5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari


Snort hujumini aniqlash tizimini o'rnatish


Download 1.77 Mb.
Pdf ko'rish
bet3/20
Sana16.04.2023
Hajmi1.77 Mb.
#1358757
1   2   3   4   5   6   7   8   9   ...   20
Bog'liq
5-6AMALIY ISH

 Snort hujumini aniqlash tizimini o'rnatish 
va sozlash. SNORT o'rnatish. Tarmoqqa 
tajovuzni aniqlash tizimi 
Korporativ tarmoqlar orqali har kuni milliardlab ma'lumotlar paketlari uzatiladi. Ulardan ba'zilari 
xavfli; ushbu paketlarning mualliflari xavfsizlik devorlarini chetlab o'tish va tarmoqlarning 
perimetri mudofaa chiziqlarini kesib o'tish uchun maxsus qadamlar qo'ydi va ular duch kelgan 
har bir tizimni buzdi. Code Red, Nimda, SQL Slammer va MSBlaster kabi paketlangan 
hujumlarning halokatli ta'siri yaxshi ma'lum. Ushbu zararli dasturlarning barchasi o'z maqsadlari 
uchun ishonchli protokollardan (masalan, HTTP) yoki Microsoft tizimlaridan tarmoq trafigidan 
foydalanadi. Bunday protokollarni oddiygina qabul qilish va blokirovka qilish mumkin emas, 
shuning uchun administratorlar odatda tahdidga o'z vaqtida javob berish uchun tarmoq 
bosqinlarini aniqlash tizimi (NIDS) yordamida xavfli trafikni imkon qadar tezroq qo'lga 
kiritishga harakat qilishadi. 
Xususiyatlari va narxi jihatidan farq qiluvchi bir nechta NIDS savdoda mavjud. Umuman 
olganda, ularning barchasi muvaffaqiyatli ishlaydi. Men duch kelgan barcha tijorat paketlari 
ajoyib taassurot qoldirdi. Ammo budjeti kam bo‘lgan tashkilotlar hujumni aniqlash ustuvor 
vazifa bo‘lmasa, nima qilishlari kerak? Bunday holda, Snort - kuchli bepul NIDS to'plami 
mavjud. Ko'pgina ochiq kodli paketlardan farqli o'laroq, u Windows bilan mos keladi. 
Snortga kirish 
Snortning asl ishlab chiquvchisi Martin Resch dasturni GNU General Public License (GPL) 
shartlariga muvofiq ochiq hamjamiyatga taqdim etdi. Ushbu paketning tarixi 1998 yilda 
boshlangan va o'shandan beri u o'zining ishonchliligini bir necha bor isbotlagan. Dunyo bo'ylab 
ochiq hamjamiyat a'zolari va tarmoq ma'murlarining hissalari tufayli Snort juda kuchli 


mahsulotga aylandi. Joriy versiya real vaqt rejimida tarmoq trafigini tahlil qilish va Fast Ethernet 
va Gigabit Ethernet tezligida IP-trafikni qayd etish imkonini beradi. 
Maykl Devis Snort 1.7-ni Win32 platformasiga o'tkazdi va uni Windows hamjamiyatiga taqdim 
etdi. Keyin Kris Rid Snort-ning yangi versiyalarini Windows muhitida osongina o'rnatilishi 
mumkin bo'lgan bajariladigan fayllarga kompilyatsiya qilish vazifasini o'z zimmasiga oldi. 
NIDS bilan tanish bo'lmagan ma'murlar ushbu vositani tarmoq analizatorining maxsus turi deb 
hisoblashlari mumkin. NIDS interfeys orqali o'tadigan har bir paketni tekshiradi, odatda zararli 
kod yashiringan foydali yukdagi ma'lum naqshlarni qidiradi. Snort yordamida siz tashkilot 
tarmog'i orqali o'tadigan har bir paketda qidirish va moslashtirish operatsiyalarini bajarishingiz 
va real vaqt rejimida ko'plab hujumlar va noqonuniy trafikni aniqlashingiz mumkin. 
Snort talablari 
Snort ishlashi uchun kamida bitta tarmoq adapteri bo'lgan Windows kompyuteri kerak. Ikki 
NICga ega bo'lish yaxshiroqdir, biri nazorat qilinadigan tarmoqqa, ikkinchisi esa ishlab chiqarish 
tarmog'iga ulangan; ikkinchisi hisobotlarni yuboradi. Snort nafaqat Windows 2000 Server va 
undan keyingi versiyalari, balki Windows XP Professional Edition, XP Home Edition va 
Windows 2000 Professional bilan ham mos keladi. Server litsenziyalari talab qilinmaydi. Men 
har kuni XP Pro noutbukimni ko'plab mijozlar tarmoqlariga ulayman va odatda Snort-ni xizmat 
sifatida ishlataman. Shunday qilib, dastur fonda ishlaydi va mening tizimimga ushbu mijoz 
tarmog'idan kelayotgan hujumlarni aniqlaydi. Men Snort-dan portativ sensor sifatida 
foydalanaman - dastur noutbuk ulanadigan har qanday port uchun NIDS vazifasini bajaradi. 
Kichikroq tarmoqlarda siz Snort-ni kirish darajasidagi serverda o'rnatishingiz mumkin. Ruxsatsiz 
kirishga urinishlarni aniqlash uchun yuqori quvvatli maxsus mashina kerak emas. Masalan, men 
1 gigagertsli protsessorli va 1 Gb tezkor xotiraga ega FreeBSD-ga asoslangan Snort tugunlari 
haqida eshitganman, ular 15 000 foydalanuvchi va bir nechta T-3 WAN havolalari bilan 
tarmoqlarga muvaffaqiyatli xizmat ko'rsatgan. Snort manba kodining samaradorligi tufayli 
dasturni ishga tushirish uchun juda kuchli mashina kerak emas. 
NIDSni aniqlash uchun tarmoqdagi eng yaxshi joy qayerda? Birinchi fikr qurilmani xavfsizlik 
devori oldiga qo'yishdir. Bu erda NIDS eng ko'p hujumlarni aniqlaydi, ammo noto'g'ri pozitivlar 
soni ham eng yuqori bo'ladi va administrator juda ko'p foydasiz ogohlantirishlarni oladi. 
Xavfsizlik devori tomonidan to'xtatilgan tahdidlar haqida tashvishlanishingiz shart emas, uning 
orqasiga kirgan xavfli dasturlarni aniqlash muhimroqdir. Shunday ekan, Snort-ni xavfsizlik 
devori orqasiga qo'ygan ma'qul. 
Biroq, agar foydalanuvchilar tarmoqqa VPN ulanishi (Internet orqali yoki simsiz ulanish orqali) 
orqali ulansa, NIDSni xavfsizlik devori orqasida, masalan, VPN serveri yoki konsentrator 
orqasida joylashtirish mantiqan to'g'ri keladi. ular VPN tunnelini tark etishadi. Aks holda, NIDS 
VPN trafigiga o'rnatilgan zararli dasturlarga qarshi tura olmaydi, chunki tahlil qilingan paketlar 
shifrlanadi. Xuddi shu narsa shifrlangan SMTP trafigiga, elektron pochta xabarlariga 


biriktirilgan shifrlangan .zip fayllarga va shifrlangan maʼlumotlarning boshqa turlariga ham 
tegishli. 
Ideal holda, NIDS har qanday trafikni shifrlovchi komponentlar orqasida etarlicha uzoqda 
joylashgan bo'lishi va iloji boricha ko'proq segmentlar va pastki tarmoqlardagi trafikni tahlil 
qilish uchun tarmoq perimetriga etarlicha yaqin bo'lishi kerak. Kommutatsiyalangan tarmoq 
muhitida kommutator odatda tarmoq orqali o'tadigan barcha paketlar yig'iladigan diagnostika 
portini talab qiladi. Natijada, NIDS barcha tarmoq trafigiga oson kirish imkoniyatiga ega. 
Endi siz Snort bilan tanish bo'lganingizdan va hosting talablaringizni bilganingizdan so'ng, 
NIDSni o'rnatishingiz va sinab ko'rishingiz mumkin. Snort haqida qo'shimcha ma'lumot olish 
uchun "Internetdagi manbalar" yon panelida bog'langan hujjatlarga qarang. Ushbu jarayon etti 
bosqichdan iborat: 
1. WinPcap o'rnatilmoqda 
2. Snort o'rnatilmoqda 
3. Snort sinovi 
4. Snort o'rnatilmoqda 
5. Qoidalarni o'rnatish 
6. Ogohlantirishlar va jurnallarni sozlash 
7. Xizmat sifatida ishga tushirish 
1-qadam. WinPcap-ni o'rnatish 
Aslini olganda, Snort promiscuous rejimda ishlaydigan tarmoq analizatoridir, shuning uchun u 
haydovchi darajasida yordamga muhtoj. Ushbu yordam WinPcap tomonidan taqdim etiladi. 
Loris DiGioanni WinPcap-ni Unix foydalanuvchilari orasida keng qo'llaniladigan paketlarni 
yozib olish libpcap drayverini Windows muhitiga ko'chirish orqali yaratdi. WinPcap yadro 
darajasidagi paket filtrini, past darajadagi DLL (packet.dll) va yuqori darajadagi tizimdan 
mustaqil kutubxonani (libpcap 0.6.2 asosidagi wpcap.dll) o'z ichiga oladi. 
WinPcap dan yuklab olish mumkin http://winpcap.polito.it. Drayv Windows Server 2003, XP, 
Windows 2000, Windows NT, Windows Me va Windows 9x bilan mos keladi. WinPcap 
shuningdek, dan mavjud bo'lgan ochiq manbali Ethereal paketli snifferni qo'llab-quvvatlaydi. 
Ethereal-dan foydalanib, Snort to'g'ri o'rnatilganligini tekshirishingiz mumkin. 
WinPcap o'rnatish faylini tarmoqdan yuklab olgandan so'ng, o'rnatish protsedurasining bir nechta 
ekranlaridan o'tish kifoya. Foydalanuvchining eng katta harakatini litsenziya shartlariga rozi 
bo'lishingiz kerak bo'lgan ekran talab qiladi. 
2-qadam Snort-ni o'rnating 
Keyingi qadam Snort-ni o'rnatishdir. Eng so'nggi versiyani CodeCraft Consultants veb-saytlarida 
topish mumkin ( http://www.codecraftconsultants.com/snort.aspx) yoki Snort.org 
http://www.snort.org). Men Snort-ni CodeCraft Consultants-dan yuklab olishni tavsiya 
qilaman, chunki o'z-o'zidan ochiladigan bajariladigan faylni ushbu saytdan olish mumkin. Dastur 
hatto foydalanuvchini Snort-ni kompyuterga o'rnatishning asosiy bosqichlari bo'yicha yo'l-yo'riq 


ko'rsatadi. Ushbu maqola Snort 2.1.1 build 18 ning eng so'nggi versiyasidan foydalangan holda 
tayyorlangan. Yangilangan versiyalar o'shandan beri chiqarilgan. 
Birinchi dialog oynasida o'rnatuvchini ishga tushirganingizda, natijalarni saqlash uchun 
ma'lumotlar bazasini sozlash rejimini tanlashingiz kerak. Agar siz MySQL yoki ODBC-mos 
keladigan ma'lumotlar bazasidan foydalanayotgan bo'lsangiz, standart rejimni qabul qilishingiz 
mumkin (1-rasm). Ammo agar siz jurnallarni Microsoft SQL Server yoki Oracle ma'lumotlar 
bazasida saqlamoqchi bo'lsangiz, unda siz tegishli rejimni tanlashingiz va mashinada kerakli 
mijoz dasturi mavjudligiga ishonch hosil qilishingiz kerak. Ushbu maqola standart rejim 
yordamida tayyorlangan. 
Keyingi qadam, qaysi Snort komponentlarini o'rnatish kerakligini aniqlashdir. Standart to'plam 
(ekran 2) yaxshi, shuning uchun uni qabul qilishni va "Keyingi" ni bosishni tavsiya qilaman. 
O'rnatish joyini tanlash dialog oynasida Snort o'rnatiladigan katalogni ko'rsatishingiz kerak. 
Katalog nomini kiritgandan so'ng, o'rnatish jarayonini yakunlash uchun "Keyingi" tugmasini 
bosing. 

Download 1.77 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   20




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling