5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari
-rasm: O'rnatish komponentlarini tanlash
Download 0.99 Mb.
|
5-6AMALIY ISH
3-qadam: Snort o'rnatilishini sinab ko'rish O'rnatish jarayonini tugatgandan so'ng, Snort sinovdan o'tkazilishi kerak. Odatiy bo'lib, Snort bajariladigan faylga ikkita manzil aytilishi kerak: jurnallarni qayerda yozish va konfiguratsiya faylini (snort.conf) qaerdan topish kerak. Ushbu ma'lumot foydalanuvchi tomonidan Snort-ni buyruq satridan mos ravishda -l va -c kalitlari yordamida ishga tushirganda taqdim etiladi. Masalan, buyruq Snort -l F:snortlog -c F:snortetcsnort.conf -A konsol dasturga jurnallar F:snortlog katalogiga yozilishi kerakligini va snort.conf F:snortetc katalogida joylashganligini aytadi. -A kaliti dastur tomonidan yaratilgan ogohlantirishlarni qanday yuborishni belgilaydi. Ushbu misolda administrator Snort to'g'ri ishlayotganligini tekshirishi uchun konsol ekranida ogohlantirishlar ko'rsatiladi. E'tibor bering, maqolada buyruq bir nechta satrlarda chop etilgan, ammo buyruqlar oynasida u bitta satrda yozilishi kerak. Xuddi shu narsa ushbu maqoladagi boshqa ko'p qatorli buyruqlar uchun ham amal qiladi. Snort-ning ko'pgina buyruq qatori opsiyalari katta-kichik harflarga sezgir, shuning uchun siz buyruqlarni aynan ular qanday yozilgan bo'lsa, shunday kiritishingiz kerak. Agar tizimda bir nechta tarmoq interfeyslari mavjud bo'lsa, sukut bo'yicha Snort topilgan birinchi interfeysni tinglaydi. Mashinada tarmoq interfeyslarining tartibi noma'lum bo'lsa, Snort buyrug'ini bitta -W kaliti bilan ishlatishingiz mumkin. Snort tarmoq interfeyslarining nomlari va raqamlarini dastur ularni aniqlagan tartibda sanab beradi. Snort-ni ma'lum bir tarmoq interfeysidan foydalanishga majbur qilish uchun Snort-ni ishga tushirishda interfeys raqami bilan -i kalitini kiritishingiz kerak. Snort-ni bajarganingizdan so'ng, ekranda ko'rsatilganiga o'xshash ma'lumotlar paydo bo'ladi ekran 3 . Snort-ni ishga tushirish orqali siz NIDS-ga maxsus tayyorlangan trafikni yuborish orqali uning sezgirligini tekshirishingiz mumkin. Ogohlantirishni ishga tushirishning eng oson usullaridan biri HTTP URL so'rovining bir qismi sifatida masofaviy kompyuterdagi qobiqga (cmd.exe) kirishdir (Kod Red va Nimda qurtlarining odatiy hiylasi). Hujumning ushbu bosqichini simulyatsiya qilish uchun siz istalgan URL manziliga o'tishingiz va so'rovning oxiriga /cmd.exe qo'shishingiz mumkin. Misol uchun, http://www.a-website-that-I-can-trust.com/cmd.exe ga qo'ng'iroqqa javoban, Snort buyruqlar oynasida birinchi uchta ogohlantirishga o'xshash ogohlantirishni ko'rsatishi kerak. ekran 4. Bu xabarlar F:snortlogga yoziladi. Sinov uchun mo'ljallangan veb-saytlarni ehtiyotkorlik bilan tanlash kerak. Texnik nuqtai nazardan, ko'pchilik veb-sayt ma'murlari bunday harakatlarni xakerlik urinishi deb hisoblashadi. Bunday urinish muvaffaqiyatli bo'lmaydi (agar server konfiguratsiyasida jiddiy xatolarga yo'l qo'yilmasa), men faqat o'z serveringiz yoki administratorlari sinovdan xabardor bo'lgan ishonchli server bilan sinovdan o'tishni tavsiya qilaman. Agar sinovdan o'tkazishning iloji bo'lmasa, Snortni sinab ko'rishning yana bir usuli tarmoq orqali Snort ishlaydigan server yoki kompyuterga noodatiy uzun aks sado so'rovini yuborishdir. Masalan, Ping buyrug'idan foydalanishingiz mumkin Ping -l 32767 ip_manzil bu erda ip_address maqsadli server yoki Snort mashinasining IP manzili. Ushbu buyruq juda uzun paketni yuborishi kerak (aniq uzunligi 32 KB), bu Ping buyrug'i uchun odatiy emas. Pastki sakkizta ogohlantirishda ko'rsatilganidek, Snort ushbu paketni aniqlashi kerak ekran 4 . Agar ogohlantirishlar olinsa, siz Snort-ni muayyan shartlar uchun sozlashni davom ettirishingiz mumkin. Aks holda, o'rnatish jarayoniga qaytishingiz va biron bir qadam o'tkazib yuborilganligini tekshirishingiz kerak. 4-qadam: Snort-ni o'rnating Snort uchun asosiy konfiguratsiya ma'lumotlari sukut bo'yicha %systemdrive%snortetc katalogida joylashgan snort.conf faylida saqlanadi. Fayl ushbu papkada qoldirilishi yoki buyruq satrida dasturga yo'lni ko'rsatib, boshqasiga o'tkazilishi mumkin. Snort.conf-da taqdim etilgan barcha variantlarning batafsil tavsifi jurnalning butun sonini to'ldirishi mumkin, chunki Snort hayratlanarli darajada kuchli dasturdir. Hozircha biz faqat uning asosiy parametrlarini ko'rib chiqamiz. Kiruvchi va chiquvchi trafikni farqlash uchun Snort-ga korporativ tarmog'ingizning xostlari va IP manzillarini aytishingiz kerak. Ushbu ma'lumotni kiritish uchun HOME_NET o'zgaruvchisi snort.conf faylida o'rnatilishi kerak. Siz chiziqni topishingiz kerak VarHOME_NET har qanday va uni bir qator IP manzillar bilan almashtiring. Siz, masalan, bitta diapazonni o'rnatishingiz mumkin VarHOME_NET 192.168.0.1/24 yoki bir nechta diapazon. Bir nechta diapazonlarni belgilashda diapazonlar to'plamini kvadrat qavs ichiga olish va har bir diapazonni vergul bilan ajratish kerak. Siz IP manzillari oralig'iga bo'sh joy kirita olmaysiz. Masalan, chiziq VarHOME_NET Snortga 10.0.1.0/24, 10.0.2.0/24 va 10.0.3.0/24 sub tarmoqlari korporativ tarmoqqa tegishli ekanligini aytadi. Odatiy bo'lib, Snort boshqa barcha manzillarni tashqi deb hisoblaydi. EXTERNAL_NET o'zgaruvchisini o'rnatish orqali qaysi tarmoqlar tashqi hisoblanishi kerakligini aniq belgilashingiz mumkin. Snort.config faylida siz chiziqni topishingiz kerak Var EXTERNAL_NET har qanday va uni tashqi hisoblanishi kerak bo'lgan tarmoqning IP manzili bilan almashtiring. Biroq, odatda, boshlash uchun EXTERNAL_NET o'zgaruvchisini istalganiga qo'yish yaxshidir. Biroz vaqt sarflaganingizdan so'ng, siz korxonada mavjud bo'lgan server turlarini va ularning joylashuvini belgilashingiz mumkin. Ushbu ma'lumotlar DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS va TELNET_SERVERS o'zgaruvchilarida snort.conf faylining quyidagi qatorlarida joylashgan: DNS_SERVERS $HOME_NET va SMTP_SERVERS $HOME_NET va HTTP_SERVERS $HOME_NET, SQL_SERVERS $HOME_NET, TELNET_SERVERS $HOME_NET, SNMP_SERVERS $HOME_NET Odatiy bo'lib, barcha oltita server o'zgaruvchilari $HOME_NET ga o'rnatiladi; bu Snort HOME_NET diapazonidagi barcha tizimlarga hujumlarning barcha turlarini nazorat qilishini anglatadi. Ushbu konfiguratsiya ma'murlar noto'g'ri ogohlantirishlarga toqat qiladigan kichik tarmoq uchun juda mos keladi. Ammo og'ir trafikni kuzatish uchun Snort-ni muayyan tugunlar uchun imzolarning faqat bir qismini tekshirish uchun nozik sozlash tavsiya etiladi. Faqat Microsoft IIS tizimida ishlaydigan veb-serverni SQL buferining to'lib-toshgan hujumlaridan himoya qilish mantiqiy emas. Xostlarning ma'lum sinfini aniqlash uchun $HOME_NET o'zgaruvchisi uchun ishlatiladigan formatga muvofiq maqsadli serverlarning IP-manzil diapazoni bilan almashtirishingiz kerak. Masalan, DNS_SERVERS o'zgaruvchisi uchun $HOME_NET ni bir qator DNS server IP manzillari bilan almashtiring. Muayyan ilovalar uchun serverlar tomonidan ishlatiladigan portlarni aniqlash orqali sozlashning aniqligini oshirishingiz mumkin. Misol uchun, agar veb-serverlar HTTP trafigi uchun 80-port o'rniga (bu odatda veb-serverlar va brauzerlar uchun ishlatiladigan port) maxsus 8080 portidan foydalansa, HTTP_PORTS o'zgaruvchisini o'zgartirib, Snort-ni 8080-portda tinglash uchun sozlashingiz mumkin. Snort.conf-da siz chiziqni topishingiz kerak VarHTTP_PORTS 80 va uni chiziq bilan almashtiring Variant HTTP_PORTS 8080 Xuddi shunday, siz Oracle (ORACLE_PORTS o'zgaruvchisi bilan belgilanadi) va boshqa ilovalar uchun portlarni o'zgartirishingiz mumkin. HTTP_PORTS o'zgaruvchisi kabi, ORACLE_PORTS standarti 80 ga teng. Agar server o'rniga 1521 portdan foydalansa, qator o'xshash bo'ladi. Var ORACLE_PORTS 1521 Shunday qilib, snort.conf faylida ko'plab variantlarni sozlash mumkin. Siz snort.conf orqali o'tishingiz, atrof-muhitingiz uchun eng muhim bo'lgan sozlamalarni topishingiz va ularni mos ravishda sozlashingiz kerak. 5-bosqich. Qoidalarni belgilash snort.conf dagi qatorlardan birida RULE_PATH o'zgaruvchisi mavjud. Ushbu qatorga misol: Var RULE_PATH ../regles ../rules opsiyasi qoidalarni (ya'ni, imzolarni) katalog strukturasidagi Snort ikkiliklari bilan bir xil darajada bo'lgan qoidalar katalogida topish mumkinligini bildiradi. Masalan, agar siz Snort-ni odatiy F:snort papkasiga o'rnatsangiz, Snort ikkilik fayllari F:snortin-da, qoidalar esa F:snort ules-da. Agar xohlasangiz, RULE_PATH oʻzgaruvchisini oʻzgartirishingiz mumkin, lekin standart variant ham qabul qilinadi. Qoidalar Snortning asosidir. Ular bayt ketma-ketligi, hujum imzolari va aniqlanganda ogohlantirish hosil qiluvchi boshqa turdagi ma'lumotlardir. Snort-da 1500 dan ortiq oldindan tuzilgan imzolar mavjud. Qoida nimaga o'xshaydi? Snort testi davomida buzilgan cmd.exe qoidasi: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server, o'rnatilgan; kontent: "cmd. exe"; nocase; sinf turi: veb-ilova-hujum; sid: 1002; rev: 5;). Qoidaning asosiy tarkibiy qismlarini ko'rib chiqing. $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS havolasi faqat tarmoqqa tashqaridan kiruvchi trafikni (EXTERNAL_NET oʻzgaruvchisi tomonidan belgilangan) tahlil qilish kerakligini bildiradi. Tarkib: parametri ma'lumotlar oqimidagi cmd.exe belgilar ketma-ketligini qidirishni belgilaydi. Bunday ketma-ketlikka duch kelganda, Snort msg: parametri tomonidan berilgan ogohlantirishni hosil qiladi. Cmd.exe misolida ko'rinib turganidek, qoidalar asosan oddiy. Har qanday turdagi trafik uchun o'z qoidalaringizni yaratishingiz mumkin. Misol uchun, agar siz qobiq orqali mashinadagi katalogga masofadan kirishga ruxsatsiz urinishlarni aniqlamoqchi bo'lsangiz, diskdagi satr hajmini yoki ular kam uchraydigan portlarda, masalan, chiqish portlarida tovush seriya raqamini qidirishingiz mumkin. Qoidalarni tayinlashda moslashuvchan yondashuv tufayli ma'murlarga Snort uchun keng ko'lamli konfiguratsiya opsiyalari taqdim etiladi. 1500 Snort qoidalari tahlil qilinayotgan ma'lumotlar turlariga ko'ra turli fayllarda saqlanadi. Masalan, cmd.exe qoidasi web-iis.rules faylida. Agar korxona IIS dan foydalanmasa, u holda dastur IIS hujumlarini aniqlashi shart emas. Web-iis.rules fayli satrni izoh sifatida topish va belgilash orqali butun konfiguratsiyadan osongina olib tashlanishi mumkin. $RULE_PATH/web-iis.rules kiriting snort.conf faylida. Satrni sharhlash uchun uning oldiga (#) belgi qo'ying: # ichiga $RULE_PATH/web-iis.rules kiradi Odatiy bo'lib, ba'zi turdagi qoidalar fayllari (masalan, icmp-info.rules, chat.rules) snort.conf da sharhlar bilan ifodalanadi. Snort.conf-dagi standart qoidalar konfiguratsiyasi juda yaxshi. Bloklangan qoidalarni faollashtirgandan so'ng, dastur, qoida tariqasida, juda ko'p keraksiz ogohlantirishlarni yaratadi. Ba'zi fayllar bir qator foydali qoidalarni o'z ichiga oladi, lekin bir nechta qoidalar juda ko'p keraksiz ogohlantirishlarni keltirib chiqaradi. Muayyan qoidani o'chirish uchun siz qoidalar faylidagi tegishli qatorni sharh sifatida belgilashingiz kerak. Kelajakda Snort fayl bilan ishlashda ushbu qoidani e'tiborsiz qoldiradi. Yangi tahdid manbalari paydo bo'lganda, qoidalar fayli yangilanishi kerak. Yangi qoidalar uchun eng yaxshi manba Snort.org veb-saytidir. Ushbu veb-saytda avtomatik yangilash xizmati mavjud emas, shuning uchun keyingi xavf tug'ilganda administrator yangilanishlar uchun muntazam ravishda unga murojaat qilishi kerak bo'ladi. 6-qadam: Ogohlantirishlar va jurnallarni o'rnating Yuqorida aytib o'tilganidek, Snort MySQL, SQL Server, Oracle va ODBC-mos keladigan ma'lumotlar bazalarida ma'lumotlarni yozib olishni ta'minlaydi. Siz qilishingiz kerak bo'lgan yagona narsa Snort o'rnatish jarayonida tegishli ma'lumotlar bazasi turini tanlashdir. Maqolaning hajmini haddan tashqari oshirmaslik uchun biz matnli fayldan foydalangan holda standart ro'yxatga olish rejimlarini va Windows voqealar jurnaliga xabar yozish funktsiyasini ko'rib chiqamiz. Snort buyrug'i bilan NIDSni ishga tushirganingizda, -A konsoli tugmasi ekranda ogohlantirishlarni ko'rsatishga olib keladi. Xabarlarni matnli faylga yo‘naltirish uchun ushbu o‘tishni afzal ko‘rgan jurnalga yozish rejimiga qarab -A tez yoki -A to‘liq ga o‘zgartiring. To'liq parametr katalogdagi alerts.ids deb nomlangan matn faylining bir necha qatorlarida tahdidning batafsil tavsifini aks ettiradi, unga boradigan yo'l -l kaliti bilan belgilanadi. Ro'yxatga olishning bunday turi to'liq ma'lumot beradi, ammo tarmoqda ko'plab voqealar bo'lsa, ularni tushunish qiyin. Bunday "shovqinli" tarmoqlarda shubhali trafikning asosiy xususiyatlarini o'z ichiga olgan alerts.ids-ga bir qatorli yozuvlarni kiritish uchun tezkor rejimdan foydalanish tavsiya etiladi. Menimcha, tezkor rejimda matnli fayl bilan ishlash to'liq rejimga qaraganda osonroq. Snortning joriy versiyasi Windows voqealar jurnaliga kirishni ta'minlaydi. Ko'pgina tashkilotlar allaqachon markazlashtirilgan hodisalar monitoringi, jurnallar va ma'lumotlarni yig'ish vositalarini sotib olgan va bu xususiyat Windows muhitiga ajoyib qo'shimcha bo'ladi. Snort ishlaydigan tizimning Ilova hodisalari jurnaliga ogohlantirishlarni yozish uchun -A opsiyasi o'rniga -E variantidan foydalaning (parametrlar ixtiyoriy). 5-rasmda Snort hodisasi (bu holda cmd.exe-ga kirishga urinish) Ilovalar jurnalida qanday ko'rinishi ko'rsatilgan. Windows hodisasi konsol ekrani kabi batafsil ma'lumotlarni taqdim etadi. Agar administrator haftada bir marta voqealar jurnallariga (yoki matn jurnallariga) qarasa, NIDS foydasiz. Agar tarmoqda biror narsa sodir bo'lsa, administrator bu haqda darhol bilishi kerak. Markazlashtirilgan monitoring va hodisalarni qayta ishlash tizimi xabarlarni elektron pochta, peyjer va boshqa aloqa qurilmalariga yuborishi mumkin. Ammo bunday tizim bo'lmasa, bu tashvishga sabab emas. NETIKUS.NET ogohlantirishlarni yuborish uchun ishlatilishi mumkin bo'lgan bepul EventSentry Light paketini taklif qiladi. EventSentry Light - bu EventSentry-ning baholash versiyasi va uni yuklab olish mumkin http://www.netikus.net/products_downloads.html. EventSentry Light yordamida siz tizimingizni voqealar jurnallarini kuzatish va avtomatik ravishda qayd etilgan Snort hodisalari haqida batafsil elektron pochta xabarlarini yuborish uchun sozlashingiz mumkin. Ustida ekran 6 cmd.exe hujumiga urinishlar haqida pochta xabarini ko'rsatadi. Men ushbu xabarni EventSentry Lightdan hujumdan bir necha soniya o'tgach oldim. Yuqorida aytib o'tilganidek, Snort odatda voqealar jurnallarini tezda to'ldiradigan juda ko'p keraksiz xabarlarni ishlab chiqaradi. Voqealar jurnallari uchun fayl o'lchamlarini va ularni qanday aylantirishni tanlashda buni yodda tuting. EventSentry Light pochta qutingizni kichik voqealar haqidagi xabarlar bilan to'ldirishiga yo'l qo'ymaslik uchun kalit satrlarni qidirish uchun filtr yaratishingiz mumkin. Misol uchun, men xabar matnida qator qidiruv filtrini tashkil qildim. 7-qadam: Xizmat sifatida ishga tushirish Barcha tayyorgarliklar tugallangandan so'ng, dasturni har safar ishga tushirishni xohlaganingizda ish stolingizga kirish o'rniga Snort-dan xizmat sifatida foydalanishingiz mumkin. Agar siz Snort-ni /XIZMAT va /INSTALL opsiyalari bilan (boshqa buyruq qatori opsiyalari bilan birga) boshlasangiz, Snort Windows xizmati sifatida ishga sozlanadi va foydalanuvchi aralashuvisiz avtomatik ravishda Windows bilan boshlanadi. Keyingi daraja: kengaytirish modullari Snort - bu to'liq funktsional dastur. Biroq, ba'zi hollarda, dasturni kengaytirish kerak. Masalan, agar tarmoqning turli qismlarida bir nechta NIDS o'rnatilgan bo'lsa, Snort-ni grafik interfeysdan boshqarish qulay. Bunday imkoniyatlar Engage Security-dan IDScenter plaginlarida va Activeworx-dan IDS siyosati menejerida amalga oshiriladi. Ba'zan xabarlardagi ma'lumotlarni tahlil qilish kerak bo'ladi. Siz Karnegi Mellon universitetida ishlab chiqilgan Intrusion ma'lumotlar bazalarini tahlil qilish konsoli (ACID) moduli yordamida saqlangan ma'lumotlarni ko'rishingiz va tahlil qilishingiz mumkin. Ishonchli himoya Snort - bu kompaniya byudjetiga zarar keltirmaydigan to'liq xususiyatli dastur. Snort-ni EventSentry Light kabi kuchli hodisalar monitoringi ilovasi bilan birlashtirib, tarmoqqa hujumlarni o'z vaqtida oldini olish mumkin. Dummies uchun hujumni aniqlash tizimi. SNORT-ni o'rnatish va sozlash. Aleksandr Antipov Snort - bu hujumni aniqlashning engil tizimi. Snort odatda "engil" NIDS deb ataladi, chunki u birinchi navbatda kichik tarmoqlar uchun mo'ljallangan. Dastur protokol tahlilini amalga oshirishi mumkin va turli xil hujumlarni aniqlash va bufer toshib ketish, yashirin portlarni qidirish, CGI hujumlari, OTni aniqlash urinishlari va boshqalar kabi muammolarni tekshirish uchun ishlatilishi mumkin. Snort qaysi trafikni o'tkazishni va qaysi birini kechiktirishni bilish uchun "qoidalar" dan ("qoidalar" fayllarida ko'rsatilgan) foydalanadi. Asbob moslashuvchan bo'lib, sizga yangi qoidalarni yozish va ularga rioya qilish imkonini beradi. Dastur shuningdek, modulli plagin arxitekturasidan foydalanadigan "kashfiyot mexanizmi"ga ega bo'lib, u orqali ma'lum dastur qo'shimchalarini "kashfiyot mexanizmi" ga qo'shish yoki olib tashlash mumkin. Snort uchta rejimda ishlashi mumkin: 1. tcpdump kabi paketli sniffer sifatida 2. Paket registratori sifatida 3. Bosqinlarni aniqlash tizimi qanchalik rivojlangan Ushbu maqolada biz Snort o'rnatilishi, uning arxitekturasi haqida batafsil gaplashamiz va qoidalarni qanday yaratish va boshqarishni o'rganamiz. Download 0.99 Mb. Do'stlaringiz bilan baham: 
|