4.4 Snort va Archive ma'lumotlar bazalarida jadvallar yaratish

Biz Snort va Arxiv ma'lumotlar bazalarini joylashtirish uchun Snort sxemasidan foydalanamiz.

# cd /usr/share/doc/snort-mysql # zcat create_mysql.gz | mysql -u -h localhost -p snort # zcat create_mysql.gz | mysql -u -h localhost -p arxivi

4.5 Ma'lumotlar bazalari va yangi yaratilgan jadvallarni yaratishni tasdiqlash.

MySQL serveriga kiring va biz yaratgan maʼlumotlar bazalarini va ushbu maʼlumotlar bazalarida joylashtirilgan jadvallarni tekshiring. Agar hamma narsa muvaffaqiyatli yaratilgan bo'lsa, MySQL ma'lumotlar bazalarida to'rtta (4) ma'lumotlar bazasini (mysql, test, snort va arxiv) va har bir ma'lumotlar bazasida taxminan 16 ta jadvalni ko'rasiz.

# mysql -u root -p mysql> ma'lumotlar bazalarini ko'rsatish; mysql> snort dan foydalaning; mysql> jadvallarni ko'rsatish; mysql> arxivdan foydalanish; mysql> jadvallarni ko'rsatish; mysql> chiqish

4.6 Snortni sinash

Terminal rejimida buyruqni kiriting: # snort -c /etc/snort/snort.conf

Agar hamma narsa yaxshi bo'lsa, javobni ascii kodlarida ko'rishingiz kerak.

Sinovni tugatish uchun ctrl + c tugmalarini bosing

5. Apache2 ni sozlash

Apache2 paketi allaqachon kompyuteringizga o'rnatilgan bo'lishi kerak.

Sevimli matn muharriridan foydalanib, /var/www/ jildida test.php nomli fayl yarating.

# vim /var/www/test.php

Unga yozing:

O'zgartirishlaringizni saqlang va ushbu faylni yoping.

/etc/php5/apache2/php.ini faylini tahrirlang

# vim /etc/php5/apache2/php.ini

"Dinamik kengaytmalar" qatoriga quyidagilarni qo'shing:

Extension=mysql.so extension=gd.so

Apache2 ni qayta ishga tushiring.

# /etc/init.d/apache2 qayta ishga tushiring

Ish kompyuteringizning IP manzilini oling.

# ifconfig -a

Veb-brauzeringizni oching va http://YOUR_IP_ADDRESS/test.php saytiga o'ting.

Agar hamma narsa yaxshi bo'lsa, PHP ma'lumotlari ko'rsatiladi.

6. Papkalarni sozlash

ADOdb-ni /var/www jildiga o'tkazing.

# mv /usr/share/php/adodb /var/www/

Www-da web deb nomlangan papka yarating va unga ACIDBASE-ni o'tkazing.

# mkdir /var/www/web # mv /usr/share/acidbase /var/www/web/

Uni o'rnatish uchun kislota bazasi ma'lumotlar bazasi papkasiga yozishga vaqtincha ruxsat bering.

# chmod 777 /var/www/web/acidbase

# cd /var/www/web/acidbase # mv base_conf.php base_conf.old

ACIDBASE da ishlash uchun quyidagi buyruqni bajaring:

#pear o'rnatish Image_Color

7. Snort va Archive ma'lumotlar bazalari uchun ACIDBASE dasturini o'rnatish

7.1 Snort ma'lumotlar bazasini veb-brauzer orqali o'rnatish

1/5 qadam:

ADODB yo'lini kiriting. Bu /var/www/adodb.

2/5 qadam:

Asosiy ma'lumotlar bazasi turi = MySQL
Ma'lumotlar bazasi nomi = snort
Ma'lumotlar bazasi xosti = localhost (Snort ma'lumotlar bazasining mahalliy joylashuvi),
Ma'lumotlar bazasi foydalanuvchi nomi =<ваше_имя_пользователя>(Snort ma'lumotlar bazasi foydalanuvchi nomi)
Ma'lumotlar bazasi paroli =<ваш_пароль>(Snort ma'lumotlar bazasi uchun parol)

Arxiv ma'lumotlar bazasi turi = MySQL (Arxiv ma'lumotlar bazasi turi),


Ma'lumotlar bazasi foydalanuvchi nomi =<ваше_имя_пользователя>
Ma'lumotlar bazasi paroli =<ваш_пароль>

3/5 qadam:

Agar autentifikatsiyadan foydalanmoqchi bo'lsangiz, foydalanuvchi nomingiz va parolingizni kiriting (foydalanuvchi:<ваше_имя>, parol:<ваш_пароль>).

4/5 qadam:

BASE AG yaratish-ni bosing.

5/5-qadam:

4-bosqich tugagach, pastki qismida bosing: Endi 5-bosqichga o'ting.

Ushbu sahifani belgilang.

7.2 Arxiv ACIDBASE ma'lumotlar bazasi uchun papka yarating

Arxiv ma'lumotlar bazasi to'g'ri ishlashi uchun ACIDBASE papkasida arxiv papkasi yaratilishi kerak.

# mkdir /var/www/web/acidbase/archive # cd /var/www/web/acidbase # cp -R * /var/www/web/acidbase/archive # chmod 777 /var/www/web/acidbase/archive

Mavjud base_conf.php faylining nomini base_conf.old deb o'zgartiring.

# cd /var/www/web/acidbase/archive # mv base_conf.php base_conf.old

7.3 Arxiv ma'lumotlar bazasini veb-brauzer orqali o'rnatish.

Veb-brauzerni oching va http://YOUR_IP_ADDRESS/web/acidbase/archive/setup sahifasiga o'ting.

Birinchi sahifada Davom etish tugmasini bosing.

1/5 qadam:

ADODB yo'lini kiriting. Bu /var/www/adodb. >

2/5 qadam:

Arxiv ma'lumotlar bazasi turi = MySQL
Ma'lumotlar bazasi nomi = arxiv (Ma'lumotlar bazasi arxivi),
Ma'lumotlar bazasi xosti = localhost (Arxiv ma'lumotlar bazasining mahalliy joylashuvi),
Ma'lumotlar bazasi foydalanuvchi nomi =<ваше_имя_пользователя>(Arxiv ma'lumotlar bazasi foydalanuvchi nomi),
Ma'lumotlar bazasi paroli =<ваш_пароль>(Arxiv ma'lumotlar bazasi uchun parol)

3/5 qadam:

Agar autentifikatsiyadan foydalanmoqchi bo'lsangiz, foydalanuvchi nomingiz va parolingizni kiriting (foydalanuvchi:<ваше_имя_пользователя>, parol:<ваш_пароль>).

4/5 qadam:

BASE AG yaratish-ni bosing.

5/5-qadam:

4-bosqich tugagach, pastki qismni bosing: Endi 5-bosqichga o'ting (Endi 5-bosqichga o'ting).

8. Snort-ni ishga tushiring va xizmatlar holatini tekshiring.

Snort-ni ishga tushirish uchun terminal rejimini kiriting:

# snort -c /etc/snort/snort.conf -i eth0 -D

Bu buyruq demo rejimida eth0 interfeysi yordamida snortni boshlaydi.

Xizmat ishlayotganligini quyidagi buyruq yordamida tekshirishingiz mumkin:

# ps aux | grep qichqirdi

Agar xizmat ishlayotgan bo'lsa, siz quyidagi snort -c /etc/snort/snort.conf -i eth0 -D ga o'xshash narsani ko'rasiz.

Quyidagi buyruqlarni bajarish orqali barcha kerakli xizmatlar ishlayotganligini tekshiring:

# /etc/init.d/mysql status # /etc/init.d/apache2 status # /etc/init.d/snort status

Agar xizmatlar ishlayotgan bo'lsa, siz javob xabarini ko'rasiz .

Agar kerak bo'lsa, buyruqni bajaring
# /etc/init.d/ qayta ishga tushirish
qayta ishga tushirilishi kerak bo'lgan xizmatlarning har biri uchun.

Kirish

Ushbu ishning asosiy maqsadi mashhur IDS ilovasi Snortni tavsiflash va o'rganishdir. Snort - bu ko'plab tarmoq ma'murlari tomonidan zararli imzolarni qo'lga olish va ularning tarmog'i hujumga uchraganida ularni ogohlantirish uchun foydalaniladigan katta ochiq kodli loyiha. Snort tarmoq interfeyslaridagi barcha trafikni to'xtatadi, paketlarni shubhali so'rovlar va hujumga urinishlar uchun tekshiradi.

Uning asosiy afzalligi - bu mavjudlik va ishingizni maxsus ish tarmog'ingizga mos ravishda tahrirlash qobiliyati. Dastur kichik va yirik tashkilotlarda ishlash uchun mo'ljallangan. Bundan tashqari, ma'lum bir tashkilotning xavfsizlik talablari (masalan, xodimlarning ijtimoiy tarmoqlarga kirishini taqiqlash) asosida o'zingizning noyob qoidalaringizni tahrirlash qobiliyati ham muhimdir.

Kamchiliklarga ba'zi operatsion tizimlarda (masalan, Windows) sozlash va o'rnatishning noqulayligi, sozlashning yagona to'liq va batafsil tavsifining yo'qligi va o'zingizning qoidalar to'plamini ishlab chiqish kiradi.

Bundan tashqari, noto'g'ri signallarni o'chirish juda qiyin, chunki turli korxonalar ko'pincha turli xil cheklovlarga ega va qoidalarni juda nozik sozlash talab etiladi. Katta-kichik klavishlar yordamida dasturni ishga tushirishning ko'plab rejimlarini eslab qolish juda qiyin va xato chiqishga olib kelishi mumkin.

Ushbu ishning asosiy vazifasi IDS Snort ning funksional xususiyatlarini tushunish va unga har xil turdagi tarmoq hujumlarini amalga oshirish orqali dasturning ishlashini tekshirishdir. Qulayroq formatda shunga o'xshash IDS mavjudligini bilib oling. Snort ma'lumotlar bazalari bilan qanday o'zaro ta'sir qiladi. Bir nechta noyob qoidalarni ishlab chiqing va ularni funksionallik uchun sinab ko'ring.

IDS Snortni o'rnatish va sozlash

Snort: Windows XP da o'rnatish

Snort-ni Windows operatsion tizimiga o'rnatishda siz ba'zi qiyinchiliklarga duch kelishingiz mumkin. Shuning uchun, bu ish o'rnatish va konfiguratsiya opsiyalarining juda batafsil qismiga qaratilgan. Avval ish kompyuteringizga kerakli dasturlarni yuklab olishingiz kerak.

Snort uchun qoidalar.

Yuqorida aytilganlarning barchasi ushbu ilovalarning rasmiy veb-saytlaridan yuklab olingan.

Winpcap - yadro darajasida paketlarni ushlaydigan va filtrlaydigan dastur. Bu o'rnatilgan Unix libpcap drayveriga o'xshaydi. O'rnatish hech qanday noqulaylik tug'dirmaydi, u oddiy o'rnatuvchi orqali ishga tushiriladi. Shundan so'ng, siz IDS-ning o'zini rasmiy veb-saytdan yuklab olishingiz kerak, shundan so'ng biz u erdan qoidalar bilan so'nggi arxivni yuklab olamiz. Keyingi qadam, arxivda bo'lgan barcha papkalarni qoidalar bilan ilovaning ildiz katalogiga to'liq nusxalash, kerak bo'lganda tarkibni to'liq almashtirish bo'ladi. Keyinchalik, dastur to'g'ri ishlashi uchun siz konfiguratsiya fayliga muhim o'zgarishlar kiritishingiz kerak bo'ladi.

var RULE_PATH c:snort ules

var SO_RULE_PATH c:snortso_rules

var PREPROC_RULE_PATH c:snortpreproc_rules

dynamicpreprocessor katalogi c:snortlibsnort_dynamicpreprocessor

dynamicengine c:snortlibsnort_dynamicenginesf_engine.dll

#dynamicdetection katalogi /usr/local/lib/snort_dynamicrules

Biz konfiguratsiya faylida shunga o'xshash qatorlarni topamiz va ularni yuqorida keltirilganlar bilan almashtiramiz. Shundan so'ng biz dasturni sinab ko'rishga harakat qilamiz. Buyruqlar qatorini ishga tushiring va "bin" bo'limidagi ilovalar katalogiga o'ting. "Snort -W" buyrug'ini kiriting

Guruch. 1.1.

Ushbu buyruq yordamida biz interfeyslarimizni ko'rish uchun dasturning funksionalligini tekshiramiz. Ulardan bir nechtasi borligiga ishonch hosil qilganimizdan so'ng, paketlarni ushlab qolish va IDS ishlashini kuzatish uchun ishchi tarmoqqa ulangan birini tanlaymiz.

C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -A konsol

Endi biz kiritgan buyruqni ko'rib chiqamiz. "- i 3" interfeyslarimiz ro'yxatida ID= 3 bo'lgan interfeysni ko'rib chiqamiz degan ma'noni anglatadi. Keyin biz konfiguratsiya fayliga yo'lni va ushlangan paketlarning "jurnalini" yozish kerak bo'lgan katalogga yo'lni aniqladik. "-Konsol" signal paketlari konsolimizda aniqlanishini anglatadi. Qayta ishlash jarayonida biron bir muammo yuzaga kelsa, biz ularni aniqlanganda yo'q qilamiz. Snort qurilish xatosi qatori va turini ko'rsatadi. Agar hamma narsa ishlagan bo'lsa, ishlaydigan qoidalardan biri ishga tushmaguncha biz hech narsani ko'rmaymiz. Ulardan birini ishlatish uchun, keling, tarmoq hujumini simulyatsiya qilishga va mahalliy tarmog'imiz orqali shubhali paketni ishga tushirishga harakat qilaylik. Buni amalga oshirish uchun, masalan, buyruq qatorini oching va quyidagilarni kiriting: "Ping 192.168.1.16". Snort 192.168.1.1624-da xostni tinglashga urinishni to'xtatadi va tarmoqdagi shubhali faoliyat haqida xabar va ma'lumotni ko'rsatadi. Afsuski, bunday IDS tizimlari jiddiy kamchilikka ega - noto'g'ri ijobiy. Shu munosabat bilan, Snort foydali bo'lishi va chalg'itmasligi uchun qoidalarni etarlicha va aniq belgilash va ushbu noto'g'ri pozitivlardan qochish uchun ko'rilayotgan tarmoqlarni farqlash kerak.

Guruch. 1.2.

Endi bizning IDS ishlayotgan konsolda "tinglash" ga o'xshash shubhali paket haqida xabarlar paydo bo'ladi. Ushbu qoida Snortning to'liq ishlashini ko'rsatdi. Keling, uning ishlash rejimlarini va keyingi ishlash uchun qoidalar sintaksisini ko'rib chiqaylik.

Har kuni korporativ tarmoqlar bo'ylab milliardlab ma'lumotlar paketlari uzatiladi. Ulardan ba'zilari xavfli; Bunday paketlar mualliflari xavfsizlik devorlarini chetlab o'tish va tarmoqlar perimetri bo'ylab mudofaa chiziqlarini yorib o'tish uchun maxsus choralar ko'rdi, bu esa yo'lda duch kelgan barcha tizimlarning ishlashini buzdi. Code Red, Nimda, SQL Slammer va MSBlaster kabi paketli hujumlarning halokatli ta'siri yaxshi ma'lum. Ushbu zararli dasturlarning barchasi ishonchli protokollardan (masalan, HTTP) yoki Microsoft tizimlarining tarmoq trafigidan foydalanadi. Bunday protokollarni oddiygina qabul qilish va blokirovka qilish mumkin emas, shuning uchun ma'murlar odatda tahdidga o'z vaqtida javob berish uchun ruxsatsiz kirishni aniqlash tizimlari, Tarmoqqa kirishni aniqlash tizimi (NIDS) yordamida xavfli trafikni imkon qadar tezroq qo'lga kiritishga harakat qilishadi.

Savdoda bir nechta NIDS mavjud bo'lib, ularning imkoniyatlari va narxi har xil. Umuman olganda, ularning barchasi muvaffaqiyatli ishlaydi. Men duch kelgan barcha tijorat paketlari juda zo'r edi. Ammo kamtarona byudjetga ega tashkilotlar hujumni aniqlash ustuvor vazifa bo'lmasa nima qilishlari kerak? Bunday holatlar uchun Snort - kuchli bepul NIDS to'plami mavjud. Ko'pgina ochiq kodli paketlardan farqli o'laroq, u Windows bilan mos keladi.

Snort bilan tanishish

Snortning asl ishlab chiquvchisi Martin Resch dasturni GNU General Public License (GPL) shartlariga muvofiq ochiq hamjamiyatga taqdim etdi. Ushbu paketning tarixi 1998 yilda boshlangan va o'shandan beri u o'zining ishonchliligini bir necha bor isbotlagan. Dunyo bo'ylab ochiq hamjamiyat a'zolari va tarmoq ma'murlarining hissalari tufayli Snort juda kuchli mahsulotga aylandi. Joriy versiya real vaqt rejimida tarmoq trafigini tahlil qilish va Fast Ethernet va Gigabit Ethernet tezligida IP-trafikni qayd etish imkonini beradi.

Maykl Devis Snort 1.7-ni Win32 platformasiga o'tkazdi va uni Windows hamjamiyatiga taqdim etdi. Keyin Kris Rid Snort-ning yangi versiyalarini Windows muhitida osongina o'rnatilishi mumkin bo'lgan tayyor bajariladigan fayllarga kompilyatsiya qilish vazifasini o'z zimmasiga oldi.

NIDS bilan tanish bo'lmagan ma'murlar ushbu vositani tarmoq analizatorining maxsus turi deb hisoblashlari mumkin. NIDS interfeys orqali o'tadigan har bir paketni tekshiradi, zararli kod odatda yashirin bo'lgan foydali yukdagi ma'lum naqshlarni qidiradi. Snort yordamida siz tashkilot tarmog'i orqali o'tadigan har bir paketda qidirish va moslashtirish operatsiyalarini bajarishingiz va real vaqtda ko'plab hujumlar va noqonuniy trafikni aniqlashingiz mumkin.

Snort talablari

Snort-ni ishga tushirish uchun sizga kamida bitta tarmoq adapteri bilan jihozlangan Windows kompyuteri kerak bo'ladi. Biri boshqariladigan tarmoqqa, ikkinchisi esa ishlab chiqarish tarmog'iga ulangan ikkita tarmoq adapteriga ega bo'lish yaxshiroqdir; ikkinchisi hisobotlarni yuboradi. Snort nafaqat Windows 2000 Server va undan keyingi versiyalari, balki Windows XP Professional Edition, XP Home Edition va Windows 2000 Professional bilan ham mos keladi. Server litsenziyasi talab qilinmaydi. Men XP Pro noutbukimni har kuni ko'plab mijozlar tarmoqlariga ulayman va odatda Snort-ni xizmat sifatida ishlataman. Shunday qilib, dastur fonda ishlaydi va mening tizimimga o'sha mijoz tarmog'idan kelayotgan har qanday hujumlarni aniqlaydi. Men Snort-dan portativ sensor sifatida foydalanaman - dastur noutbuk ulangan har qanday port uchun NIDS vazifasini bajaradi.

Kichik tarmoqlarda Snortni kirish darajasidagi serverda joylashtirish mumkin. Ruxsatsiz kirish urinishlarini aniqlash uchun maxsus yuqori quvvatli mashina kerak emas. Masalan, men 1 gigagertsli protsessorli va 1 GB operativ xotiraga ega FreeBSD-ga asoslangan Snort tugunlari 15 000 foydalanuvchi va bir nechta T-3 WAN havolalari bilan tarmoqlarga muvaffaqiyatli xizmat ko‘rsatayotgani haqida eshitganman. Snort manba kodining samaradorligi tufayli dasturni ishga tushirish uchun juda kuchli mashina kerak emas.

NIDSni aniqlash uchun tarmoqdagi eng yaxshi joy qayerda? Birinchi fikr qurilmani xavfsizlik devori oldiga joylashtirishdir. Bu erda NIDS eng ko'p hujumlarni aniqlaydi, ammo noto'g'ri pozitivlar soni ham eng yuqori bo'ladi va administrator xavf haqida juda ko'p foydasiz ogohlantirishlarni oladi. Xavfsizlik devori tomonidan to'xtatilgan tahdidlar haqida qayg'urmaslik kerak, buning ortida turgan xavfli dasturlarni aniqlash muhimroqdir. Shuning uchun, baribir Snortni xavfsizlik devori orqasida joylashtirish yaxshiroqdir.

Biroq, agar foydalanuvchilar tarmoqqa VPN ulanishi (Internet yoki simsiz aloqa orqali) orqali ulansa, NIDSni xavfsizlik devori orqasida, masalan VPN serveri yoki konsentrator orqasida joylashtirish mantiqan to'g'ri keladi, bu erda paketlar tarmoqdan chiqishda shifrlanadi. VPN tunnel. Aks holda, NIDS VPN trafigiga o'rnatilgan zararli dasturlarga qarshi tura olmaydi, chunki tahlil qilingan paketlar shifrlanadi. Xuddi shu narsa shifrlangan SMTP trafigiga, elektron pochta xabarlariga biriktirilgan shifrlangan .zip fayllarga va shifrlangan maʼlumotlarning boshqa turlariga ham tegishli.

Ideal holda, NIDS trafikni shifrlaydigan har qanday komponentlar orqasida etarlicha uzoqda joylashgan bo'lishi va iloji boricha ko'proq segmentlar va pastki tarmoqlardagi trafikni tahlil qilish uchun tarmoq perimetriga etarlicha yaqin bo'lishi kerak. Kommutatsiyalangan tarmoq muhitida, odatda, tarmoq orqali o'tadigan barcha paketlarni yig'ish uchun kommutator diagnostika portini talab qiladi. Natijada, NIDS barcha tarmoq trafigiga qulay foydalanish imkoniyatiga ega.

Endi siz Snort bilan tanishsiz va uning xosting talablarini bilasiz, NIDSni o'rnatishingiz va sinab ko'rishingiz mumkin. Snort haqida qo'shimcha ma'lumot olish uchun "Veb-resurslar" yon panelida bog'langan hujjatlarga qarang. Ushbu jarayon etti bosqichdan iborat:

1. WinPcap o'rnatilmoqda
2. Snort o'rnatilmoqda
3. Snort sinovi
4. Snort o'rnatilmoqda
5. Qoidalarni o'rnatish
6. Ogohlantirishlar va jurnallarni sozlash
7. Xizmat sifatida ishga tushirish

1-bosqich. WinPcap dasturini o'rnatish

Snort aslida behayo rejimdagi tarmoq analizatoridir, shuning uchun u haydovchini qo'llab-quvvatlashni talab qiladi. Ushbu yordam WinPcap tomonidan taqdim etiladi. Loris Digioanni WinPcap dasturini Unix foydalanuvchilari orasida keng qoʻllaniladigan libpcap packet capture drayverini Windows muhitiga koʻchirish orqali yaratdi. WinPcap yadro darajasidagi paket filtrini, past darajadagi DLL (packet.dll) va yuqori darajadagi tizimdan mustaqil kutubxonani (libpcap 0.6.2 asosidagi wpcap.dll) o'z ichiga oladi.

WinPcap dan yuklab olish mumkin http://winpcap.polito.it. Drayv Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me va Windows 9x bilan mos keladi. WinPcap shuningdek, dan olinishi mumkin bo'lgan ochiq manbali Ethereal paketli snifferni qo'llab-quvvatlaydi. Ethereal-dan foydalanib, Snort to'g'ri o'rnatilganligini tekshirishingiz mumkin.

WinPcap o'rnatish faylini tarmoqdan yuklab olgandan so'ng, o'rnatish jarayonining bir nechta ekranlaridan o'tishingiz kifoya. Foydalanuvchining eng katta harakatini litsenziya shartlariga rozi bo'lishingiz kerak bo'lgan ekran talab qiladi.

2-qadam: Snort-ni o'rnating

Keyingi qadam Snort-ni o'rnatishdir. Eng so'nggi versiyani CodeCraft Consultants veb-saytlarida topish mumkin ( http://www.codecraftconsultants.com/snort.aspx) yoki Snort.org ( http://www.snort.org). CodeCraft Consultants-dan Snort-ni yuklab olishni tavsiya qilaman, chunki siz o'sha saytdan o'z-o'zidan ochiladigan bajariladigan faylni olishingiz mumkin. Dastur hatto Snort-ni kompyuterga o'rnatishning asosiy bosqichlari bo'yicha foydalanuvchini boshqaradi. Ushbu maqolani tayyorlashda Snort 2.1.1 ning so'nggi versiyasi, 18-qurilish ishlatilgan.

O'rnatish dasturini ishga tushirganingizda, birinchi dialog oynasida natijalarni saqlash uchun ma'lumotlar bazasini sozlash rejimini tanlashingiz kerak. Agar siz MySQL yoki ODBC-mos keladigan ma'lumotlar bazasidan foydalansangiz, standart rejimni qabul qilishingiz mumkin (1-rasm). Ammo agar siz protokollarni Microsoft SQL Server yoki Oracle ma'lumotlar bazasida saqlamoqchi bo'lsangiz, unda siz tegishli rejimni tanlashingiz va kerakli mijoz dasturining mashinada mavjudligiga ishonch hosil qilishingiz kerak. Ushbu maqolani tayyorlashda standart rejim ishlatilgan.

Keyingi qadam siz o'rnatmoqchi bo'lgan Snort komponentlarini aniqlashdir. Standart to'plam (2-ekran) yaxshi, shuning uchun uni qabul qilishni va "Keyingi" tugmasini bosishni tavsiya qilaman. O'rnatish joyini tanlash dialog oynasida siz Snort o'rnatiladigan katalogni ko'rsatishingiz kerak. Katalog nomini kiritgandan so'ng, o'rnatish jarayonini yakunlash uchun Keyingiga bosing.

2-ekran: O'rnatish komponentlarini tanlash

3-qadam: Snort o'rnatishingizni sinab ko'ring

O'rnatish jarayonini tugatgandan so'ng, Snort sinovdan o'tkazilishi kerak. Odatiy bo'lib, Snort bajariladigan faylga ikkita joyni aytish kerak: jurnallarni qayerda yozish va konfiguratsiya faylini (snort.conf) qaerdan topish kerak. Ushbu ma'lumot foydalanuvchi tomonidan Snort-ni buyruq satridan mos ravishda -l va -c kalitlari yordamida ishga tushirganda taqdim etiladi. Masalan, buyruq

Snort -l F:snortlog -c F:snortetcsnort.conf -A konsol

dasturga jurnallar F:snortlog katalogiga yozilishi kerakligini va snort.conf F:snortetc katalogida joylashganligini aytadi. -A kaliti dastur tomonidan yaratilgan ogohlantirishlarni uzatish usulini belgilaydi. Ushbu misolda administrator Snort to'g'ri ishlayotganligini tekshirishi uchun konsol ekranida ogohlantirishlar ko'rsatiladi. E'tibor bering, maqolada buyruq bir nechta satrlarda chop etilgan, ammo buyruqlar oynasida u bir qatorga kiritilishi kerak. Xuddi shu narsa ushbu maqoladagi boshqa ko'p qatorli buyruqlar uchun ham amal qiladi. Ko'pgina Snort buyruq qatori kalitlari katta-kichik harflarga sezgir, shuning uchun siz buyruqlarni aynan ular yozilganidek kiritishingiz kerak.

Agar tizimda bir nechta tarmoq interfeyslari mavjud bo'lsa, sukut bo'yicha Snort birinchi topgan interfeysni tinglaydi. Mashinadagi tarmoq interfeyslarining tartibi noma'lum bo'lsa, Snort buyrug'ini bitta -W kaliti bilan ishlatishingiz mumkin. Snort tarmoq interfeyslarining nomlari va raqamlarini dastur ularni aniqlagan tartibda sanab beradi. Snort-ni ma'lum bir tarmoq interfeysidan foydalanishga majbur qilish uchun Snort-ni ishga tushirishda interfeys raqami bilan -i kalitini kiritishingiz kerak. Snort-ni ishga tushirgandan so'ng, ekranda ko'rsatilganiga o'xshash ma'lumotlar paydo bo'ladi ekran 3 .

Snort-ni ishga tushirganingizdan so'ng, NIDS-ga maxsus tayyorlangan trafikni yuborish orqali uning sezgirligini tekshirishingiz mumkin. Ogohlantirishni ishga tushirishning eng oson usullaridan biri HTTP URL so'rovining bir qismi sifatida masofaviy kompyuterda buyruq tarjimonini (cmd.exe) chaqirishdir (Kod Red va Nimda qurtlari uchun keng tarqalgan usul). Hujumning ushbu bosqichini simulyatsiya qilish uchun istalgan URL manziliga kiring va so'rovning oxiriga /cmd.exe belgilarini qo'shing. Misol uchun, http://www.a-website-that-I-can-trust.com/cmd.exe ga qo'ng'iroqqa javoban, Snort buyruqlar oynasida birinchi uchta ogohlantirishga o'xshash ogohlantirishni ko'rsatishi kerak. yoqilgan ekran 4. Bu xabarlar F:snortlog jurnaliga yoziladi.

Sinov uchun maqsadli veb-saytlarni ehtiyotkorlik bilan tanlash kerak. Texnik nuqtai nazardan, ko'pchilik veb-sayt ma'murlari bunday harakatlarni xakerlik urinishi deb hisoblashadi. Ushbu urinish muvaffaqiyatli bo'lmaydi (agar server konfiguratsiyasida jiddiy xatolar bo'lmasa), lekin men faqat o'z serveringiz yoki administratorlari sinovdan xabardor bo'lgan ishonchli server bilan sinovdan o'tishni tavsiya qilaman.

Agar sinovdan o'tkazish imkoni bo'lmasa, Snortni sinab ko'rishning yana bir usuli tarmoq orqali Snort ishlayotgan server yoki kompyuterga noodatiy uzun aks sado so'rovini yuborishdir. Masalan, Ping buyrug'idan foydalanishingiz mumkin

Ping -l 32767 ip_manzil

bu erda ip_address maqsad server yoki Snort kompyuterining IP manzili. Ushbu buyruq juda uzun paketni yuborishi kerak (aniq uzunlik - 32 KB), bu Ping buyrug'i uchun odatiy emas. Pastki sakkizta ogohlantirishda ko'rsatilganidek, Snort ushbu paketni aniqlashi kerak ekran 4 .

Agar siz ogohlantirishlarni olsangiz, Snort-ni o'zingizning maxsus sharoitlaringiz uchun sozlashni boshlashingiz mumkin. Aks holda, o'rnatish jarayoniga qaytishingiz va biron bir qadam o'tkazib yuborilganligini tekshirishingiz kerak.

4-qadam: Snort-ni sozlash

Asosiy Snort konfiguratsiya ma'lumotlari sukut bo'yicha %systemdrive%snortetc katalogida joylashgan snort.conf faylida saqlanadi. Agar buyruq satrida dasturga yo'lni belgilasangiz, fayl ushbu papkada qoldirilishi yoki boshqasiga o'tkazilishi mumkin.

Snort.conf-da mavjud bo'lgan barcha parametrlarning batafsil tavsifi jurnalning butun sonini to'ldirishi mumkin, chunki Snort hayratlanarli darajada kuchli dasturdir. Hozircha biz faqat uning asosiy parametrlarini ko'rib chiqamiz.

Kiruvchi trafikni chiquvchi trafikdan ajratish uchun Snort-ga korporativ tarmog'ingizning xostlari va IP manzillarini aytishingiz kerak. Ushbu ma'lumotni kiritish uchun HOME_NET o'zgaruvchisi snort.conf faylida o'rnatilishi kerak. Siz chiziqni topishingiz kerak

HOME_NET istalgan

va uni bir qator IP manzillar bilan almashtiring. Siz, masalan, bitta diapazonni belgilashingiz mumkin

Var HOME_NET 192.168.0.1/24

yoki bir nechta diapazonlar. Bir nechta diapazonlarni belgilashda diapazonlar to'plamini kvadrat qavs ichiga olish va har bir diapazonni vergul bilan ajratish kerak. Siz IP manzillari oralig'iga bo'sh joy kirita olmaysiz. Masalan, chiziq

Var HOME_NET

Snortga 10.0.1.0/24, 10.0.2.0/24 va 10.0.3.0/24 sub tarmoqlari korporativ tarmoqqa tegishli ekanligini aytadi. Odatiy bo'lib, Snort boshqa barcha manzillarni tashqi deb hisoblaydi. EXTERNAL_NET o'zgaruvchisini o'rnatish orqali qaysi tarmoqlar tashqi hisoblanishi kerakligini aniq belgilashingiz mumkin. Snort.config faylida siz chiziqni topishingiz kerak

Var EXTERNAL_NET har qanday

va uni tashqi hisoblanishi kerak bo'lgan tarmoqning IP manzili bilan almashtiring. Biroq, odatda, boshlash uchun EXTERNAL_NET o'zgaruvchisini istalganiga qo'yish yaxshidir.

Biroz vaqt o'tkazgandan so'ng, siz korxonangizdagi serverlar turlarini va ularning joylashuvini aniqlashingiz mumkin. Ushbu ma'lumotlar DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS va TELNET_SERVERS o'zgaruvchilarida snort.conf faylining quyidagi satrlarida joylashgan:

DNS_SERVERS $HOME_NET va SMTP_SERVERS $HOME_NET va HTTP_SERVERS $HOME_NET, SQL_SERVERS $HOME_NET, TELNET_SERVERS $HOME_NET, SNMP_SERVERS $HOME_NET

Odatiy bo'lib, barcha oltita server o'zgaruvchilari $HOME_NET ga o'rnatiladi; bu Snort HOME_NET diapazonidagi barcha tizimlardagi barcha turdagi hujumlarni kuzatib borishini anglatadi. Ushbu konfiguratsiya ma'murlari ma'lum miqdordagi noto'g'ri ogohlantirishlarga toqat qiladigan kichik tarmoq uchun juda maqbuldir. Ammo og'ir trafikni kuzatish uchun Snort-ni muayyan tugunlar uchun imzolarning faqat bir qismini tekshirish uchun nozik sozlash tavsiya etiladi. Faqat Microsoft IIS bilan ishlaydigan veb-serverni SQL buferini to'ldirish hujumlaridan himoya qilish mantiqiy emas. Muayyan xost sinfini aniqlash uchun $HOME_NET ni HOME_NET o'zgaruvchisi uchun ishlatiladigan formatga muvofiq bir qator maqsadli server IP manzillari bilan almashtirishingiz kerak. Masalan, DNS_SERVERS o'zgaruvchisi uchun $HOME_NET o'rniga DNS serverlarining IP manzillari oralig'ini almashtirishingiz kerak.

Muayyan ilovalar uchun serverlar tomonidan ishlatiladigan portlarni aniqlash orqali sozlashning aniqligini oshirish mumkin. Misol uchun, agar veb-serverlar HTTP trafiki uchun 80-port o'rniga maxsus 8080 portidan foydalansa (bu port odatda veb-serverlar va brauzerlar uchun ishlatiladi), HTTP_PORTS o'zgaruvchisini o'zgartirib, Snort-ni 8080 portini kuzatish uchun sozlashingiz mumkin. Snort.conf-da siz chiziqni topishingiz kerak

Variant HTTP_PORTS 80

va uni chiziq bilan almashtiring

Variant HTTP_PORTS 8080

Xuddi shunday, siz Oracle (ORACLE_PORTS o'zgaruvchisi bilan belgilanadi) va boshqa ilovalar uchun portlarni o'zgartirishingiz mumkin. HTTP_PORTS o'zgaruvchisi kabi, ORACLE_PORTS standarti 80 ga teng. Agar server o'rniga 1521 portdan foydalansa, qator shunday ko'rinadi.

Var ORACLE_PORTS 1521

Shunday qilib, snort.conf faylida sozlanishi mumkin bo'lgan ko'plab sozlamalar mavjud. Muayyan muhitingiz uchun eng muhim bo'lgan sozlamalarni topish va ularni mos ravishda sozlash uchun snort.conf ni ko'rib chiqishingiz kerak.

5-bosqich. Qoidalarni belgilash

snort.conf dagi qatorlardan birida RULE_PATH o'zgaruvchisi mavjud. Ushbu qatorga misol:

Var RULE_PATH ../regles

../rules opsiyasi qoidalarni (ya'ni imzolarni) katalog strukturasidagi Snort ikkiliklari bilan bir xil darajada bo'lgan qoidalar katalogida topish mumkinligini bildiradi. Masalan, agar siz Snort-ni umumiy F: snort papkasiga o'rnatsangiz, Snort ikkilik fayllari F: snortin-da, qoidalar esa F: snort ules-da. Agar xohlasangiz, RULE_PATH o'zgaruvchisini o'zgartirishingiz mumkin, lekin standart parametr yaxshi.

Qoidalar Snortning asosidir. Ular baytlar ketma-ketligi, hujum imzolari va boshqa turdagi ma'lumotlar bo'lib, ular aniqlanganda ogohlantirish hosil qiladi. Snortda 1500 dan ortiq tayyor imzolar mavjud.

Qoida nimaga o'xshaydi? Snort testi paytida buzilgan cmd.exe qoidasi quyidagicha ko'rinadi: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe kirish"; flow:to_server, o'rnatilgan; kontent: " cmd.exe"; sinf turi: veb-ilova-hujum; sid: 1002;). Keling, qoidaning asosiy tarkibiy qismlarini ko'rib chiqaylik. $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS havolasi faqat tarmoqqa tashqaridan kelayotgan trafikni (EXTERNAL_NET oʻzgaruvchisi tomonidan aniqlanganidek) tahlil qilish kerakligini bildiradi. Tarkib: parametri ma'lumotlar oqimidagi cmd.exe belgilar ketma-ketligini qidirishni belgilaydi. Snort bunday ketma-ketlikni aniqlaganida, msg: parametri tomonidan belgilangan ogohlantirish hosil qiladi.

Cmd.exe misolidan ko'rinib turibdiki, qoidalar asosan oddiy. Har qanday turdagi trafik uchun o'z qoidalaringizni yaratishingiz mumkin. Misol uchun, agar siz buyruq tarjimoni orqali mashinadagi katalogga masofadan kirishga ruxsatsiz urinishlarni aniqlamoqchi bo'lsangiz, diskdagi ovoz balandligini yoki ular kamdan-kam uchraydigan portlarda, masalan, chiqish portlarida tovushning seriya raqamini qidirishingiz mumkin. Qoidalarni belgilashda moslashuvchan yondashuv tufayli ma'murlar Snort uchun keng konfiguratsiya imkoniyatlari bilan ta'minlangan.

Snortning 1500 qoidalari tahlil qilinayotgan ma'lumotlar turlariga ko'ra turli fayllarda saqlanadi. Masalan, cmd.exe uchun qoida web-iis.rules faylida. Agar korxona IIS dan foydalanmasa, u holda dastur IIS hujumlarini aniqlashi shart emas. Web-iis.rules fayli qatorni topish va sharhlash orqali osongina konfiguratsiyadan butunlay olib tashlanishi mumkin.

$RULE_PATH/web-iis.rules kiriting

snort.conf faylida. Satrni sharhlash uchun uning oldiga (#) belgi qo'ying:

# ichiga $RULE_PATH/web-iis.rules kiradi

Odatiy bo'lib, ba'zi turdagi qoida fayllari (masalan, icmp-info.rules, chat.rules) snort.conf sahifasida izohlar bilan ifodalanadi. Snort.conf-dagi qoidalarning standart konfiguratsiyasi juda yaxshi. Bloklangan qoidalarni faollashtirgandan so'ng, dastur odatda ko'plab keraksiz ogohlantirishlarni ishlab chiqaradi.

Ba'zi fayllar bir qator foydali qoidalarni o'z ichiga oladi, biroq bir nechta qoidalar juda ko'p keraksiz ogohlantirishlarni keltirib chiqaradi. Muayyan qoidani o'chirish uchun qoidalar faylidagi tegishli qatorni sharh sifatida belgilashingiz kerak. Kelajakda Snort fayl bilan ishlashda ushbu qoidani e'tiborsiz qoldiradi.

Yangi tahdid manbalari paydo bo'lganda, qoidalar fayli yangilanishi kerak. Yangi qoidalar uchun eng yaxshi manba - Snort.org. Ushbu veb-saytda avtomatik yangilash xizmati mavjud emas, shuning uchun administrator yangi tahdid paydo bo'lganda yangilanishlarni muntazam tekshirib turishi kerak bo'ladi.

6-qadam: Ogohlantirishlar va jurnallarni sozlang

Qayd etilganidek, Snort MySQL, SQL Server, Oracle va ODBC-mos keladigan ma'lumotlar bazalarida ma'lumotlarni yozib olishni ta'minlaydi. Snort o'rnatish jarayonida tegishli ma'lumotlar bazasi turini tanlash kifoya. Maqolaning uzunligini haddan tashqari oshirmaslik uchun biz matnli fayldan foydalangan holda standart ro'yxatga olish rejimlarini va Windows voqealar jurnaliga xabar yozish funktsiyasini ko'rib chiqamiz.

Snort buyrug'i yordamida NIDSni ishga tushirganda, -A konsoli tugmasi ekranda ogohlantirishlarni ko'rsatishga olib keladi. Xabarlarni matnli faylga yo‘naltirish uchun siz o‘zingiz yoqtirgan ro‘yxatga olish rejimiga qarab ushbu kalitni -A tez yoki -A to‘liq bilan almashtirishingiz kerak. To'liq parametr katalogdagi alerts.ids nomli matn faylining bir necha satrlarida tahdidning batafsil tavsifini aks ettiradi, uning yo'li -l kaliti bilan belgilanadi. Ushbu turdagi ro'yxatga olish keng qamrovli ma'lumotlarni taqdim etadi, ammo tarmoqda ko'plab hodisalar ro'yxatga olinganligini tushunish qiyin bo'lishi mumkin. Bunday "shovqinli" tarmoqlarda shubhali trafikning asosiy xususiyatlarini o'z ichiga olgan alerts.ids-ga bir qatorli yozuvlarni qo'shish uchun tezkor rejimdan foydalanish tavsiya etiladi. Menimcha, tezkor rejimda matnli fayl bilan ishlash to'liq rejimga qaraganda osonroq.

Snortning joriy versiyasi Windows voqealar jurnaliga kirishni ta'minlaydi. Ko'pgina tashkilotlar allaqachon markazlashtirilgan hodisalar monitoringi, jurnallar va ma'lumotlarni yig'ish vositalarini sotib olgan va bu xususiyat Windows muhitiga ajoyib qo'shimcha bo'ladi.

Snort ishlayotgan tizimning Ilova hodisalari jurnaliga ogohlantirishlarni yozish uchun -A kaliti o'rniga -E kalitidan foydalaning (parametrlar ixtiyoriy). 5-rasmda Snort hodisasi (bu holda cmd.exe fayliga kirishga urinish) Ilovalar jurnalida chop etilgan qanday ko'rinishi ko'rsatilgan. Windows hodisasi konsol ekrani kabi batafsil ma'lumotlarni taqdim etadi.

Agar administrator haftada bir marta voqealar jurnallariga (yoki matn jurnallariga) qarasa, NIDS foydasizdir. Agar tarmoqda biror narsa yuz bersa, administrator bu haqda darhol bilishi kerak. Markazlashtirilgan monitoring va hodisalarni qayta ishlash tizimi elektron pochta, peyjer va boshqa aloqa qurilmalari orqali xabarlarni yuborishi mumkin. Ammo bunday tizim bo'lmasa, bu tashvishga sabab emas. NETIKUS.NET ogohlantirishlarni yuborish uchun ishlatilishi mumkin bo'lgan bepul EventSentry Light paketini taklif qiladi.

EventSentry Light - bu EventSentry-ning sinov versiyasi va uni yuklab olish mumkin http://www.netikus.net/products_downloads.html. EventSentry Light yordamida siz tizimingizni hodisalar jurnallarini kuzatish va jurnalda yozilgan har qanday Snort hodisalari haqida batafsil elektron pochta xabarlarini avtomatik yuborish uchun sozlashingiz mumkin. Yoniq ekran 6 cmd.exe ga hujum qilishga urinishlar haqida elektron pochta xabarini ko'rsatadi. Hujum sodir bo'lganidan bir necha soniya o'tgach, men bu xabarni EventSentry Lightdan oldim.

Yuqorida aytib o'tilganidek, Snort odatda hodisalar jurnallarini tezda to'ldiradigan bir tonna keraksiz xabarlarni ishlab chiqaradi. Voqealar jurnallari uchun fayl o'lchamlarini va ularni qanday aylantirishni tanlashda buni yodda tutish kerak. EventSentry Light kiruvchi qutingizni kichik voqealar haqidagi xabarlar bilan to'ldirishiga yo'l qo'ymaslik uchun kalit satrlarni qidirish uchun filtr yaratishingiz mumkin. Misol uchun, men xabarlar matnidagi satr uchun qidiruv filtrini tashkil qildim.

7-qadam: Xizmat sifatida ishga tushirish

Ishingiz tugagach, dasturni har safar ishga tushirmoqchi bo'lganingizda ish stoli kompyuteringizga kirish o'rniga Snort-ni xizmat sifatida ishga tushirishingiz mumkin. Agar siz Snort-ni /SERVICE va /INSTALL opsiyalari bilan (boshqa buyruq qatori opsiyalari bilan birga) ishga tushirsangiz, Snort Windows xizmati sifatida ishga sozlangan va foydalanuvchi aralashuvisiz avtomatik ravishda Windows bilan boshlanadi.

Keyingi daraja: kengaytirish modullari

Snort - bu to'liq xususiyatli dastur. Biroq, ba'zi hollarda dasturni kengaytirish kerak. Misol uchun, agar tarmoqning turli qismlarida bir nechta NIDS o'rnatilgan bo'lsa, u holda Snortni grafik interfeysdan boshqarish qulay. Bunday imkoniyatlar Engage Security-dan IDScenter kengaytmali modullarida va Activeworx-dan IDS siyosati menejerida amalga oshiriladi. Ba'zan xabarlardagi ma'lumotlarni tahlil qilish kerak bo'ladi. Siz Karnegi Mellon universitetida ishlab chiqilgan Intrusion ma'lumotlar bazalarini tahlil qilish konsoli (ACID) moduli yordamida saqlangan ma'lumotlarni ko'rishingiz va tahlil qilishingiz mumkin.

Ishonchli himoya

Snort - bu kompaniya byudjetiga zarar keltirmaydigan to'liq xususiyatli dastur. Snort-ni EventSentry Light kabi hodisalarni kuzatishning kuchli ilovasi bilan birlashtirib, siz tarmoqqa qarshi hujumlarni faol ravishda oldini olishingiz mumkin.

ROSSIYA FEDERASİYASI TA'LIM VA FAN VAZIRLIGI

Oliy kasbiy ta'lim davlat ta'lim muassasasi

“Sankt-Peterburg davlat universiteti
Aerokosmik priborlar muhandisligi"

KURS ISHI (LOYIHA)
A'lo baho bilan himoyalangan

NAZORATCHI

ISH TUGALDI)

Sankt-Peterburg, 2011 yil

1.. Snort nima?. 2

2. Sniffer rejimi: 2

3. Paketlarni ro'yxatga olish rejimi. 6

4. Tarmoqqa kirishni aniqlash rejimi. 6

1. Snort nima?

Snort - bu hujumni aniqlashning engil tizimi. Snort odatda "engil" NIDS deb ataladi / shifrini ochish, tarjima qilish / - chunki u asosan kichik tarmoqlar uchun mo'ljallangan. Dastur protokol tahlilini amalga oshirishi va turli hujumlarni aniqlash uchun ishlatilishi mumkin.

Snort qaysi trafikga ruxsat berish va qaysi blokirovka qilishni bilish uchun "qoidalar"dan ("qoidalar" fayllarida ko'rsatilgan) foydalanadi. Asbob moslashuvchan bo'lib, sizga yangi qoidalarni yozish va ularga rioya qilish imkonini beradi.

Snort 3 asosiy rejimda ishlashi mumkin:

· Sniffer rejimi: tarmoqdagi paketlarni oddiygina ushlash va ularni ekranda ko'rsatish imkonini beradi (odatda konsolda)

· Paket jurnali rejimi: paketlarni qattiq diskingizga saqlash imkonini beradi

· Intrusion Detection System (NIDS) rejimi foydalanuvchi tomonidan belgilangan qoidalar to‘plami asosida tarmoq trafigini tahlil qilish imkonini beruvchi eng murakkab va moslashtirilgan konfiguratsiyadir.

2. Sniffer rejimi:

Paketlarni hidlash rejimida Snort tarmoqdan kelayotgan paketlarni oddiygina o'qiydi va ularni ekranda ko'rsatadi. TCP/IP paket sarlavhalarini ko'rsatish uchun siz quyidagilarni bajarishingiz kerak:

snort -v

Ushbu buyruq IP va TCP/UDP/ICMP paket sarlavhalarini ko'rsatadi. Siz paketlar qayerdan, qayerdan, nechta /manzilga?/ yuborilganligini ko'rishingiz mumkin. Malumot uchun rasm/chizmalar raqamlangan bo'lishi kerak. Hech qanday havola yo'q - bu rasm kerak emasligini anglatadi / ikkita chiquvchi manzil borligi aniq / uni qaerdan ko'rishingiz mumkin? Rasmdagi yozuvlarning formatlarini shifrlang yoki hech bo'lmaganda qator raqamiga qarang /

Ushbu manzillar nima ekanligini tushunish uchun buyruqni bajaring

tizim ma'lumotlari

Rasmdan / allaqachon - rasmlar. va chizmalar emasmi? Hujjatda bir xillik saqlanishi kerak! Yoki bu boshqa narsami?/ Bu chiquvchi manzillar nima ekanligi ayon bo'ladi. /yaxshi, ularni sanab o'ting yoki hech bo'lmaganda ularni ko'rsating. ularning raqamlari kvadrat qavs ichida berilgan/

Paketlardagi ma'lumotlarni ko'rish uchun siz quyidagilarni kiritishingiz kerak:

snort-vd

https://pandia.ru/text/78/320/images/image004_112.jpg" alt=" detailed_output.jpg" width="589" height="338">!}

Kalitlar har qanday shaklda berilishi mumkin, masalan: "snort - vde", "snort - d - ev" va "snort - e - v -d".

Snort ma'lumot to'xtatilmaguncha to'plashni davom ettiradi. Paketni yozib olishni yakunlash uchun Ctrl-C tugmalarini bosishingiz kerak. Ctrl-C tugmalarini bosgandan so'ng, olingan paketlar haqida hisobot ko'rsatiladi. Quyida Snort-ni taxminan bir daqiqa ishga tushirgandan so'ng hisobot berilgan.

Suratdan tahlil qilingan paketlarning aksariyati TCP/IP paketlar ekanligini ko'rishingiz mumkin. UDP paketlari ham qo'lga olindi.

3. Paketlarni ro'yxatga olish rejimi

Paket jurnali rejimi ma'lumotlar oqimini diskka yozib olish imkonini beradi. Bu ma'lum vaqt oralig'ida tahlil qilish yoki sozlamalar va xavfsizlik siyosatidagi o'zgarishlarni tekshirishda foydalidir.
Jurnallar uchun katalog yaratishingiz va belgilashingiz kerak va Snort avtomatik ravishda paketli jurnallar rejimiga o'tadi.

Misol: katalog yaratish jurnallar va ishga tushirish:

snort - dev - l../log

Amaliyot natijasida /qayerdan, qayerdan izlash kerak, kerakli joyni qanday ko'rsatish kerak?/ fayl snort. log.. Yangi fayl nomlarining oxiridagi raqamlar vaqt belgilari bo'lib, fayllarni yaratishda ziddiyatlarni oldini olishga yordam beradi. /jurnal fayli misoli ma'qul/

4. Tarmoqqa kirishni aniqlash rejimi

"Snort" ning uchinchi rejimi - Tarmoqqa kirishni aniqlash (NIDS) rejimi.

O'zining asosiy shaklida Snort qoidasi /ular qayerda saqlanadi?/ ikki qismdan iborat: sarlavha va parametrlar. Quyida qoidaga misol keltirilgan.

alert tcp any -> any any (kontent: "www."; msg: "Kimdir youtube'ga hozir tashrif buyurmoqda"; sid:1000002; rev:1)

Qoidalar tuzilishi modeli ko'rsatilishi mumkinmi, u qattiq kodlanganmi yoki uni o'zgartirish mumkinmi? kvadrat qavs ichidagi elementlar ixtiyoriy deb umid qilamiz. ma'lum. Ammo ular orasida / quyidagi sxema bo'yicha maxsus ajratgichlar mavjudmi?

<действие_правила> <протокол> <порт> <оператор_направления>

<порт>([meta_ma'lumotlar] [paket_tarkib_ma'lumotlari]

[sarlavhadagi_ma'lumotlar] [aniqlashdan_keyin_harakat])

Qoidalar bo'yicha harakatlar quyidagi toifalarga bo'linadi:

1. ogohlantirish - Tanlangan usuldan foydalangan holda ogohlantirish yarating va ma'lumotni jurnal tizimiga xabar qiling.

2. jurnal - Paket ma'lumotlarini yozib olish uchun jurnal tizimidan foydalaning.

3. o'tish - Paketga e'tibor bermang.

4. faollashtirish - Boshqa dinamik qoidadan foydalaning.

5. dinamik - Faol qoida bajarilgandan so'ng, ro'yxatga olish protsedurasi bilan qoida faollashtiriladi.

6. tushirish - Dasturiy ta'minot xavfsizlik devori yordamida paketni tashlab yuboring va ma'lumotlarni jurnalga yozish tizimiga xabar qiling

7. sdrop - Dasturiy ta'minot xavfsizlik devori yordamida paketni tashlab yuboring va ro'yxatga olish tizimidan foydalanmang.

8. rad qilish - Xavfsizlik devoridan foydalanib, agar protokol TCP bo'lsa, paketni o'chirib tashlang yoki jurnal fayliga xabar yozing: agar paket UDP protokoli orqali kelsa, ICMP porti mavjud emas.

Snort qoidasining ikkinchi qismi aniqlangan trafikning qo'shimcha tafsilotlarini belgilaydigan variantlardir. Siz TCP/sarlavhasidagi maydonlar to'plami yoki paket yuki bo'yicha qidirishingiz mumkin. Har bir variantdan keyin qo'shtirnoq va qidirilayotgan qiymat qo'yilishi kerak. Siz ularni nuqta-vergul bilan ajratib, bir nechta variantni qo'shishingiz mumkin. Quyidagilar to'g'ri variantlardir.

sid - qoidani aniqlaydigan noyob yorliq. Ushbu parametr variant bilan ishlatilishi kerak rev .

<100 зарезервировано для дальнейшего использования

100-999 999 ta allaqachon saqlangan qoidalar

>=1,000,000 foydalanuvchi tomonidan belgilangan qoidalar

rev- qoida versiyasining qiymati. Rev qoidalari tarjimonidan foydalanish

Snort yozma qoidaning versiyasini aniqlaydi.

Snort-ni IDS rejimida buyruq bilan ishga tushirishingiz mumkin:

snort - c "D:\Program Files\Snort\etc\snort. conf" - l " D:\Program Files\Snort\log" - Konsol - i 1

kalit - Bilan IDS rejimi yoqilganligini bildiradi

kalit – l faylga yo'lni ko'rsatuvchi qattiq diskka yozib olish rejimini yoqadi

kalit – A barcha ogohlantirishlar (ogohlantirishlar) konsol chiqishi bilan takrorlanishini ko'rsatadi

kalit – i bizni qiziqtirgan interfeysning indeks raqamini bildiradi

Qo'llab-quvvatlanadigan interfeyslarni bilish uchun siz buyruqni bajarishingiz kerak:

xirillash – V

Fayl tarkibi xirillash. konf

Fayl tarkibi *****lar:

Fayl ichida snort. conf kalit so'zidan foydalanib qoidalarni ulashingiz mumkin o'z ichiga oladi .

Buyruqning natijasi:

Ko'rinib turibdiki, Snort "xavfli" saytga kirishga urinishni aniqladi.

Tarqatish qayerdan olinganligi yoki tadqiqot olib borilgan operatsion tizim haqida hech qanday ma'lumot yo'q

Umuman olganda, ish juda qiziqarli. /