5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari
Snort hujumini aniqlash tizimini o'rnatish
Download 1.77 Mb. Pdf ko'rish
|
5-6AMALIY ISH
Snort hujumini aniqlash tizimini o'rnatish
va sozlash. SNORT o'rnatish. Tarmoqqa tajovuzni aniqlash tizimi Korporativ tarmoqlar orqali har kuni milliardlab ma'lumotlar paketlari uzatiladi. Ulardan ba'zilari xavfli; ushbu paketlarning mualliflari xavfsizlik devorlarini chetlab o'tish va tarmoqlarning perimetri mudofaa chiziqlarini kesib o'tish uchun maxsus qadamlar qo'ydi va ular duch kelgan har bir tizimni buzdi. Code Red, Nimda, SQL Slammer va MSBlaster kabi paketlangan hujumlarning halokatli ta'siri yaxshi ma'lum. Ushbu zararli dasturlarning barchasi o'z maqsadlari uchun ishonchli protokollardan (masalan, HTTP) yoki Microsoft tizimlaridan tarmoq trafigidan foydalanadi. Bunday protokollarni oddiygina qabul qilish va blokirovka qilish mumkin emas, shuning uchun administratorlar odatda tahdidga o'z vaqtida javob berish uchun tarmoq bosqinlarini aniqlash tizimi (NIDS) yordamida xavfli trafikni imkon qadar tezroq qo'lga kiritishga harakat qilishadi. Xususiyatlari va narxi jihatidan farq qiluvchi bir nechta NIDS savdoda mavjud. Umuman olganda, ularning barchasi muvaffaqiyatli ishlaydi. Men duch kelgan barcha tijorat paketlari ajoyib taassurot qoldirdi. Ammo budjeti kam bo‘lgan tashkilotlar hujumni aniqlash ustuvor vazifa bo‘lmasa, nima qilishlari kerak? Bunday holda, Snort - kuchli bepul NIDS to'plami mavjud. Ko'pgina ochiq kodli paketlardan farqli o'laroq, u Windows bilan mos keladi. Snortga kirish Snortning asl ishlab chiquvchisi Martin Resch dasturni GNU General Public License (GPL) shartlariga muvofiq ochiq hamjamiyatga taqdim etdi. Ushbu paketning tarixi 1998 yilda boshlangan va o'shandan beri u o'zining ishonchliligini bir necha bor isbotlagan. Dunyo bo'ylab ochiq hamjamiyat a'zolari va tarmoq ma'murlarining hissalari tufayli Snort juda kuchli mahsulotga aylandi. Joriy versiya real vaqt rejimida tarmoq trafigini tahlil qilish va Fast Ethernet va Gigabit Ethernet tezligida IP-trafikni qayd etish imkonini beradi. Maykl Devis Snort 1.7-ni Win32 platformasiga o'tkazdi va uni Windows hamjamiyatiga taqdim etdi. Keyin Kris Rid Snort-ning yangi versiyalarini Windows muhitida osongina o'rnatilishi mumkin bo'lgan bajariladigan fayllarga kompilyatsiya qilish vazifasini o'z zimmasiga oldi. NIDS bilan tanish bo'lmagan ma'murlar ushbu vositani tarmoq analizatorining maxsus turi deb hisoblashlari mumkin. NIDS interfeys orqali o'tadigan har bir paketni tekshiradi, odatda zararli kod yashiringan foydali yukdagi ma'lum naqshlarni qidiradi. Snort yordamida siz tashkilot tarmog'i orqali o'tadigan har bir paketda qidirish va moslashtirish operatsiyalarini bajarishingiz va real vaqt rejimida ko'plab hujumlar va noqonuniy trafikni aniqlashingiz mumkin. Snort talablari Snort ishlashi uchun kamida bitta tarmoq adapteri bo'lgan Windows kompyuteri kerak. Ikki NICga ega bo'lish yaxshiroqdir, biri nazorat qilinadigan tarmoqqa, ikkinchisi esa ishlab chiqarish tarmog'iga ulangan; ikkinchisi hisobotlarni yuboradi. Snort nafaqat Windows 2000 Server va undan keyingi versiyalari, balki Windows XP Professional Edition, XP Home Edition va Windows 2000 Professional bilan ham mos keladi. Server litsenziyalari talab qilinmaydi. Men har kuni XP Pro noutbukimni ko'plab mijozlar tarmoqlariga ulayman va odatda Snort-ni xizmat sifatida ishlataman. Shunday qilib, dastur fonda ishlaydi va mening tizimimga ushbu mijoz tarmog'idan kelayotgan hujumlarni aniqlaydi. Men Snort-dan portativ sensor sifatida foydalanaman - dastur noutbuk ulanadigan har qanday port uchun NIDS vazifasini bajaradi. Kichikroq tarmoqlarda siz Snort-ni kirish darajasidagi serverda o'rnatishingiz mumkin. Ruxsatsiz kirishga urinishlarni aniqlash uchun yuqori quvvatli maxsus mashina kerak emas. Masalan, men 1 gigagertsli protsessorli va 1 Gb tezkor xotiraga ega FreeBSD-ga asoslangan Snort tugunlari haqida eshitganman, ular 15 000 foydalanuvchi va bir nechta T-3 WAN havolalari bilan tarmoqlarga muvaffaqiyatli xizmat ko'rsatgan. Snort manba kodining samaradorligi tufayli dasturni ishga tushirish uchun juda kuchli mashina kerak emas. NIDSni aniqlash uchun tarmoqdagi eng yaxshi joy qayerda? Birinchi fikr qurilmani xavfsizlik devori oldiga qo'yishdir. Bu erda NIDS eng ko'p hujumlarni aniqlaydi, ammo noto'g'ri pozitivlar soni ham eng yuqori bo'ladi va administrator juda ko'p foydasiz ogohlantirishlarni oladi. Xavfsizlik devori tomonidan to'xtatilgan tahdidlar haqida tashvishlanishingiz shart emas, uning orqasiga kirgan xavfli dasturlarni aniqlash muhimroqdir. Shunday ekan, Snort-ni xavfsizlik devori orqasiga qo'ygan ma'qul. Biroq, agar foydalanuvchilar tarmoqqa VPN ulanishi (Internet orqali yoki simsiz ulanish orqali) orqali ulansa, NIDSni xavfsizlik devori orqasida, masalan, VPN serveri yoki konsentrator orqasida joylashtirish mantiqan to'g'ri keladi. ular VPN tunnelini tark etishadi. Aks holda, NIDS VPN trafigiga o'rnatilgan zararli dasturlarga qarshi tura olmaydi, chunki tahlil qilingan paketlar shifrlanadi. Xuddi shu narsa shifrlangan SMTP trafigiga, elektron pochta xabarlariga biriktirilgan shifrlangan .zip fayllarga va shifrlangan maʼlumotlarning boshqa turlariga ham tegishli. Ideal holda, NIDS har qanday trafikni shifrlovchi komponentlar orqasida etarlicha uzoqda joylashgan bo'lishi va iloji boricha ko'proq segmentlar va pastki tarmoqlardagi trafikni tahlil qilish uchun tarmoq perimetriga etarlicha yaqin bo'lishi kerak. Kommutatsiyalangan tarmoq muhitida kommutator odatda tarmoq orqali o'tadigan barcha paketlar yig'iladigan diagnostika portini talab qiladi. Natijada, NIDS barcha tarmoq trafigiga oson kirish imkoniyatiga ega. Endi siz Snort bilan tanish bo'lganingizdan va hosting talablaringizni bilganingizdan so'ng, NIDSni o'rnatishingiz va sinab ko'rishingiz mumkin. Snort haqida qo'shimcha ma'lumot olish uchun "Internetdagi manbalar" yon panelida bog'langan hujjatlarga qarang. Ushbu jarayon etti bosqichdan iborat: 1. WinPcap o'rnatilmoqda 2. Snort o'rnatilmoqda 3. Snort sinovi 4. Snort o'rnatilmoqda 5. Qoidalarni o'rnatish 6. Ogohlantirishlar va jurnallarni sozlash 7. Xizmat sifatida ishga tushirish 1-qadam. WinPcap-ni o'rnatish Aslini olganda, Snort promiscuous rejimda ishlaydigan tarmoq analizatoridir, shuning uchun u haydovchi darajasida yordamga muhtoj. Ushbu yordam WinPcap tomonidan taqdim etiladi. Loris DiGioanni WinPcap-ni Unix foydalanuvchilari orasida keng qo'llaniladigan paketlarni yozib olish libpcap drayverini Windows muhitiga ko'chirish orqali yaratdi. WinPcap yadro darajasidagi paket filtrini, past darajadagi DLL (packet.dll) va yuqori darajadagi tizimdan mustaqil kutubxonani (libpcap 0.6.2 asosidagi wpcap.dll) o'z ichiga oladi. WinPcap dan yuklab olish mumkin http://winpcap.polito.it. Drayv Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me va Windows 9x bilan mos keladi. WinPcap shuningdek, dan mavjud bo'lgan ochiq manbali Ethereal paketli snifferni qo'llab-quvvatlaydi. Ethereal-dan foydalanib, Snort to'g'ri o'rnatilganligini tekshirishingiz mumkin. WinPcap o'rnatish faylini tarmoqdan yuklab olgandan so'ng, o'rnatish protsedurasining bir nechta ekranlaridan o'tish kifoya. Foydalanuvchining eng katta harakatini litsenziya shartlariga rozi bo'lishingiz kerak bo'lgan ekran talab qiladi. 2-qadam Snort-ni o'rnating Keyingi qadam Snort-ni o'rnatishdir. Eng so'nggi versiyani CodeCraft Consultants veb-saytlarida topish mumkin ( http://www.codecraftconsultants.com/snort.aspx) yoki Snort.org ( http://www.snort.org). Men Snort-ni CodeCraft Consultants-dan yuklab olishni tavsiya qilaman, chunki o'z-o'zidan ochiladigan bajariladigan faylni ushbu saytdan olish mumkin. Dastur hatto foydalanuvchini Snort-ni kompyuterga o'rnatishning asosiy bosqichlari bo'yicha yo'l-yo'riq ko'rsatadi. Ushbu maqola Snort 2.1.1 build 18 ning eng so'nggi versiyasidan foydalangan holda tayyorlangan. Yangilangan versiyalar o'shandan beri chiqarilgan. Birinchi dialog oynasida o'rnatuvchini ishga tushirganingizda, natijalarni saqlash uchun ma'lumotlar bazasini sozlash rejimini tanlashingiz kerak. Agar siz MySQL yoki ODBC-mos keladigan ma'lumotlar bazasidan foydalanayotgan bo'lsangiz, standart rejimni qabul qilishingiz mumkin (1-rasm). Ammo agar siz jurnallarni Microsoft SQL Server yoki Oracle ma'lumotlar bazasida saqlamoqchi bo'lsangiz, unda siz tegishli rejimni tanlashingiz va mashinada kerakli mijoz dasturi mavjudligiga ishonch hosil qilishingiz kerak. Ushbu maqola standart rejim yordamida tayyorlangan. Keyingi qadam, qaysi Snort komponentlarini o'rnatish kerakligini aniqlashdir. Standart to'plam (ekran 2) yaxshi, shuning uchun uni qabul qilishni va "Keyingi" ni bosishni tavsiya qilaman. O'rnatish joyini tanlash dialog oynasida Snort o'rnatiladigan katalogni ko'rsatishingiz kerak. Katalog nomini kiritgandan so'ng, o'rnatish jarayonini yakunlash uchun "Keyingi" tugmasini bosing. Download 1.77 Mb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling