4.4 Snort болон Archive мэдээллийн санд хүснэгт үүсгэх

Бид Snort схемийг ашиглан Snort болон Archive мэдээллийн сангуудыг байрлуулах болно.

# cd /usr/share/doc/snort-mysql # zcat create_mysql.gz | mysql -u -h localhost -p snort # zcat create_mysql.gz | mysql -u -h localhost -p архив

4.5 Мэдээллийн сан болон шинээр үүсгэсэн хүснэгтүүдийг үүсгэсэнийг баталгаажуулах.

MySQL серверт нэвтэрч, бидний саяхан үүсгэсэн мэдээллийн сан болон тэдгээр мэдээллийн санд байршуулсан хүснэгтүүдийг шалгана уу. Хэрэв бүх зүйл амжилттай үүсгэгдсэн бол та mysql мэдээллийн санд дөрвөн (4) өгөгдлийн сан (mysql, тест, snort болон архив) болон мэдээллийн сан бүрт ойролцоогоор 16 хүснэгтийг харах болно.

# mysql -u root -p mysql> мэдээллийн санг харуулах; mysql> snort ашиглах; mysql> хүснэгтүүдийг харуулах; mysql> архив ашиглах; mysql> хүснэгтүүдийг харуулах; mysql> гарах

4.6 Snort-г турших

Терминал горимд командыг бичнэ үү: # snort -c /etc/snort/snort.conf

Хэрэв бүх зүйл сайн болсон бол та хариултыг ascii кодоор харах ёстой.

Туршилтыг дуусгахын тулд ctrl + c дарна уу

5. Apache2-г тохируулах

Apache2 багцыг таны компьютер дээр суулгасан байх ёстой.

Өөрийн дуртай текст засварлагчийг ашиглан /var/www/ хавтсанд test.php нэртэй файл үүсгээрэй.

# vim /var/www/test.php

Үүнд бичнэ үү:

Өөрчлөлтүүдээ хадгалаад энэ файлыг хаа.

/etc/php5/apache2/php.ini файлыг засварлана уу

# vim /etc/php5/apache2/php.ini

"Динамик өргөтгөлүүд" мөрөнд дараахь зүйлийг нэмнэ үү.

Өргөтгөл=mysql.so өргөтгөл=gd.so

Apache2-г дахин эхлүүлнэ үү.

# /etc/init.d/apache2 дахин эхлүүлэх

Ажлын компьютерийнхээ IP хаягийг авна уу.

# ifconfig -a

Вэб хөтчөө нээгээд http://YOUR_IP_ADDRESS/test.php руу очно уу.

Хэрэв бүх зүйл сайн болсон бол PHP мэдээлэл гарч ирнэ.

6. Фолдеруудыг тохируулах

ADOdb-г /var/www хавтас руу зөөнө үү.

# mv /usr/share/php/adodb /var/www/

www-д web нэртэй хавтас үүсгээд ACIDBASE-г түүн рүү шилжүүлнэ.

# mkdir /var/www/web # mv /usr/share/acidbase /var/www/web/

Үүнийг суулгахын тулд хүчиллэг суурь мэдээллийн сангийн хавтсанд бичихийг түр зөвшөөрнө үү.

# chmod 777 /var/www/web/acidbase

# cd /var/www/web/acidbase # mv base_conf.php base_conf.old

ACIDBASE дээр ажиллахын тулд дараах тушаалыг ажиллуулна уу.

#pear суулгац Image_Color

7. Snort болон Archive мэдээллийн санд зориулсан ACIDBASE суулгаж байна

7.1 Snort мэдээллийн санг вэб хөтчөөр суулгаж байна

5-ын 1-р алхам:

ADODB руу орох замыг оруулна уу. Энэ бол /var/www/adodb.

5-ын 2-р алхам:

Өгөгдлийн сангийн үндсэн төрөл = MySQL
Өгөгдлийн сангийн нэр = snort (Snort мэдээллийн сан),
Өгөгдлийн сангийн хост = localhost (Snort мэдээллийн сангийн дотоод байршил),
Өгөгдлийн сангийн хэрэглэгчийн нэр =<ваше_имя_пользователя>(Өгөгдлийн сангийн хэрэглэгчийн нэр Snort)
Өгөгдлийн сангийн нууц үг =<ваш_пароль>(Snort мэдээллийн сангийн нууц үг)

Архивын мэдээллийн сангийн төрөл = MySQL (Архивын мэдээллийн сангийн төрөл),


Өгөгдлийн сангийн хэрэглэгчийн нэр =<ваше_имя_пользователя>
Өгөгдлийн сангийн нууц үг =<ваш_пароль>

5-ын 3-р алхам:

Хэрэв та баталгаажуулалтыг ашиглахыг хүсвэл хэрэглэгчийн нэр, нууц үгээ оруулна уу (хэрэглэгч:<ваше_имя>, нууц үг:<ваш_пароль>).

5-ын 4-р алхам:

BASE AG үүсгэх дээр дарна уу.

5-ын 5-р алхам:

4-р алхам дуусмагц доод талд нь товшино уу: Одоо 5-р алхам руу үргэлжлүүлнэ үү.

Энэ хуудсыг тэмдэглэ.

7.2 Архивын ACIDBASE мэдээллийн санд хавтас үүсгэнэ

Архивын мэдээллийн сан зөв ажиллахын тулд ACIDBASE хавтсанд архивын хавтас үүсгэсэн байх шаардлагатай.

# mkdir /var/www/web/acidbase/archive # cd /var/www/web/acidbase # cp -R * /var/www/web/acidbase/archive # chmod 777 /var/www/web/acidbase/archive

Одоо байгаа base_conf.php файлын нэрийг base_conf.old болгон өөрчил.

# cd /var/www/web/acidbase/archive # mv base_conf.php base_conf.old

7.3 Архивын мэдээллийн санг вэб хөтчөөр суулгаж байна.

Вэб хөтчөө нээгээд http://YOUR_IP_ADDRESS/web/acidbase/archive/setup руу очно уу.

Эхний хуудсан дээр "Үргэлжлүүлэх" дээр дарна уу.

5-ын 1-р алхам:

ADODB руу орох замыг оруулна уу. Энэ бол /var/www/adodb. >

5-ын 2-р алхам:

Архивын мэдээллийн сангийн төрөл = MySQL
Өгөгдлийн сангийн нэр = архив (Мэдээллийн сангийн архив),
Өгөгдлийн сангийн хост = localhost (Архивын мэдээллийн сангийн дотоод байршил),
Өгөгдлийн сангийн хэрэглэгчийн нэр =<ваше_имя_пользователя>(Архивын мэдээллийн сангийн хэрэглэгчийн нэр),
Өгөгдлийн сангийн нууц үг =<ваш_пароль>(Архивын мэдээллийн сангийн нууц үг)

5-ын 3-р алхам:

Хэрэв та баталгаажуулалтыг ашиглахыг хүсвэл хэрэглэгчийн нэр, нууц үгээ оруулна уу (хэрэглэгч:<ваше_имя_пользователя>, нууц үг:<ваш_пароль>).

5-ын 4-р алхам:

Create BASE AG дээр дарна уу.

5-ын 5-р алхам:

4-р алхам дууссаны дараа доод талд товшино уу: Одоо 5-р алхам руу үргэлжлүүлнэ үү (Одоо 5-р алхам руу очно уу).

8. Snort-г ажиллуулаад үйлчилгээний статусыг шалгана уу.

Snort-г ажиллуулахын тулд терминалын горимд оруулна уу:

# snort -c /etc/snort/snort.conf -i eth0 -D

Энэ тушаал нь демо горимд eth0 интерфэйсийг ашиглан шуугиулж эхэлдэг.

Та дараах тушаалыг ашиглан үйлчилгээ ажиллаж байгаа эсэхийг шалгаж болно.

# ps aux | Греп хурхирлаа

Хэрэв үйлчилгээ ажиллаж байгаа бол та дараахтай төстэй зүйлийг харах болно snort -c /etc/snort/snort.conf -i eth0 -D .

Дараах тушаалуудыг ажиллуулснаар шаардлагатай бүх үйлчилгээ ажиллаж байгаа эсэхийг шалгана уу.

# /etc/init.d/mysql статус # /etc/init.d/apache2 статус # /etc/init.d/snort статус

Хэрэв үйлчилгээнүүд ажиллаж байгаа бол та хариу мессежийг харах болно .

Шаардлагатай бол командыг ажиллуулна уу
# /etc/init.d/ дахин ачааллах
дахин эхлүүлэх шаардлагатай үйлчилгээ бүрийн хувьд.

Оршил

Энэхүү ажлын гол зорилго нь алдартай IDS програм болох Snort-ийг тайлбарлах, судлах явдал юм. Snort бол олон сүлжээний администраторуудын хортой гарын үсгийг барьж, сүлжээнд халдлагад өртөх үед сэрэмжлүүлэх зорилгоор ашигладаг томоохон нээлттэй эхийн төсөл юм. Snort нь сүлжээний интерфэйсүүдийн бүх урсгалыг таслан зогсоож, пакетуудыг сэжигтэй хүсэлт, халдлага хийх оролдлогыг шалгадаг.

Үүний гол давуу тал нь хүртээмжтэй байдал, өөрийн ажлын сүлжээнд тохируулан өөрийн ажлыг засварлах чадвар юм. Хөтөлбөр нь жижиг, том байгууллагуудад ажиллахад зориулагдсан. Мөн чухал зүйл бол тухайн байгууллагын аюулгүй байдлын шаардлагад үндэслэн өөрийн өвөрмөц дүрмийг засах чадвар юм (жишээлбэл, ажилтнуудын нийгмийн сүлжээнд нэвтрэхийг хориглох).

Сул талууд нь зарим үйлдлийн системүүд (жишээ нь Windows) дээр тохируулах, суулгахад тохиромжгүй байдал, тохиргооны талаар хангалттай бүрэн гүйцэд, нарийвчилсан тайлбар байхгүй, өөрийн дүрэм журмыг боловсруулах зэрэг багтана.

Түүнчлэн, янз бүрийн аж ахуйн нэгжүүд өөр өөр хязгаарлалттай байдаг тул дүрмийг нэлээд нарийн тохируулах шаардлагатай байдаг тул хуурамч дохиоллыг таслах нь маш хэцүү байдаг. Том жижиг жижиг товчлууруудыг ашиглан програмыг эхлүүлэх олон горимыг санах нь маш хэцүү бөгөөд алдаатай гаралтад хүргэж болзошгүй юм.

Энэхүү ажлын гол ажил бол IDS Snort-ийн функциональ шинж чанаруудыг ойлгох, янз бүрийн төрлийн сүлжээний халдлага хийх замаар програмын ажиллагааг шалгах явдал юм. Илүү тохиромжтой форматтай ижил төстэй IDS байгаа эсэхийг олж мэдээрэй. Snort мэдээллийн сантай хэрхэн харьцдаг. Хэд хэдэн өвөрмөц дүрмийг боловсруулж, тэдгээрийн ажиллагааг шалгах.

IDS Snort-ийн суурилуулалт, тохиргоо

Snort: Windows XP дээр суулгасан

Windows үйлдлийн систем дээр Snort-г суулгахад зарим хүндрэлүүд гарч болзошгүй. Тиймээс энэ ажил нь суулгах, тохируулах сонголтуудын нэлээд нарийвчилсан хэсэгт анхаарлаа хандуулдаг. Эхлээд та шаардлагатай програмуудыг ажлын компьютер дээрээ татаж авах хэрэгтэй.

Snort-д зориулсан дүрэм.

Дээрх бүгдийг эдгээр програмуудын албан ёсны вэбсайтаас татаж авсан болно.

Winpcap нь цөмийн түвшинд пакетуудыг шүүж, шүүдэг програм юм. Энэ нь суурилуулсан Unix libpcap драйвертай адил юм. Суурилуулалт нь ямар нэгэн хүндрэл учруулахгүй бөгөөд үүнийг ердийн суулгагчаар эхлүүлдэг. Үүний дараа та IDS-ийг албан ёсны вэбсайтаас татаж авах хэрэгтэй бөгөөд үүний дараа бид хамгийн сүүлийн үеийн архивыг дүрмийн дагуу тэндээс татаж авах болно. Дараагийн алхам бол дүрмийн хамт архивт байсан бүх хавтсыг програмын үндсэн лавлах руу хуулж, шаардлагатай бол агуулгыг бүрэн солих явдал юм. Дараа нь програм зөв ажиллахын тулд та тохиргооны файлд чухал өөрчлөлт хийх шаардлагатай болно.

var RULE_PATH c:snort ules

var SO_RULE_PATH c:snortso_rules

var PREPROC_RULE_PATH c:snortpreproc_rules

dynamicpreprocessor лавлах c:snortlibsnort_dynamicpreprocessor

dynamicengine c:snortlibsnort_dynamicenginesf_engine.dll

#dynamicdetection лавлах /usr/local/lib/snort_dynamicrules

Бид тохиргооны файлаас ижил төстэй мөрүүдийг олж, дээр дурдсан мөрүүдээр солино. Үүний дараа бид програмыг туршиж үзэхийг оролддог. Тушаалын мөрийг ажиллуулаад "хогийн сав" хэсэгт байрлах програмын лавлах руу очно уу. "snort -W" командыг оруулна уу.

Цагаан будаа. 1.1.

Энэ командын тусламжтайгаар бид интерфейсээ үзэхийн тулд програмын ажиллагааг шалгана. Тэдгээрийн нэгээс олон байгаа эсэхийг шалгасны дараа бид пакетуудыг таслан зогсоож, IDS-ийн ажиллагааг хянахын тулд ажлын сүлжээнд холбогдсон нэгийг сонгоно.

C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -Консол

Одоо бидний оруулсан командыг харцгаая. "- i 3" гэдэг нь бид интерфэйсүүдийн жагсаалтаас ID= 3 байгаа интерфейсийг харна гэсэн үг. Дараа нь бид тохиргооны файл руу орох зам болон саатуулсан пакетуудын "лог"-ыг бичих лавлах замыг зааж өгсөн. "-Консол" гэдэг нь дохиоллын багцыг манай консолоос илрүүлнэ гэсэн үг. Боловсруулалтын явцад ямар нэгэн асуудал гарвал бид тэдгээрийг илрүүлсний дагуу арилгадаг. Snort нь бүтээх алдааны мөр болон төрлийг заана. Хэрэв бүх зүйл ажилласан бол ажиллаж байгаа дүрмүүдийн аль нэгийг эхлүүлэх хүртэл бид юу ч харахгүй. Тэдгээрийн аль нэгийг ашиглахын тулд сүлжээний халдлагыг дуурайж, өөрийн дотоод сүлжээгээр сэжигтэй пакет ажиллуулж үзье. Үүнийг хийхийн тулд, жишээ нь, тушаалын мөрийг нээж, "Ping 192.168.1.16" гэж оруулна уу. Snort нь 192.168.1.1624 дугаарт байгаа хостыг сонсох оролдлогыг таслан зогсоож, сүлжээн дэх сэжигтэй үйлдлийн талаарх мессеж, мэдээллийг харуулах болно. Харамсалтай нь ийм IDS системүүд нь ноцтой дутагдалтай байдаг - хуурамч эерэг. Үүнтэй холбогдуулан Snort нь ашигтай, төөрөгдүүлэхгүй байхын тулд эдгээр хуурамч эерэг байдлаас зайлсхийхийн тулд дүрмийг хангалттай бөгөөд тодорхой тодорхойлж, үзэж буй сүлжээг ялгах шаардлагатай байна.

Цагаан будаа. 1.2.

Одоо манай IDS ажиллаж байгаа консол дээр "сонсох"-той төстэй сэжигтэй пакетийн тухай мессеж гарч ирнэ. Энэхүү дүрэм нь Снорт бүрэн ажиллагаатай байсныг харуулсан. Түүний ажиллах горим, цаашдын ажилд зориулсан дүрмийн синтаксийг авч үзье.

Өдөр бүр олон тэрбум өгөгдлийн багц корпорацийн сүлжээгээр дамждаг. Тэдний зарим нь аюултай; Ийм багцыг зохиогчид сүлжээний периметрийн дагуу галт ханыг тойрч гарах, хамгаалалтын шугамыг нэвтлэх тусгай арга хэмжээ авч, замд тулгарсан бүх системийн ажиллагааг тасалдуулжээ. Code Red, Nimda, SQL Slammer, MSBlaster зэрэг багцалсан халдлагын хор хөнөөлтэй нөлөөг сайн мэддэг. Эдгээр бүх хортой програмууд нь Microsoft системийн найдвартай протокол (HTTP гэх мэт) эсвэл сүлжээний траффикийг ашигладаг. Ийм протоколуудыг зүгээр л авч, хаах боломжгүй тул администраторууд аюулд цаг тухайд нь хариу өгөхийн тулд зөвшөөрөлгүй хандалтыг илрүүлэх систем, Сүлжээний халдлагыг илрүүлэх систем (NIDS) ашиглан аюултай траффикийг аль болох хурдан барихыг хичээдэг.

Худалдааны хувьд боломж, үнэ өртөгөөрөө ялгаатай хэд хэдэн NIDS байдаг. Ерөнхийдөө тэд бүгд амжилттай ажиллаж байна. Надад тулгарсан бүх арилжааны багцууд маш сайн байсан. Харин халдлага илрүүлэх нь нэн тэргүүний асуудал биш бол бага төсөвтэй байгууллагууд юу хийх ёстой вэ? Ийм тохиолдлуудад Snort байдаг - хүчирхэг үнэгүй NIDS багц. Олон нээлттэй эхийн багцуудаас ялгаатай нь энэ нь Windows-тэй нийцдэг.

Снорттой танилцаж байна

Snort-ийн анхны хөгжүүлэгч Мартин Реш програмыг GNU General Public License (GPL)-ийн нөхцлийн дагуу нээлттэй нийгэмд ашиглах боломжтой болгосон. Энэхүү багцын түүх 1998 онд эхэлсэн бөгөөд тэр цагаас хойш найдвартай гэдгээ нэг бус удаа нотолсон. Дэлхий даяар нээлттэй нийгэмлэгийн гишүүд болон сүлжээний админуудын оруулсан хувь нэмрийн ачаар Snort нь маш хүчирхэг бүтээгдэхүүн болсон. Одоогийн хувилбар нь Fast Ethernet болон Gigabit Ethernet хурдаар бодит цагийн сүлжээний траффикийн шинжилгээ, IP траффик бүртгэх боломжийг олгодог.

Майкл Дэвис Snort 1.7-г Win32 платформд шилжүүлснээр Windows-ийн нийгэмлэгт ашиглах боломжтой болгосон. Крис Рэйд дараа нь Windows-ийн орчинд хялбархан ашиглах боломжтой, Snort-ийн шинэ хувилбаруудыг бэлэн гүйцэтгэх файл болгон эмхэтгэх үүрэг хүлээсэн.

NIDS-ийг мэдэхгүй администраторууд уг хэрэгслийг сүлжээний анализаторын тусгай төрөл гэж бодож магадгүй юм. NIDS нь интерфэйсээр дамжиж буй пакет бүрийг шалгаж, ихэвчлэн хортой код нуугдаж байдаг ачааллын мэдэгдэж буй хэв маягийг хайж байдаг. Snort-ийн тусламжтайгаар та байгууллагын сүлжээгээр дамжиж буй пакет бүр дээр хайлт хийх, тааруулах үйлдлүүд хийж, олон төрлийн халдлага, хууль бус урсгалыг бодит цаг хугацаанд илрүүлэх боломжтой.

Хурхирах шаардлага

Snort-г ажиллуулахын тулд танд дор хаяж нэг сүлжээний адаптераар тоноглогдсон Windows компьютер хэрэгтэй. Нэг нь хяналттай сүлжээнд, нөгөө нь үйлдвэрлэлийн сүлжээнд холбогдсон хоёр сүлжээний адаптертай байх нь дээр; Сүүлийнх нь тайлангуудыг дамжуулдаг. Snort нь зөвхөн Windows 2000 Server болон түүнээс хойшхи хувилбаруудад нийцэхээс гадна Windows XP Professional Edition, XP Home Edition, Windows 2000 Professional зэрэгтэй нийцдэг. Серверийн лиценз шаардлагагүй. Би XP Pro зөөврийн компьютерээ өдөр бүр олон үйлчлүүлэгчийн сүлжээнд холбодог бөгөөд ихэвчлэн Snort-ийг үйлчилгээ болгон ажиллуулдаг. Ингэснээр програм нь далд ажиллаж, миний системд тухайн үйлчлүүлэгчийн сүлжээнээс ирж буй халдлагыг илрүүлдэг. Би Snort-ийг зөөврийн мэдрэгч болгон ашигладаг - програм нь зөөврийн компьютер холбогдсон портын хувьд NIDS үүрэг гүйцэтгэдэг.

Жижиг сүлжээнд Snort-ийг нэвтрэх түвшний сервер дээр байрлуулж болно. Зөвшөөрөлгүй нэвтрэх оролдлогыг илрүүлэхийн тулд тусгай зориулалтын өндөр хүчин чадалтай машин шаардлагагүй. Жишээлбэл, 1 GHz процессортой, 1 ГБ RAM-тай FreeBSD-д суурилсан Snort зангилаанууд нь 15,000 хэрэглэгч, олон T-3 WAN холбоос бүхий сүлжээнд амжилттай үйлчилдэг гэж би сонссон. Snort-ийн эх кодын үр ашигтай байдлын ачаар програмыг ажиллуулахын тулд маш хүчирхэг машин шаардлагагүй болно.

Сүлжээнд NIDS-ийг олох хамгийн тохиромжтой газар хаана байдаг вэ? Эхний бодол бол төхөөрөмжийг галт хананы өмнө байрлуулах явдал юм. Энд л NIDS хамгийн олон халдлагыг илрүүлэх боловч худал эерэгүүдийн тоо хамгийн их байх ба админ аюулын талаар олон хэрэггүй сануулга хүлээн авах болно. Галт ханаар зогссон аюулын талаар санаа зовох хэрэггүй бөгөөд үүний ард гарч буй аюултай програмуудыг илрүүлэх нь илүү чухал юм. Тиймээс ямар ч байсан Snort-ыг галт хананы ард байрлуулах нь дээр.

Гэсэн хэдий ч, хэрэв хэрэглэгчид VPN холболтоор (интернет эсвэл утасгүй холбоосоор) сүлжээнд холбогдсон бол NIDS-ийг галт хананы ард, тухайлбал VPN сервер эсвэл баяжуулагчийн ард байрлуулах нь утга учиртай. VPN туннель. Үгүй бол шинжилгээнд хамрагдсан пакетуудыг шифрлэх тул NIDS нь VPN траффикт суулгагдсан хортой програмыг эсэргүүцэх боломжгүй болно. Шифрлэгдсэн SMTP траффик, имэйл зурваст хавсаргасан шифрлэгдсэн .zip файлууд болон бусад төрлийн шифрлэгдсэн өгөгдөлд мөн адил хамаарна.

NIDS-ийг аль болох олон сегмент болон дэд сүлжээн дэх траффикийг шинжлэхийн тулд траффикийг шифрлэдэг бүрэлдэхүүн хэсгүүдийн ард хангалттай хол байрлуулж, сүлжээний периметрт хангалттай ойрхон байрлуулах нь хамгийн тохиромжтой. Сүлжээний сэлгэн орчинд шилжүүлэгч нь сүлжээгээр дамжиж буй бүх пакетуудыг цуглуулахын тулд оношилгооны портыг шаарддаг. Үүний үр дүнд NIDS нь бүх сүлжээний траффикт хялбар нэвтрэх боломжтой болсон.

Одоо та Snort-ийг сайн мэддэг бөгөөд түүний байршуулах шаардлагыг мэддэг болсон тул NIDS-ийг суулгаж, туршиж үзэх боломжтой. Snort-ийн талаар нэмэлт мэдээлэл авахыг хүсвэл "Вэб нөөц"-ийн хажуугийн самбарт холбогдсон баримт бичгүүдийг үзнэ үү. Энэ үйл явц нь долоон үе шатаас бүрдэнэ.

1. WinPcap суулгаж байна
2. Snort суулгаж байна
3. Snort-г туршиж байна
4. Snort-г тохируулж байна
5. Дүрмийг тохируулах
6. Анхааруулга болон бүртгэлийг тохируулж байна
7. Үйлчилгээ болгон ажиллуул

Үе шат 1. WinPcap суулгаж байна

Snort нь үндсэндээ садар самуун горимын сүлжээний анализатор тул драйверын дэмжлэг шаарддаг. Энэхүү дэмжлэгийг WinPcap хангадаг. Loris Digioanni нь Unix хэрэглэгчдийн дунд өргөн хэрэглэгддэг libpcap packet capture драйверийг Windows орчинд шилжүүлэн WinPcap-ийг бүтээсэн. WinPcap нь цөмийн түвшний пакет шүүлтүүр, доод түвшний DLL (packet.dll) болон системээс хамааралгүй өндөр түвшний номын сан (libpcap 0.6.2 дээр суурилсан wpcap.dll) агуулдаг.

WinPcap-ийг эндээс татаж авч болно http://winpcap.polito.it. Драйвер нь Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me болон Windows 9x-тэй нийцдэг. WinPcap нь мөн . Ethereal-ийг ашигласнаар та Snort зөв суулгасан эсэхийг шалгаж болно.

Сүлжээнээс WinPcap суулгах файлыг татаж авсны дараа та суулгах процедурын хэд хэдэн дэлгэцийг үзэх хэрэгтэй. Хэрэглэгчийн зүгээс хамгийн их хүчин чармайлт гаргахад та лицензийн нөхцөлийг зөвшөөрөх ёстой дэлгэц шаардлагатай болно.

Алхам 2: Snort суулгана уу

Дараагийн алхам бол Snort-г суулгах явдал юм. Хамгийн сүүлийн хувилбарыг CodeCraft Consultants вэбсайтаас олж болно ( http://www.codecraftconsultants.com/snort.aspx) эсвэл Snort.org ( http://www.snort.org). Энэ сайтаас өөрөө задлах программ авах боломжтой тул би CodeCraft Consultants-аас Snort татаж авахыг зөвлөж байна. Хөтөлбөр нь хэрэглэгчийг Snort-ийг компьютер дээр суулгах үндсэн алхмуудыг чиглүүлдэг. Энэ нийтлэлийг бэлтгэхэд Snort 2.1.1-ийн хамгийн сүүлийн хувилбар болох 18-р хувилбарыг ашигласан болно.

Суулгах програмыг ажиллуулахдаа эхний харилцах цонхонд үр дүнг хадгалах мэдээллийн сангийн тохиргооны горимыг сонгох ёстой. Хэрэв та MySQL эсвэл ODBC-тэй нийцтэй мэдээллийн сан ашиглаж байгаа бол өгөгдмөл горимыг зөвшөөрч болно (Зураг 1). Гэхдээ хэрэв та Microsoft SQL Server эсвэл Oracle мэдээллийн санд протоколуудыг хадгалах гэж байгаа бол тохирох горимыг сонгож, шаардлагатай клиент програмыг машин дээр ашиглах боломжтой эсэхийг шалгах хэрэгтэй. Энэ нийтлэлийг бэлтгэхдээ анхдагч горимыг ашигласан.

Дараагийн алхам бол суулгахыг хүсч буй Snort бүрэлдэхүүн хэсгүүдийг тодорхойлох явдал юм. Стандарт багц (Дэлгэц 2) сайн байгаа тул би үүнийг хүлээн зөвшөөрч, "Дараах" дээр дарахыг зөвлөж байна. Суулгах байршлыг сонгох харилцах цонхонд та Snort-ийг байрлуулах лавлахыг зааж өгөх ёстой. Лавлах нэрийг оруулсны дараа "Дараах" дээр дарж суулгах процессыг дуусгана уу.

Дэлгэц 2: Суулгах бүрэлдэхүүн хэсгүүдийг сонгох

Алхам 3: Snort суулгацаа туршиж үзээрэй

Суулгах процессыг дуусгасны дараа Snort-г турших шаардлагатай. Анхдагч байдлаар, Snort-ийн гүйцэтгэгдэх файлыг хаана лог бичих болон тохиргооны файлыг (snort.conf) хаанаас олохыг хоёр байршилд зааж өгөх шаардлагатай. Энэ мэдээллийг хэрэглэгч -l болон -c шилжүүлэгчийг ашиглан командын мөрөөс Snort-г ажиллуулах үед өгдөг. Жишээлбэл, тушаал

Snort -l F:snortlog -c F:snortetcsnort.conf -Консол

F:snortlog санд лог бичих ёстой бөгөөд snort.conf нь F:snortetc директорт байрлаж байгаа гэдгийг программдаа хэлдэг. -A шилжүүлэгч нь програмаар үүсгэсэн анхааруулгыг дамжуулах аргыг зааж өгдөг. Энэ жишээнд администратор Snort зөв ажиллаж байгаа эсэхийг шалгахын тулд консолын дэлгэц дээр анхааруулга харагдана. Өгүүлэлд тушаалыг олон мөрөнд хэвлэсэн боловч командын цонхонд нэг мөрөнд оруулах ёстой гэдгийг анхаарна уу. Энэ нийтлэл дэх бусад олон мөрт командуудад мөн адил хамаарна. Олон Snort командын мөрийн унтраалга нь том жижиг үсгээр ялгадаг тул та командуудыг яг бичсэн шиг нь оруулах ёстой.

Хэрэв систем нь олон сүлжээний интерфэйстэй бол Snort нь анх нээсэн интерфейсийг сонсдог. Хэрэв машин дээрх сүлжээний интерфэйсүүдийн дараалал тодорхойгүй бол та Snort командыг нэг -W шилжүүлэгчээр ажиллуулж болно. Snort нь сүлжээний интерфэйсүүдийн нэр, дугаарыг программ илрүүлсэн дарааллаар жагсаадаг. Snort-г тодорхой сүлжээний интерфэйс ашиглахыг албадахын тулд Snort-г эхлүүлэхдээ интерфэйсийн дугаартай -i шилжүүлэгчийг оруулах ёстой. Snort-г ажиллуулсны дараа дэлгэцэн дээр харуулсантай төстэй мэдээлэл гарч ирнэ дэлгэц 3 .

Та Snort-г ажиллуулсны дараа NIDS руу тусгайлан бэлтгэсэн траффик илгээснээр түүний мэдрэмжийг шалгах боломжтой. Анхааруулга өгөх хамгийн хялбар аргуудын нэг бол HTTP URL хүсэлтийн нэг хэсэг болгон алсын машин дээрх командын орчуулагчийг (cmd.exe) дуудах явдал юм (Код Улаан ба Нимда өтний нийтлэг арга). Довтолгооны энэ үе шатыг дуурайхын тулд дурын URL руу хандаж хүсэлтийн төгсгөлд /cmd.exe тэмдэгтүүдийг нэмнэ үү. Жишээлбэл, http://www.a-website-that-I-can-trust.com/cmd.exe руу залгасаны хариуд Snort нь тушаалын цонхонд эхний гурван анхааруулгатай төстэй анхааруулгыг харуулах ёстой. дээр дэлгэц 4. Эдгээр мессежийг F:snortlog бүртгэлд бичдэг.

Туршилтын зорилтот вэб сайтуудыг болгоомжтой сонгох хэрэгтэй. Техникийн үүднээс авч үзвэл ихэнх вэб сайтын админууд ийм үйлдлийг хакердах оролдлого гэж үздэг. Энэ оролдлого амжилтгүй болно (серверийн тохиргоонд ноцтой алдаа гарахаас бусад тохиолдолд), гэхдээ би зөвхөн өөрийн сервер эсвэл администраторууд нь туршилтын талаар мэддэг итгэмжлэгдсэн серверээр туршиж үзэхийг зөвлөж байна.

Туршилт хийх боломжгүй бол Snort-г шалгах өөр нэг арга бол сүлжээгээр дамжуулан Snort ажиллаж байгаа сервер эсвэл компьютер руу ер бусын урт цуурай хүсэлт илгээх явдал юм. Жишээлбэл, та Ping командыг ашиглаж болно

Ping -l 32767 ip_хаяг

Энд ip_address нь зорилтот сервер эсвэл Snort компьютерийн IP хаяг юм. Энэ тушаал нь маш урт пакет (яг урт - 32 KB) илгээх ёстой бөгөөд энэ нь Ping командын хувьд ер бусын зүйл юм. Доод найман анхааруулга дээр харагдсанаар Snort энэ багцыг илрүүлэх ёстой дэлгэц 4 .

Хэрэв та анхааруулга хүлээн авбал Snort-г өөрийн нөхцөл байдалд тохируулж эхлэх боломжтой. Үгүй бол та суулгах процедур руу буцаж очоод ямар нэг алхам алгассан эсэхийг шалгах хэрэгтэй.

Алхам 4: Snort-г тохируулах

Snort тохиргооны үндсэн өгөгдөл нь snort.conf файлд хадгалагддаг бөгөөд энэ нь анхдагчаар %systemdrive%snortetc директорт байрладаг. Хэрэв та командын мөрөнд програмын замыг зааж өгвөл файлыг энэ хавтсанд үлдээж эсвэл өөр хавтас руу зөөж болно.

Snort.conf-д байгаа бүх параметрүүдийн нарийвчилсан тайлбар нь сэтгүүлийн бүхэл бүтэн дугаарыг дүүргэх боломжтой, учир нь Snort бол гайхалтай хүчирхэг програм юм. Одоогоор бид зөвхөн түүний үндсэн параметрүүдийг авч үзэх болно.

Ирж буй траффикийг гарч буй траффикаас ялгахын тулд та Snort-д байгууллагынхаа сүлжээний хостууд болон IP хаягуудыг хэлэх хэрэгтэй. Энэ мэдээллийг оруулахын тулд HOME_NET хувьсагчийг snort.conf файлд тохируулсан байх ёстой. Та мөрийг олох хэрэгтэй

HOME_NET аль нэгийг сонгоно уу

мөн үүнийг олон тооны IP хаягаар солино. Жишээлбэл, та нэг мужийг зааж өгч болно

HOME_NET 192.168.0.1/24

эсвэл хэд хэдэн муж. Олон мужийг зааж өгөхдөө та мужуудын багцыг дөрвөлжин хаалтанд хийж, муж бүрийг таслалаар тусгаарлах ёстой. Та IP хаягийн муж хоорондын зайг оруулах боломжгүй. Жишээлбэл, шугам

HOME_NET байна

10.0.1.0/24, 10.0.2.0/24, 10.0.3.0/24 дэд сүлжээнүүд аж ахуйн нэгжийн сүлжээнд харьяалагддаг гэж Snort-т мэдэгдэв. Анхдагч байдлаар, Snort бусад бүх хаягийг гадаад гэж үздэг. Та EXTERNAL_NET хувьсагчийг тохируулснаар ямар сүлжээг гадаад гэж үзэхийг тодорхой зааж өгч болно. snort.config файлаас та мөрийг олох хэрэгтэй

EXTERNAL_NET-г дурын

гадна гэж үзэх ёстой сүлжээний IP хаягаар солино. Гэхдээ ерөнхийдөө EXTERNAL_NET хувьсагчийг аль нэгэнд нь үлдээсэн нь дээр.

Хэсэг хугацаа зарцуулсны дараа та байгууллагынхаа серверийн төрлүүд болон тэдгээрийн байршлыг тодорхойлох боломжтой. Энэ мэдээлэл нь snort.conf файлын дараах мөрүүдэд байгаа DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS, болон TELNET_SERVERS хувьсагчид агуулагдсан байна:

DNS_SERVERS $HOME_NET, SMTP_SERVERS $HOME_NET, HTTP_SERVERS $HOME_NET, SQL_SERVERS $HOME_NET, TELNET_SERVERS $HOME_NET, SNMP_SERVERS $HOME_NET.

Анхдагч байдлаар, бүх зургаан серверийн хувьсагчийг $HOME_NET гэж тохируулсан; Энэ нь Snort нь HOME_NET хүрээн дэх бүх систем дээрх бүх төрлийн халдлагыг хянах болно гэсэн үг юм. Энэ тохиргоо нь администраторууд нь тодорхой тооны хуурамч сэрэмжлүүлгийг тэсвэрлэдэг жижиг сүлжээний хувьд нэлээд зөвшөөрөгддөг. Гэхдээ ачаалал ихтэй замын хөдөлгөөнийг хянахын тулд Snort-ийг нарийн тааруулж, зарим зангилааны гарын үсгийн зөвхөн хэсгийг шалгахыг зөвлөж байна. Зөвхөн Microsoft IIS ажиллаж байгаа вэб серверийг SQL буфер халих халдлагаас хамгаалах нь утгагүй юм. Тодорхой хостын ангиллыг тодорхойлохын тулд та $HOME_NET-г HOME_NET хувьсагчид ашигласан форматын дагуу зорилтот серверийн IP хаягаар солих ёстой. Жишээлбэл, DNS_SERVERS хувьсагчийн хувьд $HOME_NET-ийн оронд DNS серверүүдийн IP хаягийн мужийг орлуулах хэрэгтэй.

Тодорхой програмуудад зориулж серверүүдийн ашигладаг портуудыг тодорхойлох замаар тааруулах нарийвчлалыг сайжруулж болно. Жишээлбэл, хэрэв вэб серверүүд 80-р портын оронд HTTP урсгалд зориулж тусгай порт 8080 ашигладаг бол (энэ портыг ихэвчлэн вэб сервер болон хөтчүүдэд ашигладаг) HTTP_PORTS хувьсагчийг өөрчилснөөр Snort-г 8080 портыг хянахаар тохируулж болно. snort.conf дээр та мөрийг олох хэрэгтэй

HTTP_PORTS 80-г тохируулна уу

мөн шугамаар солино

HTTP_PORTS 8080 тохируулна уу

Үүний нэгэн адил та Oracle (ORACLE_PORTS хувьсагчаар тодорхойлогддог) болон бусад програмуудын портуудыг өөрчилж болно. HTTP_PORTS хувьсагчийн нэгэн адил ORACLE_PORTS нь өгөгдмөл нь 80 байна. Хэрэв сервер оронд нь 1521 портыг ашигладаг бол мөр нь иймэрхүү харагдах болно.

ORACLE_PORTS 1521 байна

Тиймээс snort.conf файлд тохируулж болох олон тохиргоо байдаг. Та snort.conf-г шалгаж өөрийн орчиндоо хамгийн чухал тохиргоог олж, тохируулан тохируулах хэрэгтэй.

Үе шат 5. Дүрмийг тогтоох

snort.conf доторх мөрүүдийн нэг нь RULE_PATH хувьсагчийг агуулна. Энэ мөрийн жишээ:

RULE_PATH ../дүрэм

../rules сонголт нь дүрмүүдийг (жишээ нь гарын үсэг) дүрмийн лавлахаас олж болохыг зааж өгдөг бөгөөд энэ нь лавлах бүтэц дэх Snort хоёртын файлтай ижил түвшинд байна. Жишээлбэл, хэрэв та ерөнхий хавтсанд Snort суулгасан бол Snort хоёртын файлууд нь F:snortin, дүрэм нь F:snort ules дотор байна. Хэрэв та хүсвэл RULE_PATH хувьсагчийг өөрчилж болно, гэхдээ үндсэн сонголт нь зүгээр.

Дүрэм бол Snort-ийн үндэс суурь юм. Эдгээр нь байтуудын дараалал, халдлагын гарын үсэг болон илэрсэн үед сэрэмжлүүлэг үүсгэдэг бусад төрлийн өгөгдөл юм. Снорт 1500 гаруй бэлэн гарын үсэгтэй.

Дүрэм ямар харагдаж байна вэ? Snort тестийн үеэр зөрчсөн cmd.exe-н дүрэм дараах байдалтай байна: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe хандалт"; flow:to_server, тогтсон; агуулга: " cmd.exe"; ангийн төрөл: вэб програм-халдлага; sid: 1002;). Дүрмийн үндсэн бүрэлдэхүүн хэсгүүдийг авч үзье. $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS холбоос нь зөвхөн гаднаас (EXTERNAL_NET хувьсагчаар тодорхойлогдсон) сүлжээнд орж ирж буй траффикийг шинжлэх ёстойг заадаг. Агуулга: параметр нь өгөгдлийн урсгал дахь cmd.exe тэмдэгтүүдийн дарааллыг хайхыг зааж өгдөг. Snort ийм дарааллыг илрүүлэх үед msg: параметрээр заасан анхааруулгыг үүсгэдэг.

cmd.exe жишээнээс харахад дүрмүүд нь ихэвчлэн энгийн байдаг. Та ямар ч төрлийн замын хөдөлгөөний дүрмээ өөрөө үүсгэж болно. Жишээлбэл, хэрэв та командын орчуулагчаар дамжуулан машин дээрх лавлах руу алсаас нэвтрэх зөвшөөрөлгүй оролдлогыг илрүүлэхийг хүсвэл драйвын эзлэхүүн эсвэл гадагшаа гарах порт гэх мэт ховор олддог портууд дээрх эзлэхүүний серийн дугаарыг хайж болно. Дүрмийг хуваарилах уян хатан хандлагын ачаар админууд Snort-ийн тохиргооны өргөн сонголттой болсон.

Snort-ийн 1500 дүрмийг шинжилж буй өгөгдлийн төрлөөс хамааран өөр өөр файлд хадгалдаг. Жишээлбэл, cmd.exe файлын дүрэм web-iis.rules файлд байдаг. Хэрэв аж ахуйн нэгж IIS ашигладаггүй бол програм нь IIS халдлагыг илрүүлэх шаардлагагүй болно. Web-iis.rules файлыг мөрийг олж, тайлбар хийснээр тохиргооноос амархан устгаж болно.

$RULE_PATH/web-iis.rules оруулах

snort.conf файлд. Мөрийг тайлбар болгохын тулд түүний өмнө (#) тэмдэг тавина:

# $RULE_PATH/web-iis.rules орно

Анхдагч байдлаар, зарим төрлийн дүрмийн файлуудыг (жишээ нь, icmp-info.rules, chat.rules) snort.conf доторх тайлбараар төлөөлдөг. snort.conf дээрх дүрмийн анхдагч тохиргоо нь маш сайн. Хориглогдсон дүрмийг идэвхжүүлсний дараа програм нь ихэвчлэн олон шаардлагагүй анхааруулга үүсгэдэг.

Зарим файлууд нь хэд хэдэн хэрэгтэй дүрмийг агуулдаг боловч цөөн хэдэн дүрмүүд нь хэтэрхий олон шаардлагагүй анхааруулга үүсгэдэг. Тодорхой дүрмийг идэвхгүй болгохын тулд дүрмийн файл дахь харгалзах мөрийг тайлбар болгон тэмдэглэх хэрэгтэй. Ирээдүйд Snort файлтай ажиллахдаа энэ дүрмийг үл тоомсорлох болно.

Шинэ аюулын эх үүсвэр гарч ирэхэд дүрмийн файлыг шинэчлэх шаардлагатай. Шинэ дүрмийн хамгийн сайн эх сурвалж бол Snort.org юм. Энэ вэб сайт нь автоматаар шинэчлэх үйлчилгээгүй тул шинэ аюул заналхийлсэн үед админ шинэчлэлтүүдийг байнга шалгаж байх шаардлагатай.

Алхам 6: Анхааруулга болон бүртгэлийг тохируулах

Өмнө дурьдсанчлан, Snort нь MySQL, SQL Server, Oracle болон ODBC-тэй нийцтэй өгөгдлийн сан дахь мэдээллийг бүртгэдэг. Snort суулгах явцад тохирох мэдээллийн сангийн төрлийг сонгоход л хангалттай. Өгүүллийн уртыг хэт их нэмэгдүүлэхгүйн тулд бид текст файл ашиглан стандарт бүртгэлийн горимууд болон Windows үйл явдлын бүртгэлд мессеж бичих функцийг авч үзэх болно.

Snort командыг ашиглан NIDS-г ажиллуулах үед -A консол шилжүүлэгч нь дэлгэцэн дээр анхааруулга гаргахад хүргэдэг. Мессежийг текст файл руу дамжуулахын тулд та өөрийн сонгосон бүртгэлийн горимоос хамааран энэ шилжүүлэгчийг -A хурдан эсвэл -A дүүрэн гэж солих хэрэгтэй. Бүрэн параметр нь лавлах дахь alerts.ids нэртэй текст файлын хэд хэдэн мөрөнд аюулын талаар дэлгэрэнгүй тайлбарыг харуулдаг бөгөөд хүрэх замыг -l шилжүүлэгчээр зааж өгдөг. Энэ төрлийн бүртгэл нь дэлгэрэнгүй мэдээллийг өгдөг боловч сүлжээнд олон үйл явдал бүртгэгдэж байгаа бол ойлгоход хэцүү байж болно. Ийм "шуугиантай" сүлжээнд сэжигтэй урсгалын үндсэн шинж чанаруудыг агуулсан alerts.ids-д нэг мөрт оруулга нэмэхийн тулд хурдан горимыг ашиглахыг зөвлөж байна. Миний бодлоор хурдан горимд текст файлтай ажиллах нь бүрэн горимоос илүү хялбар байдаг.

Snort-ийн одоогийн хувилбар нь Windows үйлдлийн бүртгэлд нэвтрэх боломжийг олгодог. Олон байгууллагууд үйл явдлын төвлөрсөн хяналт, бүртгэл, мэдээлэл цуглуулах хэрэгслийг аль хэдийн худалдаж авсан бөгөөд энэ функц нь Windows-ийн орчинд маш сайн нэмэлт байх болно.

Snort ажиллаж байгаа системийн Хэрэглээний үйл явдлын бүртгэлд анхааруулга бичихийн тулд -A шилжүүлэгчийн оронд -E шилжүүлэгчийг ашиглана уу (параметрүүд нь нэмэлт). Зураг 5-д Snort үйл явдал (энэ тохиолдолд cmd.exe руу нэвтрэх оролдлого) Програмын бүртгэлд нийтлэгдсэн хэрхэн харагдахыг харуулж байна. Windows үйл явдал нь консолын дэлгэцтэй ижил дэлгэрэнгүй мэдээллийг өгдөг.

Хэрэв администратор долоо хоногт нэг удаа үйл явдлын бүртгэлийг (эсвэл текстийн бүртгэл) хардаг бол NIDS ашиггүй болно. Сүлжээнд ямар нэг зүйл тохиолдвол администратор энэ талаар даруй мэдэж байх ёстой. Төвлөрсөн хяналт, үйл явдал боловсруулах систем нь имэйл, пейжер болон бусад холбооны хэрэгслээр мессеж илгээх боломжтой. Гэхдээ ийм систем байхгүй бол энэ нь санаа зовох шалтгаан биш юм. NETIKUS.NET нь сэрэмжлүүлэг илгээхэд ашиглаж болох үнэгүй EventSentry Light багцыг санал болгодог.

EventSentry Light нь EventSentry-ийн туршилтын хувилбар бөгөөд эндээс татаж авч болно http://www.netikus.net/products_downloads.html. EventSentry Light-ийн тусламжтайгаар та үйл явдлын бүртгэлийг хянах, бүртгэлд бүртгэгдсэн аливаа Snort үйл явдлын талаар дэлгэрэнгүй имэйл мессежийг автоматаар илгээх системээ тохируулах боломжтой. Асаалттай дэлгэц 6 cmd.exe руу халдахыг оролдсон тухай имэйл мессежийг харуулж байна. Халдлага болсны дараа би EventSentry Light-аас энэ мессежийг хүлээн авлаа.

Дээр дурдсанчлан, Snort нь ихэвчлэн үйл явдлын бүртгэлийг хурдан дүүргэдэг олон тонн шаардлагагүй мессеж үүсгэдэг. Энэ нь үйл явдлын бүртгэлийн файлын хэмжээ болон тэдгээрийг хэрхэн эргүүлэхийг сонгохдоо анхаарах зүйл юм. EventSentry Light нь таны ирсэн имэйл хайрцагт жижиг үйл явдлуудын тухай мессежээр дүүрэхээс сэргийлэхийн тулд та түлхүүр мөрүүдийг хайх шүүлтүүр үүсгэж болно. Жишээлбэл, би мессежийн текст дэх мөрийг хайх шүүлтүүрийг зохион байгуулсан.

Алхам 7: Үйлчилгээ болгон ажиллуул

Хийж дууссаныхаа дараа та програмыг ажиллуулах болгондоо ширээний компьютерт нэвтрэх шаардлагагүй, Snort-г үйлчилгээ болгон ажиллуулж болно. Хэрэв та Snort-г /SERVICE болон /INSTALL сонголтоор (бусад командын мөрийн сонголтуудын хамт) ажиллуулж байгаа бол Snort нь Windows-ийн үйлчилгээ хэлбэрээр ажиллахаар тохируулагдсан бөгөөд хэрэглэгчийн оролцоогүйгээр Windows-ээс автоматаар эхэлдэг.

Дараагийн түвшин: өргөтгөлийн модулиуд

Snort бол бүрэн онцлогтой програм юм. Гэсэн хэдий ч зарим тохиолдолд хөтөлбөрийг өргөжүүлэх шаардлагатай байдаг. Жишээлбэл, хэд хэдэн NIDS сүлжээний өөр өөр хэсэгт байрлуулсан бол Snort-ийг график интерфэйсээс удирдахад тохиромжтой. Ийм чадавхийг Engage Security болон Activeworx-ын IDS бодлогын менежерийн IDScenter өргөтгөлийн модулиудад хэрэгжүүлдэг. Заримдаа мессежэнд агуулагдаж буй мэдээлэлд дүн шинжилгээ хийх шаардлагатай байдаг. Та Карнеги Меллон Их Сургуульд боловсруулсан халдлагын мэдээллийн баазын шинжилгээний консол (ACID) модулийг ашиглан хадгалагдсан өгөгдлийг харж, дүн шинжилгээ хийх боломжтой.

Найдвартай хамгаалалт

Snort бол компанийн төсөвт хохирол учруулахгүй бүрэн хэмжээний програм юм. Snort-ийг EventSentry Light зэрэг үйл явдлыг хянах хүчирхэг программтай хослуулснаар та сүлжээнийхээ эсрэг халдлагаас урьдчилан сэргийлэх боломжтой.

ОХУ-ын БОЛОВСРОЛ, ШИНЖЛЭХ УХААНЫ ЯАМ

Мэргэжлийн дээд боловсролын улсын боловсролын байгууллага

"САНТ-ПЕТЕРБУРГИЙН УЛСЫН ИХ СУРГУУЛЬ
Агаар сансрын багаж хэрэгслийн инженерчлэл"

СУРГАЛТЫН АЖИЛ (ТӨСӨЛ)
САЙН ҮНЭЛГЭЭТЭЙ ХАМГААЛСАН

УДИРДЛАГА

АЖИЛ ДУУССАН)

Санкт-Петербург 2011 он

1.. Snort гэж юу вэ?. 2

2. Үнэрлэгч горим: 2

3. Пакет бүртгэлийн горим. 6

4. Сүлжээний халдлагыг илрүүлэх горим. 6

1. Snort гэж юу вэ?

Snort бол халдлага илрүүлэх хөнгөн систем юм. Snort-ийг ихэвчлэн "хөнгөн" NIDS гэж нэрлэдэг / тайлах, орчуулах / - учир нь энэ нь ихэвчлэн жижиг сүлжээнд зориулагдсан байдаг. Програм нь протоколын шинжилгээ хийх боломжтой бөгөөд янз бүрийн халдлагуудыг илрүүлэхэд ашиглаж болно.

Snort нь аль урсгалыг зөвшөөрөх, алийг нь хаахыг мэдэхийн тулд "дүрэм" ("дүрэм" файлд заасан) ашигладаг. Энэхүү хэрэгсэл нь уян хатан бөгөөд шинэ дүрмийг бичиж, дагаж мөрдөх боломжийг танд олгоно.

Snort нь 3 үндсэн горимд ажиллах боломжтой.

· Sniffer горим: сүлжээнээс пакетуудыг зүгээр л барьж аваад дэлгэцэн дээр (ихэвчлэн консол) харуулах боломжийг олгодог.

· Пакет бүртгэлийн горим: багцуудыг хатуу дискэндээ хадгалах боломжийг олгоно

· Intrusion Detection System (NIDS) горим нь хэрэглэгчийн тодорхойлсон дүрэм журмын дагуу сүлжээний урсгалыг шинжлэх боломжийг олгодог хамгийн боловсронгуй бөгөөд өөрчлөх боломжтой тохиргоо юм.

2. Үнэрлэгч горим:

Пакет үнэрлэх горимд Snort зүгээр л сүлжээнээс ирж буй пакетуудыг уншиж, дэлгэцэн дээр харуулдаг. TCP/IP пакетийн толгойг харуулахын тулд та дараахийг ажиллуулах ёстой:

хурхирах –v

Энэ тушаал нь IP болон TCP/UDP/ICMP багцын толгойг харуулна. Та пакетуудыг хаанаас, хаанаас, хэдэн /хаяг/ руу илгээсэн болохыг харж болно. Зураг/зураг нь лавлагааны үүднээс дугаарлагдсан байх ёстой. Холбоос байхгүй - энэ нь зураг шаардлагагүй гэсэн үг юм / хоёр гарах хаяг байгаа нь тодорхой байна / та үүнийг хаанаас харж болох вэ? Зураг дээрх оруулгуудын форматыг тайлах эсвэл ядаж мөрийн дугаарыг заана уу /

Эдгээр хаягууд юу болохыг ойлгохын тулд тушаалыг ажиллуулна уу

системийн мэдээлэл

Хормын хувилбараас/аль хэдийн - хормын хувилбарууд. зураг биш үү? Баримт бичгийн нэгдмэл байдлыг хадгалах ёстой! Эсвэл өөр зүйл байна уу?/ Эдгээр хаягууд нь юу болох нь тодорхой болно. /за, тэдгээрийг жагсаах - эсвэл ядаж зааж өгнө үү. тэдгээрийн тоог дөрвөлжин хаалтанд оруулсан байна/

Багцанд агуулагдах өгөгдлийг харахын тулд та дараах зүйлийг оруулах ёстой.

snort-vd

https://pandia.ru/text/78/320/images/image004_112.jpg" alt=" detailed_output.jpg" width="589" height="338">!}

Шилжүүлэгчийг ямар ч хэлбэрээр өгч болно, жишээлбэл: "snort - vde", "snort - d - ev" болон "snort - e - v -d".

Snort тасалдал хүртэл мэдээлэл цуглуулах болно. Пакет барьж дуусгахын тулд та Ctrl-C товчийг дарах ёстой. Ctrl-C товчийг дарсны дараа баригдсан пакетуудын тайлан гарч ирнэ. Snort-г нэг минут орчим ажиллуулсны дараах тайланг доор харуулав.

Хормын хувилбараас харахад дүн шинжилгээ хийсэн пакетуудын ихэнх нь TCP/IP пакетууд байгааг харж болно. UDP пакетуудыг мөн барьж авсан.

3. Пакет бүртгэлийн горим

Пакет бүртгэлийн горим нь мэдээллийн урсгалыг диск рүү бичих боломжийг олгодог. Энэ нь тодорхой хугацааны туршид дүн шинжилгээ хийх эсвэл тохиргоо болон аюулгүй байдлын бодлогод өөрчлөлт орсон эсэхийг шалгахад хэрэгтэй.
Та бүртгэлд зориулсан лавлах үүсгэж, зааж өгөх хэрэгтэй бөгөөд Snort автоматаар пакет бүртгэлийн горимд шилжих болно.

Жишээ нь: лавлах үүсгэх бүртгэлүүд болон ажиллуулах:

snort - dev - l../log

Үйлдлийн үр дүнд / хаанаас, хаанаас хайх, хүссэн байршлыг хэрхэн зааж өгөх вэ? / файл шуугина. лог.. Шинэ файлын нэрний төгсгөлд байгаа тоонууд нь цагийн тэмдэг бөгөөд файл үүсгэх үед зөрчилдөөнөөс зайлсхийхэд тусалдаг. /логийн файлын жишээ авах нь зүйтэй/

4. Сүлжээний халдлагыг илрүүлэх горим

Snort-ийн гурав дахь горим нь Сүлжээний халдлагыг илрүүлэх (NIDS) горим юм.

Үндсэн хэлбэрээрээ Snort дүрэм /тэдгээрийг хаана хадгалдаг вэ?/ нь толгой ба параметр гэсэн хоёр хэсгээс бүрдэнэ. Доорх дүрмийн жишээг үзүүлэв.

alert tcp any -> any any (агуулга: "www."; msg: "Хэн нэгэн одоо youtube-д зочилж байна"; sid:1000002; rev:1)

Дүрмийн бүтцийн загварыг дүрсэлж болох уу, эсвэл үүнийг өөрчлөх боломжтой юу? дөрвөлжин хаалтанд байгаа элементүүд нь сонголттой гэж найдаж байна. мэдэгдэж байна. Гэхдээ дараахь схемийн дагуу тэдгээрийн хооронд тусгай тусгаарлагч байдаг уу?

<действие_правила> <протокол> <порт> <оператор_направления>

<порт>([мета_өгөгдөл] [багцын_агуулгын_өгөгдөл]

[толгойн_мэдээлэл] [илрүүлсний_дараа_үйлдэл])

Дүрмийн үйлдлүүдийг дараах ангилалд хуваана.

1. сэрэмжлүүлэг - Сонгосон аргыг ашиглан сэрэмжлүүлэг үүсгэн бүртгэлийн системд мэдээлнэ.

2. бүртгэл - Багцын мэдээллийг бүртгэхийн тулд бүртгэлийн системийг ашиглах.

3. нэвтрүүлэх - Багцыг үл тоомсорлох.

4. идэвхжүүлэх - Өөр динамик дүрмийг ашигла.

5. динамик - Идэвхтэй дүрмийг гүйцэтгэсний дараа бүртгэл хөтлөх журамтай дүрмийг идэвхжүүлнэ.

6. унах - Програм хангамжийн галт ханыг ашиглан пакетийг буулгаж, бүртгэлийн системд мэдээллийг мэдээлнэ

7. sdrop - Програм хангамжийн галт ханыг ашиглан пакетыг буулгаж, бүртгэлийн системийг бүү ашигла.

8. татгалзах - Галт хана ашиглан, хэрэв протокол нь TCP бол пакетыг хаях эсвэл лог файл руу мессеж бичнэ үү: Хэрэв пакет UDP протоколоор ирсэн бол ICMP порт боломжгүй болно.

Snort дүрмийн хоёр дахь хэсэг нь илрүүлсэн замын хөдөлгөөний нэмэлт мэдээллийг тодорхойлсон сонголтууд юм. Та TCP/ толгой хэсгийн багц талбарууд эсвэл багцын ачааллаар хайх боломжтой. Сонголт бүрийн ард хашилт болон хайж буй утгыг оруулах ёстой. Та цэг таслалаар ялгаж олон сонголтыг нэмж болно. Дараах нь хүчинтэй сонголтууд юм.

сид - дүрмийг тодорхойлсон өвөрмөц шошго. Энэ сонголтыг сонголттой хамт ашиглах ёстой илч .

<100 зарезервировано для дальнейшего использования

100-999,999 аль хэдийн хадгалагдсан дүрэм

>=1,000,000 хэрэглэгчийн тодорхойлсон дүрэм

илч- дүрмийн хувилбарын үнэ цэнэ. Rev дүрмийн орчуулагч ашиглах

Snort нь бичсэн дүрмийн хувилбарыг тодорхойлдог.

Та Snort-ийг IDS горимд дараах тушаалаар ажиллуулж болно.

snort - c "D:\Program Files\Snort\etc\snort. conf" - l " D:\Program Files\Snort\log" - Консол - i 1

түлхүүр - Хамт IDS горим идэвхжсэн гэсэн үг

түлхүүр – л файлын замыг зааж буй хатуу диск рүү бичлэг хийх горимыг идэвхжүүлдэг

түлхүүр – А бүх анхааруулгыг консолын гаралтаар хуулбарлах болно гэдгийг харуулж байна

түлхүүр – би Бидний сонирхож буй интерфейсийн индексийн дугаарыг заана

Дэмжигдсэн интерфэйсүүдийг мэдэхийн тулд та дараах тушаалыг ажиллуулах хэрэгтэй:

хурхирах – В

Файлын агуулга хурхирах. conf

Файлын агуулга *****лз:

Файл дотор хурхирч байна. conf түлхүүр үг ашиглан дүрмийг холбож болно оруулах .

Тушаалын үр дүн:

Снорт "аюултай" сайт руу нэвтрэх оролдлогыг илрүүлсэн нь харагдаж байна.

Тархалтыг хаанаас авсан эх сурвалж, ямар үйлдлийн систем дээр судалгаа хийсэн талаар мэдээлэл алга

Ерөнхийдөө ажил нь маш сонирхолтой юм. /