5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari
IDS Snort-ni o'rnatish va sozlash
Download 1.77 Mb. Pdf ko'rish
|
5-6AMALIY ISH
|
IDS Snort-ni o'rnatish va sozlash
Snort: Windows XP da o'rnatish Snort-ni Windows operatsion tizimiga o'rnatishda ba'zi qiyinchiliklar paydo bo'lishi mumkin. Shuning uchun, bu ish o'rnatish va konfiguratsiya opsiyalarining juda batafsil qismiga bag'ishlangan. Avval siz kerakli dasturlarni ishlaydigan kompyuteringizga yuklab olishingiz kerak. Snort uchun qoidalar. Yuqorida aytilganlarning barchasi ushbu ilovalarning rasmiy veb-saytlaridan yuklab olingan. Winpcap - yadro darajasida paketlarni ushlaydigan va filtrlaydigan dastur. U o'rnatilgan Unix drayveri libpcapga o'xshaydi. O'rnatish hech qanday noqulaylik tug'dirmaydi, u oddiy o'rnatuvchi orqali ishga tushiriladi. Shundan so'ng, siz IDS-ni rasmiy veb-saytdan yuklab olishingiz kerak, shundan so'ng biz u erdan qoidalar bilan yangi arxivni yuklab olamiz. Keyingi qadam, arxivda bo'lgan barcha papkalarni qoidalar bilan ilovaning ildiz katalogiga to'liq nusxalash va kerak bo'lganda tarkibni to'liq almashtirishdir. Keyin dasturning to'g'ri ishlashi uchun konfiguratsiya faylida muhim o'zgarishlar qilish kerak bo'ladi. var RULE_PATH c:snort ules var SO_RULE_PATH c:snortso_rules var PREPROC_RULE_PATH c:snortpreproc_rules dynamicpreprocessor katalogi c:snortlibsnort_dynamicpreprocessor dynamicengine c:snortlibsnort_dynamicenginesf_engine.dll #dynamicdetection katalogi /usr/local/lib/snort_dynamicrules Biz konfiguratsiya faylida shunga o'xshash qatorlarni topamiz va ularni yuqorida keltirilganlar bilan almashtiramiz. Shundan so'ng biz dasturni sinab ko'rishga harakat qilamiz. Biz buyruq satrini boshlaymiz va "bin" bo'limidagi dastur katalogiga o'tamiz. "Snort -W" buyrug'ini kiriting Guruch. 1.1. Ushbu buyruq yordamida biz interfeyslarimizni ko'rish uchun dasturning sog'lig'ini tekshiramiz. Ulardan bir nechtasi borligiga ishonch hosil qilganimizdan so'ng, paketlarni ushlab qolish va IDS ishlashini kuzatishni boshlash uchun ishchi tarmoqqa ulanganini tanlaymiz. C:Snortinsnort -i 3 -c C:snortetcsnort.conf -l C:snortlog -A konsol Endi biz kiritgan buyruqni tahlil qilaylik. "-i 3" interfeyslar ro'yxatida ID= 3 bo'lgan interfeysni ko'rib chiqamiz degan ma'noni anglatadi. Keyin biz konfiguratsiya fayliga yo'lni va qo'lga kiritilgan paketlarning "jurnalini" yozish kerak bo'lgan katalogga yo'lni aniqladik. "-A konsol" signal paketlari konsolimizda aniqlanishini anglatadi. Qayta ishlash jarayonida biron bir muammo yuzaga kelsa, biz ularni aniqlash jarayonida yo'q qilamiz. Snort satr va qurilish xatosining turini belgilaydi. Agar hamma narsa ishlagan bo'lsa, unda ishlaydigan qoidalardan biri ishlamaguncha biz hech narsani ko'rmaymiz. Ulardan birini ishlatish uchun, keling, tarmoq hujumini simulyatsiya qilishga va mahalliy tarmog'imiz orqali shubhali paketni ishga tushirishga harakat qilaylik. Buni amalga oshirish uchun, masalan, buyruq satrini oching va quyidagilarni kiriting: "Ping 192.168.1.16". Snort 192.168.1.1624-da xostni tinglashga urinishni to'xtatadi va shubhali tarmoq faoliyati haqida xabar va ma'lumotni chop etadi. Afsuski, bunday IDS tizimlari kuchli kamchiliklarga ega - bu noto'g'ri musbatlar. Shu munosabat bilan, Snort foydali bo'lishi va chalg'itmasligi uchun qoidalarni aniq va aniq belgilash va ushbu noto'g'ri ijobiy holatlarning oldini olish uchun ko'riladigan tarmoqlarni chegaralash kerak. Guruch. 1.2. Endi bizning IDS ishlayotgan konsolda "tinglash" ga o'xshash shubhali paket haqida xabarlar bo'ladi. Ushbu qoida Snortning to'liq ishlayotganligini ko'rsatdi. Uning ishlash rejimlarini va keyingi ish uchun qoidalar sintaksisini ko'rib chiqing. 1. IDS nima. Bugungi kunda xakerlar tavsifi, shuningdek, bir xil mavzudagi maqolalar, ekspluatatsiyalar, dasturlar mavjud bo'lgan ko'plab saytlar mavjud bo'lganda, serverlarni buzishga urinishlar tez-tez uchrab turadi. Oxir oqibat, o'zini xaker deb hisoblaydigan har qanday foydalanuvchi sizga yangi yuklangan ekspluatatsiyani sinab ko'rishi va serveringiz ustidan nazoratni qo'lga kiritishi mumkin. Bu unchalik oson emas, lekin baribir... Hujumlar haqida bilish yoki shunchaki serverda sodir bo'layotgan voqealardan xabardor bo'lish uchun ko'plab administratorlar har kuni jurnallarni ko'zdan kechiradilar. Ammo, masalan, Apache veb-serverining log fayli kuniga 10 Mb ga oshganida, siz server xavfsizligini kuzatish jarayonini avtomatlashtirishingiz kerak. Yechimlardan biri IDS - buzg'unchilikni aniqlash tizimlari bo'lib, so'nggi bir necha yil ichida samaradorligi oshgan va hozirda har qanday tarmoq himoyasining ajralmas qismi hisoblanadi. IDS (Intrusion Detection System) ning ko'p turlaridan ikkitasini ajratib ko'rsatish mumkin: protokol tahliliga asoslangan(standartlarga mos kelmaydigan paketlarni aniqlash) va imzo tahliliga asoslangan(paketlarda hujum imzosi qidiriladi - bu paket zararli trafikka tegishli ekanligini ko'rsatuvchi qator (namuna). Bunday IDS NIDS (Network Intrusion Detection System) deb ataladi. Umuman olganda, NIDS ning ishlash printsipini quyidagicha ta'riflash mumkin. : barcha trafik zararli ma'lumotlarni o'z ichiga olgan paketlar mavjudligi uchun tahlil qilinadi va agar bunday paket topilsa, u holda turli xil signalizatsiya harakatlari amalga oshiriladi (konsolda xabar ko'rsatiladi, xat yuboriladi, jurnalga yoziladi, Winpopup xabari yuborilgan va h.k.) IDS ning ikkala turi ham o‘zining afzalliklari va kamchiliklariga ega, masalan, paketni tahlil qilish uchun mavjud shaklga aylantirish hisobiga protokol tahlili sekinroq. standartlar roʻyxatga olingan. Imzo tahliliga asoslangan IDS tezroq va bundan tashqari ularni sozlash va yangilash ham oson (men yangi zaiflikni koʻrdim, uni bazaga qoʻshdim va sizning IDSingiz uni topadi.) Lekin IDS dan foydalangan maʼqulroq. tahlil qilishning ikkita usuli, uh bu sizga haqiqatan ham ajoyib natijalar beradi. Download 1.77 Mb. Do'stlaringiz bilan baham: 
|