8080 का उपयोग करते हैं (यह पोर्ट आमतौर पर वेब सर्वर और ब्राउज़र के लिए उपयोग किया जाता है), तो आप HTTP_PORTS वेरिएबल को बदलकर पोर्ट 8080 की निगरानी के लिए स्नॉर्ट को कॉन्फ़िगर कर सकते हैं। Snort.conf में आपको लाइन मिलनी चाहिए

वर HTTP_PORTS 80

और इसे लाइन से बदलें

वर HTTP_PORTS 8080

इसी तरह, आप Oracle (ORACLE_PORTS वेरिएबल द्वारा परिभाषित) और अन्य अनुप्रयोगों के लिए पोर्ट बदल सकते हैं। HTTP_PORTS वैरिएबल की तरह, ORACLE_PORTS 80 पर डिफ़ॉल्ट होता है। यदि सर्वर इसके बजाय पोर्ट 1521 का उपयोग करता है, तो स्ट्रिंग इस तरह दिखेगी

वर ORACLE_PORTS 1521

इस प्रकार, ऐसी कई सेटिंग्स हैं जिन्हें snort.conf फ़ाइल में कॉन्फ़िगर किया जा सकता है। आपको उन सेटिंग्स को ढूंढने के लिए snort.conf की समीक्षा करनी चाहिए जो आपके विशिष्ट वातावरण के लिए सबसे महत्वपूर्ण हैं और उन्हें तदनुसार कॉन्फ़िगर करें।

चरण 5. नियम निर्धारित करना

Snort.conf की एक पंक्ति में RULE_PATH वैरिएबल शामिल है। इस पंक्ति का एक उदाहरण:

वर नियम_पथ ../नियम

../rules विकल्प निर्दिष्ट करता है कि नियम (यानी हस्ताक्षर) नियम निर्देशिका में पाए जा सकते हैं, जो निर्देशिका संरचना में स्नॉर्ट बायनेरिज़ के समान स्तर पर है। इसलिए, उदाहरण के लिए, यदि आप जेनेरिक फ़ोल्डर F:snort में Snort स्थापित करते हैं, तो Snort बायनेरिज़ F:snortin में हैं और नियम F:snort ules में हैं। यदि आप चाहें तो RULE_PATH वेरिएबल को बदल सकते हैं, लेकिन डिफ़ॉल्ट विकल्प ठीक है।

नियम स्नॉर्ट का आधार हैं। वे बाइट्स, हमले के हस्ताक्षर और अन्य प्रकार के डेटा के अनुक्रम हैं, जो पता चलने पर एक चेतावनी उत्पन्न करते हैं। स्नॉर्ट के पास 1,500 से अधिक तैयार हस्ताक्षर हैं।

नियम कैसा दिखता है? Snort परीक्षण के दौरान उल्लंघन किया गया cmd.exe का नियम इस तरह दिखता है: अलर्ट tcp $EXTERNAL_NET कोई भी -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; प्रवाह:to_server, स्थापित; सामग्री: " cmd.exe"; क्लासटाइप:वेब-एप्लिकेशन-हमला; सिड:1002;)। आइए नियम के मुख्य घटकों पर नजर डालें। $EXTERNAL_NET कोई भी -> $HTTP_SERVERS $HTTP_PORTS लिंक निर्दिष्ट करता है कि केवल बाहर से नेटवर्क में आने वाले ट्रैफ़िक (जैसा कि EXTERNAL_NET वैरिएबल द्वारा परिभाषित किया गया है) का विश्लेषण किया जाना चाहिए। सामग्री: पैरामीटर डेटा स्ट्रीम में cmd.exe वर्णों के अनुक्रम की खोज को निर्दिष्ट करता है। जब स्नॉर्ट ऐसे अनुक्रम का पता लगाता है, तो यह संदेश: पैरामीटर द्वारा निर्दिष्ट एक चेतावनी उत्पन्न करता है।

जैसा कि आप cmd.exe उदाहरण से देख सकते हैं, नियम अधिकतर सरल हैं। आप किसी भी प्रकार के ट्रैफ़िक के लिए अपने स्वयं के नियम बना सकते हैं। उदाहरण के लिए, यदि आप कमांड इंटरप्रेटर के माध्यम से मशीन पर किसी निर्देशिका को दूरस्थ रूप से एक्सेस करने के अनधिकृत प्रयासों का पता लगाना चाहते हैं, तो आप ड्राइव में वॉल्यूम या उन पोर्ट पर वॉल्यूम सीरियल नंबर खोज सकते हैं जहां वे शायद ही कभी पाए जाते हैं, जैसे आउटबाउंड पोर्ट। नियमों को निर्दिष्ट करने के लचीले दृष्टिकोण के लिए धन्यवाद, प्रशासकों को स्नॉर्ट के लिए व्यापक कॉन्फ़िगरेशन विकल्प प्रदान किए जाते हैं।

स्नॉर्ट के 1,500 नियम विश्लेषण किए जा रहे डेटा के प्रकार के अनुसार विभिन्न फाइलों में संग्रहीत हैं। उदाहरण के लिए, cmd.exe का नियम web-iis.rules फ़ाइल में है। यदि एंटरप्राइज़ IIS का उपयोग नहीं करता है, तो प्रोग्राम को IIS हमलों का पता लगाने की आवश्यकता नहीं है। Web-iis.rules फ़ाइल को लाइन ढूंढकर और उस पर टिप्पणी करके कॉन्फ़िगरेशन से आसानी से हटाया जा सकता है

$RULE_PATH/web-iis.rules शामिल करें

snort.conf फ़ाइल में। किसी पंक्ति को टिप्पणी बनाने के लिए, उसके पहले (#) चिह्न लगाएं:

# $RULE_PATH/web-iis.rules शामिल करें

डिफ़ॉल्ट रूप से, कुछ प्रकार की नियम फ़ाइलें (उदाहरण के लिए, icmp-info.rules, Chat.rules) snort.conf में टिप्पणियों द्वारा दर्शायी जाती हैं। Snort.conf में नियमों का डिफ़ॉल्ट कॉन्फ़िगरेशन काफी अच्छा है। अवरुद्ध नियमों को सक्रिय करने के बाद, प्रोग्राम आमतौर पर कई अनावश्यक चेतावनियाँ उत्पन्न करता है।

कुछ फ़ाइलों में कई उपयोगी नियम होते हैं, लेकिन कुछ नियम बहुत अधिक अनावश्यक चेतावनियाँ उत्पन्न करते हैं। किसी विशेष नियम को अक्षम करने के लिए, आपको नियम फ़ाइल में संबंधित पंक्ति को टिप्पणी के रूप में चिह्नित करना होगा। भविष्य में, फ़ाइल के साथ काम करते समय स्नॉर्ट इस नियम को अनदेखा कर देगा।

जब नए खतरे के स्रोत सामने आते हैं, तो नियम फ़ाइल को अद्यतन किया जाना चाहिए। नए नियमों के लिए सबसे अच्छा संसाधन Snort.org है। इस वेब साइट में स्वचालित अपडेट सेवा नहीं है, इसलिए कोई नया खतरा उत्पन्न होने पर व्यवस्थापक को अपडेट के लिए नियमित रूप से इसकी जांच करनी होगी।

चरण 6: अलर्ट और लॉग कॉन्फ़िगर करें

जैसा कि उल्लेख किया गया है, स्नॉर्ट MySQL, SQL सर्वर, Oracle और ODBC-संगत डेटाबेस में जानकारी की रिकॉर्डिंग प्रदान करता है। स्नॉर्ट इंस्टॉलेशन प्रक्रिया के दौरान बस उचित डेटाबेस प्रकार का चयन करें। लेख की लंबाई को अत्यधिक न बढ़ाने के लिए, हम टेक्स्ट फ़ाइल का उपयोग करके मानक लॉगिंग मोड और विंडोज इवेंट लॉग में संदेश लिखने के फ़ंक्शन पर विचार करेंगे।

स्नॉर्ट कमांड का उपयोग करके एनआईडीएस चलाते समय, -ए कंसोल स्विच के कारण स्क्रीन पर चेतावनियां प्रदर्शित होती हैं। किसी टेक्स्ट फ़ाइल में संदेशों को अग्रेषित करने के लिए, आपको अपने पसंदीदा लॉगिंग मोड के आधार पर इस स्विच को -ए फास्ट या -ए फुल से बदलना चाहिए। पूर्ण पैरामीटर निर्देशिका में अलर्ट.आईडी नामक टेक्स्ट फ़ाइल की कई पंक्तियों में खतरे का विस्तृत विवरण प्रदर्शित करता है, जिसका पथ -एल स्विच द्वारा निर्दिष्ट किया गया है। इस प्रकार की लॉगिंग व्यापक विवरण प्रदान करती है, लेकिन यह समझना मुश्किल हो सकता है कि नेटवर्क पर बहुत सारे इवेंट लॉग किए जा रहे हैं। ऐसे "शोर" नेटवर्क में, संदिग्ध ट्रैफ़िक की मुख्य विशेषताओं वाले अलर्ट.आईडी में एक-पंक्ति प्रविष्टियाँ जोड़ने के लिए तेज़ मोड का उपयोग करने की अनुशंसा की जाती है। मेरी राय में, फास्ट मोड में टेक्स्ट फ़ाइल के साथ काम करना पूर्ण मोड की तुलना में आसान है।

स्नॉर्ट का वर्तमान संस्करण विंडोज़ इवेंट लॉग में लॉगिंग प्रदान करता है। कई संगठनों ने पहले ही केंद्रीकृत ईवेंट मॉनिटरिंग, लॉगिंग और डेटा संग्रह उपकरण खरीद लिए हैं, और यह सुविधा विंडोज़ वातावरण के लिए एक बढ़िया अतिरिक्त होगी।

जिस सिस्टम पर स्नॉर्ट चल रहा है उसके एप्लिकेशन इवेंट लॉग में चेतावनियां लिखने के लिए, -ए स्विच के बजाय -ई स्विच का उपयोग करें (पैरामीटर वैकल्पिक हैं)। चित्र 5 दिखाता है कि एप्लिकेशन लॉग में प्रकाशित स्नॉर्ट इवेंट (इस मामले में, cmd.exe तक पहुंचने का प्रयास) कैसा दिखता है। विंडोज़ इवेंट कंसोल स्क्रीन के समान ही विस्तृत जानकारी प्रदान करता है।

यदि व्यवस्थापक सप्ताह में एक बार इवेंट लॉग (या टेक्स्ट लॉग) देखता है तो एनआईडीएस बेकार है। यदि नेटवर्क पर कुछ होता है, तो व्यवस्थापक को तुरंत इसके बारे में पता होना चाहिए। एक केंद्रीकृत निगरानी और घटना प्रसंस्करण प्रणाली ईमेल, पेजर और अन्य संचार उपकरणों के माध्यम से संदेश भेज सकती है। लेकिन अगर ऐसी कोई व्यवस्था नहीं है, तो यह चिंता का कारण नहीं है। NETIKUS.NET एक निःशुल्क इवेंटसेंट्री लाइट पैकेज प्रदान करता है जिसका उपयोग अलर्ट भेजने के लिए किया जा सकता है।

इवेंटसेंट्री लाइट इवेंटसेंट्री का एक परीक्षण संस्करण है और इसे यहां से डाउनलोड किया जा सकता है http://www.netikus.net/products_downloads.html. इवेंटसेंट्री लाइट के साथ, आप इवेंट लॉग की निगरानी करने के लिए अपने सिस्टम को कॉन्फ़िगर कर सकते हैं और लॉग में दर्ज किसी भी स्नॉर्ट इवेंट के बारे में स्वचालित रूप से विस्तृत ईमेल संदेश भेज सकते हैं। पर स्क्रीन 6 cmd.exe पर आक्रमण करने के प्रयासों के बारे में एक ईमेल संदेश दिखाता है। हमला होने के कुछ सेकंड बाद मुझे इवेंटसेंट्री लाइट से यह संदेश मिला।

जैसा कि ऊपर उल्लेख किया गया है, स्नॉर्ट आम तौर पर ढेर सारे अनावश्यक संदेश उत्पन्न करता है जो इवेंट लॉग को तुरंत भर देते हैं। इवेंट लॉग के लिए फ़ाइल आकार चुनते समय और उन्हें घुमाने का तरीका चुनते समय यह बात ध्यान में रखनी चाहिए। इवेंटसेंट्री लाइट को आपके इनबॉक्स में छोटी घटनाओं के बारे में संदेशों को भरने से रोकने के लिए, आप कुंजी स्ट्रिंग की खोज के लिए एक फ़िल्टर बना सकते हैं। उदाहरण के लिए, मैंने संदेशों के पाठ में एक स्ट्रिंग के लिए एक खोज फ़िल्टर व्यवस्थित किया।

चरण 7: एक सेवा के रूप में चलाएँ

एक बार जब आपका काम पूरा हो जाए, तो आप हर बार प्रोग्राम चलाने के लिए अपने डेस्कटॉप कंप्यूटर में लॉग इन करने के बजाय स्नॉर्ट को एक सेवा के रूप में चला सकते हैं। यदि आप Snort को /SERVICE और /INSTALL विकल्पों (अन्य कमांड लाइन विकल्पों के साथ) के साथ चलाते हैं, तो Snort को Windows सेवा के रूप में चलाने के लिए कॉन्फ़िगर किया गया है और उपयोगकर्ता के हस्तक्षेप के बिना स्वचालित रूप से Windows के साथ प्रारंभ होता है।

अगला स्तर: विस्तार मॉड्यूल

स्नॉर्ट एक पूरी तरह से फीचर्ड एप्लिकेशन है। हालाँकि, कुछ मामलों में कार्यक्रम का विस्तार करने की आवश्यकता है। उदाहरण के लिए, यदि नेटवर्क के विभिन्न हिस्सों में कई एनआईडीएस तैनात किए गए हैं, तो ग्राफिकल इंटरफ़ेस से स्नॉर्ट को प्रबंधित करना सुविधाजनक है। ऐसी क्षमताएं एंगेज सिक्योरिटी से आईडीसेंटर एक्सटेंशन मॉड्यूल और एक्टिववर्क्स से आईडीएस पॉलिसी मैनेजर में लागू की जाती हैं। कभी-कभी संदेशों में निहित जानकारी का विश्लेषण करना आवश्यक होता है। आप कार्नेगी मेलॉन विश्वविद्यालय में विकसित विश्लेषण कंसोल फॉर इंट्रूज़न डेटाबेस (एसीआईडी) मॉड्यूल का उपयोग करके संग्रहीत डेटा को देख और विश्लेषण कर सकते हैं।

विश्वसनीय सुरक्षा

स्नॉर्ट एक पूर्ण विशेषताओं वाला कार्यक्रम है जो कंपनी के बजट को नुकसान नहीं पहुंचाएगा। स्नॉर्ट को इवेंटसेंट्री लाइट जैसे शक्तिशाली इवेंट मॉनिटरिंग एप्लिकेशन के साथ जोड़कर, आप सक्रिय रूप से अपने नेटवर्क के खिलाफ हमलों को रोक सकते हैं।

रूसी संघ के शिक्षा और विज्ञान मंत्रालय

उच्च व्यावसायिक शिक्षा का राज्य शैक्षणिक संस्थान

"सेंट पीटर्सबर्ग राज्य विश्वविद्यालय
एयरोस्पेस उपकरण इंजीनियरिंग"

पाठ्यक्रम कार्य (परियोजना)
उत्कृष्ट रेटेड के साथ संरक्षित

पर्यवेक्षक

काम पूरा हो गया है)

सेंट पीटर्सबर्ग 2011

1.. स्नॉर्ट क्या है? 2

2. स्निफ़र मोड: 2

3. पैकेट लॉगिंग मोड. 6

4. नेटवर्क घुसपैठ का पता लगाने वाला मोड। 6

1. स्नॉर्ट क्या है?

स्नॉर्ट एक हल्का घुसपैठ का पता लगाने वाला सिस्टम है। स्नॉर्ट को आमतौर पर "लाइटवेट" एनआईडीएस / डिक्रिप्ट, ट्रांसलेट / - कहा जाता है क्योंकि यह मुख्य रूप से छोटे नेटवर्क के लिए डिज़ाइन किया गया है। प्रोग्राम प्रोटोकॉल विश्लेषण कर सकता है और विभिन्न प्रकार के हमलों का पता लगाने के लिए इसका उपयोग किया जा सकता है।

किस ट्रैफ़िक को अनुमति देनी है और किसे ब्लॉक करना है, यह जानने के लिए स्नॉर्ट "नियम" ("नियम" फ़ाइलों में निर्दिष्ट) का उपयोग करता है। यह टूल लचीला है, जो आपको नए नियम लिखने और उनका पालन करने की अनुमति देता है।

स्नॉर्ट 3 मुख्य मोड में काम कर सकता है:

· स्निफ़र मोड: आपको नेटवर्क से पैकेट पकड़ने और उन्हें स्क्रीन पर प्रदर्शित करने की अनुमति देता है (आमतौर पर कंसोल)

· पैकेट लॉगिंग मोड: आपको पैकेजों को अपनी हार्ड ड्राइव में सहेजने की अनुमति देता है

· घुसपैठ जांच प्रणाली (एनआईडीएस) मोड सबसे परिष्कृत और अनुकूलन योग्य कॉन्फ़िगरेशन है जो आपको उपयोगकर्ता द्वारा परिभाषित नियमों के सेट के आधार पर नेटवर्क ट्रैफ़िक का विश्लेषण करने की अनुमति देता है।

2. स्निफ़र मोड:

पैकेट सूँघने के मोड में, स्नॉर्ट बस नेटवर्क से आने वाले पैकेट को पढ़ता है और उन्हें स्क्रीन पर प्रदर्शित करता है। टीसीपी/आईपी पैकेट हेडर प्रदर्शित करने के लिए, आपको चलाना होगा:

खर्राटे -v

यह कमांड आईपी और टीसीपी/यूडीपी/आईसीएमपी पैकेट हेडर प्रदर्शित करता है। आप देख सकते हैं कि पैकेट कहाँ से, कहाँ, कितने /पते पर भेजे गए थे?/। संदर्भ के लिए आकृति/चित्रों को क्रमांकित किया जाना चाहिए। कोई लिंक नहीं है - इसका मतलब है कि चित्र की आवश्यकता नहीं है / यह स्पष्ट है कि दो आउटगोइंग पते हैं / आप इसे कहाँ से देख सकते हैं? चित्र में प्रविष्टियों के प्रारूप को समझें या कम से कम पंक्ति संख्या देखें /

यह समझने के लिए कि ये पते क्या हैं, बस कमांड चलाएँ

व्यवस्था की सूचना

चित्र से / पहले से ही - चित्र। और चित्र नहीं? दस्तावेज़ के भीतर एकरूपता बनाए रखी जानी चाहिए! या यह कुछ और है?/ यह स्पष्ट हो जाता है कि ये आउटगोइंग पते क्या हैं। /ठीक है, उन्हें सूचीबद्ध करें - या कम से कम उन्हें इंगित करें। कि उनकी संख्या वर्गाकार कोष्ठकों में दी गई है/

पैकेजों में मौजूद डेटा देखने के लिए, आपको यह दर्ज करना होगा:

खर्राटे-vd

https://pandia.ru/text/78/320/images/image004_112.jpg" alt=' विस्तृत_आउटपुट.jpg" width="589" height="338">!}

स्विच किसी भी रूप में दिए जा सकते हैं, उदाहरण के लिए: "स्नॉर्ट - वीडीई", "स्नॉर्ट - डी - ईवी" और "स्नॉर्ट - ई - वी -डी"।

स्नॉर्ट तब तक जानकारी एकत्र करना जारी रखेगा जब तक कि यह बाधित न हो जाए। पैकेट कैप्चर पूरा करने के लिए, आपको Ctrl-C दबाना होगा। Ctrl-C दबाने के बाद कैप्चर किए गए पैकेट की एक रिपोर्ट प्रदर्शित होगी। लगभग एक मिनट तक स्नॉर्ट चलाने के बाद की रिपोर्ट नीचे दी गई है।

स्नैपशॉट से आप देख सकते हैं कि अधिकांश विश्लेषित पैकेट टीसीपी/आईपी पैकेट हैं। यूडीपी पैकेट भी कब्जे में ले लिए गए।

3. पैकेट लॉगिंग मोड

पैकेट लॉगिंग मोड आपको डिस्क पर सूचना की एक धारा रिकॉर्ड करने की अनुमति देता है। किसी समयावधि में विश्लेषण करते समय या सेटिंग्स और सुरक्षा नीतियों में बदलावों की जाँच करते समय यह उपयोगी होता है।
आपको लॉग के लिए एक निर्देशिका बनाने और निर्दिष्ट करने की आवश्यकता है, और स्नॉर्ट स्वचालित रूप से पैकेट लॉगिंग मोड पर स्विच हो जाएगा।

उदाहरण: एक निर्देशिका बनाना लॉग और भाग खड़ा हुआ:

खर्राटे - देव - एल../लॉग

ऑपरेशन के परिणामस्वरूप /कहाँ, इसे कहाँ खोजना है, वांछित स्थान को कैसे इंगित करना है?/फ़ाइल खर्राटे लेती है। लॉग.. नए फ़ाइल नामों के अंत में मौजूद नंबर टाइमस्टैम्प हैं, जो फ़ाइलें बनाते समय टकराव से बचने में मदद करते हैं। /लॉग फ़ाइल का एक उदाहरण वांछनीय है/

4. नेटवर्क घुसपैठ का पता लगाने वाला मोड

स्नॉर्ट का तीसरा मोड नेटवर्क इंट्रूज़न डिटेक्शन (NIDS) मोड है।

अपने मूल रूप में, एक स्नॉर्ट नियम /वे कहाँ संग्रहीत हैं?/ के दो भाग हैं: एक हेडर और पैरामीटर। नीचे एक नियम का उदाहरण दिया गया है.

अलर्ट टीसीपी कोई भी -> कोई भी (सामग्री: "www."; संदेश: "कोई अभी यूट्यूब पर आ रहा है"; सिड:1000002; रेव:1)

क्या नियम संरचना मॉडल का प्रतिनिधित्व किया जा सकता है? क्या यह हार्ड-कोडित है या इसे बदला जा सकता है? हम आशा करते हैं कि वर्गाकार कोष्ठक में मौजूद तत्व वैकल्पिक हैं। ज्ञात। लेकिन क्या उनके बीच निम्नलिखित योजना के अनुसार विशेष विभाजक हैं:

<действие_правила> <протокол> <порт> <оператор_направления>

<порт>([मेटा_डेटा] [पैकेज_कंटेंट्स_डेटा]

[डेटा_इन_हेडर] [एक्शन_आफ्टर_डिटेक्शन])

नियम क्रियाओं को निम्नलिखित श्रेणियों में विभाजित किया गया है:

1. चेतावनी - चयनित विधि का उपयोग करके एक अलर्ट बनाएं और लॉगिंग सिस्टम को जानकारी रिपोर्ट करें।

2. लकड़ी का लट्ठा - पैकेज की जानकारी रिकॉर्ड करने के लिए लॉगिंग सिस्टम का उपयोग करें।

3. उत्तीर्ण - पैकेज पर ध्यान न दें.

4. सक्रिय - किसी अन्य गतिशील नियम का प्रयोग करें.

5. गतिशील - सक्रिय नियम निष्पादित होने के बाद, लॉगिंग प्रक्रिया वाला नियम सक्रिय हो जाता है।

6. बूँद - सॉफ़्टवेयर फ़ायरवॉल का उपयोग करके पैकेट को छोड़ें और लॉगिंग सिस्टम को जानकारी रिपोर्ट करें

7. sdrop - सॉफ़्टवेयर फ़ायरवॉल का उपयोग करके पैकेट छोड़ें और लॉगिंग सिस्टम का उपयोग न करें।

8. अस्वीकार करना - फ़ायरवॉल का उपयोग करते हुए, यदि प्रोटोकॉल टीसीपी है तो पैकेट को त्याग दें, या लॉग फ़ाइल में एक संदेश लिखें: यदि पैकेट यूडीपी प्रोटोकॉल के माध्यम से आता है तो आईसीएमपी पोर्ट अनुपलब्ध है

स्नॉर्ट नियम का दूसरा भाग वे विकल्प हैं जो पता लगाए गए ट्रैफ़िक के अतिरिक्त विवरण निर्दिष्ट करते हैं। आप टीसीपी/हेडर में फ़ील्ड के सेट या पैकेट पेलोड द्वारा खोज सकते हैं। प्रत्येक विकल्प के बाद उद्धरण चिह्न और मांगा गया मूल्य अवश्य होना चाहिए। आप अनेक विकल्पों को अर्धविराम से अलग करके जोड़ सकते हैं. निम्नलिखित वैध विकल्प हैं.

सिड - नियम की पहचान करने वाला एक अनूठा लेबल। इस विकल्प का प्रयोग विकल्प के साथ करना होगा फिरना .

<100 зарезервировано для дальнейшего использования

100-999,999 पहले से ही आरक्षित नियम

>=1,000,000 उपयोगकर्ता परिभाषित नियम

फिरना- नियम संस्करण का मूल्य. रेव नियम दुभाषिया का उपयोग करना

स्नॉर्ट लिखित नियम का संस्करण निर्धारित करता है।

आप कमांड के साथ आईडीएस मोड में स्नॉर्ट चला सकते हैं:

खर्राटे - c "D:\प्रोग्राम फ़ाइलें\Snort\etc\snort. conf" - l " D:\Program Files\Snort\log" - एक कंसोल - i 1

चाबी -साथइसका मतलब है कि आईडीएस मोड सक्षम है

चाबी – एल फ़ाइल का पथ दर्शाते हुए हार्ड डिस्क पर रिकॉर्डिंग मोड सक्षम करता है

चाबी – ए दिखाता है कि सभी चेतावनियाँ (अलर्ट) कंसोल आउटपुट द्वारा डुप्लिकेट की जाएंगी

चाबी – मैं उस इंटरफ़ेस की अनुक्रमणिका संख्या को इंगित करता है जिसमें हम रुचि रखते हैं

समर्थित इंटरफ़ेस का पता लगाने के लिए आपको कमांड चलाने की आवश्यकता है:

फक-फक करना – डब्ल्यू

फ़ाइल सामग्री फक-फक करना। सम्मेलन

फ़ाइल सामग्री *****लेस:

फ़ाइल में खर्राटे लेना. conf में आप कीवर्ड का उपयोग करके नियमों को जोड़ सकते हैं शामिल करना .

आदेश का परिणाम:

यह देखा जा सकता है कि स्नॉर्ट ने एक "खतरनाक" साइट पर जाने के प्रयास का पता लगाया।

उस स्रोत के बारे में कोई जानकारी नहीं है जहां से वितरण लिया गया था, या उस ओएस के बारे में जिस पर शोध किया गया था

कुल मिलाकर काम बहुत दिलचस्प है. /