5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari


IDS Snort-ni o'rnatish va sozlash


Download 1.77 Mb.
Pdf ko'rish
bet6/20
Sana16.04.2023
Hajmi1.77 Mb.
#1358757
1   2   3   4   5   6   7   8   9   ...   20
Bog'liq
5-6AMALIY ISH

IDS Snort-ni o'rnatish va sozlash 
Snort: Windows XP da o'rnatish 
Snort-ni Windows operatsion tizimiga o'rnatishda ba'zi qiyinchiliklar paydo bo'lishi mumkin. 
Shuning uchun, bu ish o'rnatish va konfiguratsiya opsiyalarining juda batafsil qismiga 
bag'ishlangan. Avval siz kerakli dasturlarni ishlaydigan kompyuteringizga yuklab olishingiz 
kerak. 
Snort uchun qoidalar. 
Yuqorida aytilganlarning barchasi ushbu ilovalarning rasmiy veb-saytlaridan yuklab olingan. 
Winpcap - yadro darajasida paketlarni ushlaydigan va filtrlaydigan dastur. U o'rnatilgan Unix 
drayveri libpcapga o'xshaydi. O'rnatish hech qanday noqulaylik tug'dirmaydi, u oddiy 
o'rnatuvchi orqali ishga tushiriladi. Shundan so'ng, siz IDS-ni rasmiy veb-saytdan yuklab 
olishingiz kerak, shundan so'ng biz u erdan qoidalar bilan yangi arxivni yuklab olamiz. Keyingi 
qadam, arxivda bo'lgan barcha papkalarni qoidalar bilan ilovaning ildiz katalogiga to'liq 
nusxalash va kerak bo'lganda tarkibni to'liq almashtirishdir. Keyin dasturning to'g'ri ishlashi 
uchun konfiguratsiya faylida muhim o'zgarishlar qilish kerak bo'ladi. 
var RULE_PATH c:snort ules 
var SO_RULE_PATH c:snortso_rules 
var PREPROC_RULE_PATH c:snortpreproc_rules 
dynamicpreprocessor katalogi c:snortlibsnort_dynamicpreprocessor 
dynamicengine c:snortlibsnort_dynamicenginesf_engine.dll 
#dynamicdetection katalogi /usr/local/lib/snort_dynamicrules 
Biz konfiguratsiya faylida shunga o'xshash qatorlarni topamiz va ularni yuqorida keltirilganlar 
bilan almashtiramiz. Shundan so'ng biz dasturni sinab ko'rishga harakat qilamiz. Biz buyruq 
satrini boshlaymiz va "bin" bo'limidagi dastur katalogiga o'tamiz. "Snort -W" buyrug'ini kiriting 
Guruch. 1.1. 
Ushbu buyruq yordamida biz interfeyslarimizni ko'rish uchun dasturning sog'lig'ini tekshiramiz. 
Ulardan bir nechtasi borligiga ishonch hosil qilganimizdan so'ng, paketlarni ushlab qolish va IDS 
ishlashini kuzatishni boshlash uchun ishchi tarmoqqa ulanganini tanlaymiz. 
C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -A konsol 


Endi biz kiritgan buyruqni tahlil qilaylik. "-i 3" interfeyslar ro'yxatida ID= 3 bo'lgan interfeysni 
ko'rib chiqamiz degan ma'noni anglatadi. Keyin biz konfiguratsiya fayliga yo'lni va qo'lga 
kiritilgan paketlarning "jurnalini" yozish kerak bo'lgan katalogga yo'lni aniqladik. "-A konsol" 
signal paketlari konsolimizda aniqlanishini anglatadi. Qayta ishlash jarayonida biron bir 
muammo yuzaga kelsa, biz ularni aniqlash jarayonida yo'q qilamiz. Snort satr va qurilish 
xatosining turini belgilaydi. Agar hamma narsa ishlagan bo'lsa, unda ishlaydigan qoidalardan biri 
ishlamaguncha biz hech narsani ko'rmaymiz. Ulardan birini ishlatish uchun, keling, tarmoq 
hujumini simulyatsiya qilishga va mahalliy tarmog'imiz orqali shubhali paketni ishga tushirishga 
harakat qilaylik. Buni amalga oshirish uchun, masalan, buyruq satrini oching va quyidagilarni 
kiriting: "Ping 192.168.1.16". Snort 192.168.1.1624-da xostni tinglashga urinishni to'xtatadi va 
shubhali tarmoq faoliyati haqida xabar va ma'lumotni chop etadi. Afsuski, bunday IDS tizimlari 
kuchli kamchiliklarga ega - bu noto'g'ri musbatlar. Shu munosabat bilan, Snort foydali bo'lishi va 
chalg'itmasligi uchun qoidalarni aniq va aniq belgilash va ushbu noto'g'ri ijobiy holatlarning 
oldini olish uchun ko'riladigan tarmoqlarni chegaralash kerak. 
Guruch. 1.2. 
Endi bizning IDS ishlayotgan konsolda "tinglash" ga o'xshash shubhali paket haqida xabarlar 
bo'ladi. Ushbu qoida Snortning to'liq ishlayotganligini ko'rsatdi. Uning ishlash rejimlarini va 
keyingi ish uchun qoidalar sintaksisini ko'rib chiqing. 


1. IDS nima. 
Bugungi kunda xakerlar tavsifi, shuningdek, bir xil mavzudagi maqolalar, ekspluatatsiyalar, 
dasturlar mavjud bo'lgan ko'plab saytlar mavjud bo'lganda, serverlarni buzishga urinishlar tez-tez 
uchrab turadi. Oxir oqibat, o'zini xaker deb hisoblaydigan har qanday foydalanuvchi sizga yangi 
yuklangan ekspluatatsiyani sinab ko'rishi va serveringiz ustidan nazoratni qo'lga kiritishi 
mumkin. Bu unchalik oson emas, lekin baribir... 
Hujumlar haqida bilish yoki shunchaki serverda sodir bo'layotgan voqealardan xabardor bo'lish 
uchun ko'plab administratorlar har kuni jurnallarni ko'zdan kechiradilar. Ammo, masalan, 
Apache veb-serverining log fayli kuniga 10 Mb ga oshganida, siz server xavfsizligini kuzatish 
jarayonini avtomatlashtirishingiz kerak. Yechimlardan biri IDS - buzg'unchilikni aniqlash 
tizimlari bo'lib, so'nggi bir necha yil ichida samaradorligi oshgan va hozirda har qanday tarmoq 
himoyasining ajralmas qismi hisoblanadi. 
IDS (Intrusion Detection System) ning ko'p turlaridan ikkitasini ajratib ko'rsatish 
mumkin: protokol tahliliga asoslangan(standartlarga mos kelmaydigan paketlarni aniqlash) 
va imzo tahliliga asoslangan(paketlarda hujum imzosi qidiriladi - bu paket zararli trafikka 
tegishli ekanligini ko'rsatuvchi qator (namuna). Bunday IDS NIDS (Network Intrusion Detection 
System) deb ataladi. Umuman olganda, NIDS ning ishlash printsipini quyidagicha ta'riflash 
mumkin. : barcha trafik zararli ma'lumotlarni o'z ichiga olgan paketlar mavjudligi uchun tahlil 
qilinadi va agar bunday paket topilsa, u holda turli xil signalizatsiya harakatlari amalga oshiriladi 
(konsolda xabar ko'rsatiladi, xat yuboriladi, jurnalga yoziladi, Winpopup xabari yuborilgan va 
h.k.) IDS ning ikkala turi ham o‘zining afzalliklari va kamchiliklariga ega, masalan, paketni 
tahlil qilish uchun mavjud shaklga aylantirish hisobiga protokol tahlili sekinroq. standartlar 
roʻyxatga olingan. Imzo tahliliga asoslangan IDS tezroq va bundan tashqari ularni sozlash va 
yangilash ham oson (men yangi zaiflikni koʻrdim, uni bazaga qoʻshdim va sizning IDSingiz uni 
topadi.) Lekin IDS dan foydalangan maʼqulroq. tahlil qilishning ikkita usuli, uh bu sizga 
haqiqatan ham ajoyib natijalar beradi. 

Download 1.77 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   20




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling