5-Amaliy ish. Tarmoq hujumlarni aniqlash tizimlari


-rasm: O'rnatish komponentlarini tanlash


Download 1.77 Mb.
Pdf ko'rish
bet4/20
Sana16.04.2023
Hajmi1.77 Mb.
#1358757
1   2   3   4   5   6   7   8   9   ...   20
Bog'liq
5-6AMALIY ISH

2-rasm: O'rnatish komponentlarini tanlash 
3-qadam: Snort o'rnatilishini sinab ko'rish 
O'rnatish jarayonini tugatgandan so'ng, Snort sinovdan o'tkazilishi kerak. Odatiy bo'lib, Snort 
bajariladigan faylga ikkita manzil aytilishi kerak: jurnallarni qayerda yozish va konfiguratsiya 
faylini (snort.conf) qaerdan topish kerak. Ushbu ma'lumot foydalanuvchi tomonidan Snort-ni 
buyruq satridan mos ravishda -l va -c kalitlari yordamida ishga tushirganda taqdim etiladi. 
Masalan, buyruq 
Snort -l F:snortlog -c F:snortetcsnort.conf -A konsol 
dasturga jurnallar F:snortlog katalogiga yozilishi kerakligini va snort.conf F:snortetc katalogida 
joylashganligini aytadi. -A kaliti dastur tomonidan yaratilgan ogohlantirishlarni qanday 
yuborishni belgilaydi. Ushbu misolda administrator Snort to'g'ri ishlayotganligini tekshirishi 
uchun konsol ekranida ogohlantirishlar ko'rsatiladi. E'tibor bering, maqolada buyruq bir nechta 
satrlarda chop etilgan, ammo buyruqlar oynasida u bitta satrda yozilishi kerak. Xuddi shu narsa 
ushbu maqoladagi boshqa ko'p qatorli buyruqlar uchun ham amal qiladi. Snort-ning ko'pgina 


buyruq qatori opsiyalari katta-kichik harflarga sezgir, shuning uchun siz buyruqlarni aynan ular 
qanday yozilgan bo'lsa, shunday kiritishingiz kerak. 
Agar tizimda bir nechta tarmoq interfeyslari mavjud bo'lsa, sukut bo'yicha Snort topilgan 
birinchi interfeysni tinglaydi. Mashinada tarmoq interfeyslarining tartibi noma'lum bo'lsa, Snort 
buyrug'ini bitta -W kaliti bilan ishlatishingiz mumkin. Snort tarmoq interfeyslarining nomlari va 
raqamlarini dastur ularni aniqlagan tartibda sanab beradi. Snort-ni ma'lum bir tarmoq 
interfeysidan foydalanishga majbur qilish uchun Snort-ni ishga tushirishda interfeys raqami bilan 
-i kalitini kiritishingiz kerak. Snort-ni bajarganingizdan so'ng, ekranda ko'rsatilganiga o'xshash 
ma'lumotlar paydo bo'ladi ekran 3 . 
Snort-ni ishga tushirish orqali siz NIDS-ga maxsus tayyorlangan trafikni yuborish orqali uning 
sezgirligini tekshirishingiz mumkin. Ogohlantirishni ishga tushirishning eng oson usullaridan 
biri HTTP URL so'rovining bir qismi sifatida masofaviy kompyuterdagi qobiqga (cmd.exe) 
kirishdir (Kod Red va Nimda qurtlarining odatiy hiylasi). Hujumning ushbu bosqichini 
simulyatsiya qilish uchun siz istalgan URL manziliga o'tishingiz va so'rovning oxiriga /cmd.exe 
qo'shishingiz mumkin. Misol uchun, http://www.a-website-that-I-can-trust.com/cmd.exe ga 
qo'ng'iroqqa javoban, Snort buyruqlar oynasida birinchi uchta ogohlantirishga o'xshash 
ogohlantirishni ko'rsatishi kerak. ekran 4. Bu xabarlar F:snortlogga yoziladi. 
Sinov uchun mo'ljallangan veb-saytlarni ehtiyotkorlik bilan tanlash kerak. Texnik nuqtai 
nazardan, ko'pchilik veb-sayt ma'murlari bunday harakatlarni xakerlik urinishi deb hisoblashadi. 
Bunday urinish muvaffaqiyatli bo'lmaydi (agar server konfiguratsiyasida jiddiy xatolarga yo'l 
qo'yilmasa), men faqat o'z serveringiz yoki administratorlari sinovdan xabardor bo'lgan ishonchli 
server bilan sinovdan o'tishni tavsiya qilaman. 
Agar sinovdan o'tkazishning iloji bo'lmasa, Snortni sinab ko'rishning yana bir usuli tarmoq orqali 
Snort ishlaydigan server yoki kompyuterga noodatiy uzun aks sado so'rovini yuborishdir. 
Masalan, Ping buyrug'idan foydalanishingiz mumkin 
Ping -l 32767 ip_manzil 
bu erda ip_address maqsadli server yoki Snort mashinasining IP manzili. Ushbu buyruq juda 
uzun paketni yuborishi kerak (aniq uzunligi 32 KB), bu Ping buyrug'i uchun odatiy emas. Pastki 
sakkizta ogohlantirishda ko'rsatilganidek, Snort ushbu paketni aniqlashi kerak ekran 4 . 
Agar ogohlantirishlar olinsa, siz Snort-ni muayyan shartlar uchun sozlashni davom ettirishingiz 
mumkin. Aks holda, o'rnatish jarayoniga qaytishingiz va biron bir qadam o'tkazib 
yuborilganligini tekshirishingiz kerak. 
4-qadam: Snort-ni o'rnating 
Snort uchun asosiy konfiguratsiya ma'lumotlari sukut bo'yicha %systemdrive%snortetc 
katalogida joylashgan snort.conf faylida saqlanadi. Fayl ushbu papkada qoldirilishi yoki buyruq 
satrida dasturga yo'lni ko'rsatib, boshqasiga o'tkazilishi mumkin. 
Snort.conf-da taqdim etilgan barcha variantlarning batafsil tavsifi jurnalning butun sonini 
to'ldirishi mumkin, chunki Snort hayratlanarli darajada kuchli dasturdir. Hozircha biz faqat uning 
asosiy parametrlarini ko'rib chiqamiz. 


Kiruvchi va chiquvchi trafikni farqlash uchun Snort-ga korporativ tarmog'ingizning xostlari va 
IP manzillarini aytishingiz kerak. Ushbu ma'lumotni kiritish uchun HOME_NET o'zgaruvchisi 
snort.conf faylida o'rnatilishi kerak. Siz chiziqni topishingiz kerak 
VarHOME_NET har qanday 
va uni bir qator IP manzillar bilan almashtiring. Siz, masalan, bitta diapazonni o'rnatishingiz 
mumkin 
VarHOME_NET 192.168.0.1/24 
yoki bir nechta diapazon. Bir nechta diapazonlarni belgilashda diapazonlar to'plamini kvadrat 
qavs ichiga olish va har bir diapazonni vergul bilan ajratish kerak. Siz IP manzillari oralig'iga 
bo'sh joy kirita olmaysiz. Masalan, chiziq 
VarHOME_NET 
Snortga 10.0.1.0/24, 10.0.2.0/24 va 10.0.3.0/24 sub tarmoqlari korporativ tarmoqqa tegishli 
ekanligini aytadi. Odatiy bo'lib, Snort boshqa barcha manzillarni tashqi deb hisoblaydi. 
EXTERNAL_NET o'zgaruvchisini o'rnatish orqali qaysi tarmoqlar tashqi hisoblanishi 
kerakligini aniq belgilashingiz mumkin. Snort.config faylida siz chiziqni topishingiz kerak 
Var EXTERNAL_NET har qanday 
va uni tashqi hisoblanishi kerak bo'lgan tarmoqning IP manzili bilan almashtiring. Biroq, odatda, 
boshlash uchun EXTERNAL_NET o'zgaruvchisini istalganiga qo'yish yaxshidir. 
Biroz vaqt sarflaganingizdan so'ng, siz korxonada mavjud bo'lgan server turlarini va ularning 
joylashuvini belgilashingiz mumkin. Ushbu ma'lumotlar DNS_SERVERS, SMTP_SERVERS, 
HTTP_SERVERS, SQL_SERVERS va TELNET_SERVERS o'zgaruvchilarida snort.conf 
faylining quyidagi qatorlarida joylashgan: 
DNS_SERVERS $HOME_NET va SMTP_SERVERS $HOME_NET va HTTP_SERVERS 
$HOME_NET, SQL_SERVERS $HOME_NET, TELNET_SERVERS $HOME_NET, 
SNMP_SERVERS $HOME_NET 
Odatiy bo'lib, barcha oltita server o'zgaruvchilari $HOME_NET ga o'rnatiladi; bu Snort 
HOME_NET diapazonidagi barcha tizimlarga hujumlarning barcha turlarini nazorat qilishini 
anglatadi. Ushbu konfiguratsiya ma'murlar noto'g'ri ogohlantirishlarga toqat qiladigan kichik 
tarmoq uchun juda mos keladi. Ammo og'ir trafikni kuzatish uchun Snort-ni muayyan tugunlar 
uchun imzolarning faqat bir qismini tekshirish uchun nozik sozlash tavsiya etiladi. Faqat 
Microsoft IIS tizimida ishlaydigan veb-serverni SQL buferining to'lib-toshgan hujumlaridan 
himoya qilish mantiqiy emas. Xostlarning ma'lum sinfini aniqlash uchun $HOME_NET 
o'zgaruvchisi uchun ishlatiladigan formatga muvofiq maqsadli serverlarning IP-manzil diapazoni 
bilan almashtirishingiz kerak. Masalan, DNS_SERVERS o'zgaruvchisi uchun $HOME_NET ni 
bir qator DNS server IP manzillari bilan almashtiring. 
Muayyan ilovalar uchun serverlar tomonidan ishlatiladigan portlarni aniqlash orqali sozlashning 
aniqligini oshirishingiz mumkin. Misol uchun, agar veb-serverlar HTTP trafigi uchun 80-port 
o'rniga (bu odatda veb-serverlar va brauzerlar uchun ishlatiladigan port) maxsus 8080 portidan 
foydalansa, HTTP_PORTS o'zgaruvchisini o'zgartirib, Snort-ni 8080-portda tinglash uchun 
sozlashingiz mumkin. Snort.conf-da siz chiziqni topishingiz kerak 


VarHTTP_PORTS 80 
va uni chiziq bilan almashtiring 
Variant HTTP_PORTS 8080 
Xuddi shunday, siz Oracle (ORACLE_PORTS o'zgaruvchisi bilan belgilanadi) va boshqa 
ilovalar uchun portlarni o'zgartirishingiz mumkin. HTTP_PORTS o'zgaruvchisi kabi, 
ORACLE_PORTS standarti 80 ga teng. Agar server o'rniga 1521 portdan foydalansa, qator 
o'xshash bo'ladi. 
Var ORACLE_PORTS 1521 
Shunday qilib, snort.conf faylida ko'plab variantlarni sozlash mumkin. Siz snort.conf orqali 
o'tishingiz, atrof-muhitingiz uchun eng muhim bo'lgan sozlamalarni topishingiz va ularni mos 
ravishda sozlashingiz kerak. 
5-bosqich. Qoidalarni belgilash 
snort.conf dagi qatorlardan birida RULE_PATH o'zgaruvchisi mavjud. Ushbu qatorga misol: 
Var RULE_PATH ../regles 
../rules opsiyasi qoidalarni (ya'ni, imzolarni) katalog strukturasidagi Snort ikkiliklari bilan bir xil 
darajada bo'lgan qoidalar katalogida topish mumkinligini bildiradi. Masalan, agar siz Snort-ni 
odatiy F:snort papkasiga o'rnatsangiz, Snort ikkilik fayllari F:snortin-da, qoidalar esa F:snort 
ules-da. Agar xohlasangiz, RULE_PATH oʻzgaruvchisini oʻzgartirishingiz mumkin, lekin 
standart variant ham qabul qilinadi. 
Qoidalar Snortning asosidir. Ular bayt ketma-ketligi, hujum imzolari va aniqlanganda 
ogohlantirish hosil qiluvchi boshqa turdagi ma'lumotlardir. Snort-da 1500 dan ortiq oldindan 
tuzilgan imzolar mavjud. 
Qoida nimaga o'xshaydi? Snort testi davomida buzilgan cmd.exe qoidasi: alert tcp 
$EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe 
access"; flow:to_server, o'rnatilgan; kontent: "cmd. exe"; nocase; sinf turi: veb-ilova-hujum; sid: 
1002; rev: 5;). Qoidaning asosiy tarkibiy qismlarini ko'rib chiqing. $EXTERNAL_NET any -> 
$HTTP_SERVERS $HTTP_PORTS havolasi faqat tarmoqqa tashqaridan kiruvchi trafikni 
(EXTERNAL_NET oʻzgaruvchisi tomonidan belgilangan) tahlil qilish kerakligini bildiradi. 
Tarkib: parametri ma'lumotlar oqimidagi cmd.exe belgilar ketma-ketligini qidirishni belgilaydi. 
Bunday ketma-ketlikka duch kelganda, Snort msg: parametri tomonidan berilgan ogohlantirishni 
hosil qiladi. 
Cmd.exe misolida ko'rinib turganidek, qoidalar asosan oddiy. Har qanday turdagi trafik uchun 
o'z qoidalaringizni yaratishingiz mumkin. Misol uchun, agar siz qobiq orqali mashinadagi 
katalogga masofadan kirishga ruxsatsiz urinishlarni aniqlamoqchi bo'lsangiz, diskdagi satr 
hajmini yoki ular kam uchraydigan portlarda, masalan, chiqish portlarida tovush seriya raqamini 
qidirishingiz mumkin. Qoidalarni tayinlashda moslashuvchan yondashuv tufayli ma'murlarga 
Snort uchun keng ko'lamli konfiguratsiya opsiyalari taqdim etiladi. 
1500 Snort qoidalari tahlil qilinayotgan ma'lumotlar turlariga ko'ra turli fayllarda saqlanadi. 
Masalan, cmd.exe qoidasi web-iis.rules faylida. Agar korxona IIS dan foydalanmasa, u holda 


dastur IIS hujumlarini aniqlashi shart emas. Web-iis.rules fayli satrni izoh sifatida topish va 
belgilash orqali butun konfiguratsiyadan osongina olib tashlanishi mumkin. 
$RULE_PATH/web-iis.rules kiriting 
snort.conf faylida. Satrni sharhlash uchun uning oldiga (#) belgi qo'ying: 
# ichiga $RULE_PATH/web-iis.rules kiradi 
Odatiy bo'lib, ba'zi turdagi qoidalar fayllari (masalan, icmp-info.rules, chat.rules) snort.conf da 
sharhlar bilan ifodalanadi. Snort.conf-dagi standart qoidalar konfiguratsiyasi juda yaxshi. 
Bloklangan qoidalarni faollashtirgandan so'ng, dastur, qoida tariqasida, juda ko'p keraksiz 
ogohlantirishlarni yaratadi. 
Ba'zi fayllar bir qator foydali qoidalarni o'z ichiga oladi, lekin bir nechta qoidalar juda ko'p 
keraksiz ogohlantirishlarni keltirib chiqaradi. Muayyan qoidani o'chirish uchun siz qoidalar 
faylidagi tegishli qatorni sharh sifatida belgilashingiz kerak. Kelajakda Snort fayl bilan ishlashda 
ushbu qoidani e'tiborsiz qoldiradi. 
Yangi tahdid manbalari paydo bo'lganda, qoidalar fayli yangilanishi kerak. Yangi qoidalar uchun 
eng yaxshi manba Snort.org veb-saytidir. Ushbu veb-saytda avtomatik yangilash xizmati mavjud 
emas, shuning uchun keyingi xavf tug'ilganda administrator yangilanishlar uchun muntazam 
ravishda unga murojaat qilishi kerak bo'ladi. 
6-qadam: Ogohlantirishlar va jurnallarni o'rnating 
Yuqorida aytib o'tilganidek, Snort MySQL, SQL Server, Oracle va ODBC-mos keladigan 
ma'lumotlar bazalarida ma'lumotlarni yozib olishni ta'minlaydi. Siz qilishingiz kerak bo'lgan 
yagona narsa Snort o'rnatish jarayonida tegishli ma'lumotlar bazasi turini tanlashdir. Maqolaning 
hajmini haddan tashqari oshirmaslik uchun biz matnli fayldan foydalangan holda standart 
ro'yxatga olish rejimlarini va Windows voqealar jurnaliga xabar yozish funktsiyasini ko'rib 
chiqamiz. 
Snort buyrug'i bilan NIDSni ishga tushirganingizda, -A konsoli tugmasi ekranda 
ogohlantirishlarni ko'rsatishga olib keladi. Xabarlarni matnli faylga yo‘naltirish uchun ushbu 
o‘tishni afzal ko‘rgan jurnalga yozish rejimiga qarab -A tez yoki -A to‘liq ga o‘zgartiring. To'liq 
parametr katalogdagi alerts.ids deb nomlangan matn faylining bir necha qatorlarida tahdidning 
batafsil tavsifini aks ettiradi, unga boradigan yo'l -l kaliti bilan belgilanadi. Ro'yxatga olishning 
bunday turi to'liq ma'lumot beradi, ammo tarmoqda ko'plab voqealar bo'lsa, ularni tushunish 
qiyin. Bunday "shovqinli" tarmoqlarda shubhali trafikning asosiy xususiyatlarini o'z ichiga olgan 
alerts.ids-ga bir qatorli yozuvlarni kiritish uchun tezkor rejimdan foydalanish tavsiya etiladi. 
Menimcha, tezkor rejimda matnli fayl bilan ishlash to'liq rejimga qaraganda osonroq. 
Snortning joriy versiyasi Windows voqealar jurnaliga kirishni ta'minlaydi. Ko'pgina tashkilotlar 
allaqachon markazlashtirilgan hodisalar monitoringi, jurnallar va ma'lumotlarni yig'ish 
vositalarini sotib olgan va bu xususiyat Windows muhitiga ajoyib qo'shimcha bo'ladi. 
Snort ishlaydigan tizimning Ilova hodisalari jurnaliga ogohlantirishlarni yozish uchun -A 
opsiyasi o'rniga -E variantidan foydalaning (parametrlar ixtiyoriy). 5-rasmda Snort hodisasi (bu 
holda cmd.exe-ga kirishga urinish) Ilovalar jurnalida qanday ko'rinishi ko'rsatilgan. Windows 
hodisasi konsol ekrani kabi batafsil ma'lumotlarni taqdim etadi. 


Agar administrator haftada bir marta voqealar jurnallariga (yoki matn jurnallariga) qarasa, NIDS 
foydasiz. Agar tarmoqda biror narsa sodir bo'lsa, administrator bu haqda darhol bilishi kerak. 
Markazlashtirilgan monitoring va hodisalarni qayta ishlash tizimi xabarlarni elektron pochta, 
peyjer va boshqa aloqa qurilmalariga yuborishi mumkin. Ammo bunday tizim bo'lmasa, bu 
tashvishga sabab emas. NETIKUS.NET ogohlantirishlarni yuborish uchun ishlatilishi mumkin 
bo'lgan bepul EventSentry Light paketini taklif qiladi. 
EventSentry Light - bu EventSentry-ning baholash versiyasi va uni yuklab olish 
mumkin http://www.netikus.net/products_downloads.html. EventSentry Light yordamida siz 
tizimingizni voqealar jurnallarini kuzatish va avtomatik ravishda qayd etilgan Snort hodisalari 
haqida batafsil elektron pochta xabarlarini yuborish uchun sozlashingiz mumkin. Ustida ekran 
6 cmd.exe hujumiga urinishlar haqida pochta xabarini ko'rsatadi. Men ushbu xabarni 
EventSentry Lightdan hujumdan bir necha soniya o'tgach oldim. 
Yuqorida aytib o'tilganidek, Snort odatda voqealar jurnallarini tezda to'ldiradigan juda ko'p 
keraksiz xabarlarni ishlab chiqaradi. Voqealar jurnallari uchun fayl o'lchamlarini va ularni 
qanday aylantirishni tanlashda buni yodda tuting. EventSentry Light pochta qutingizni kichik 
voqealar haqidagi xabarlar bilan to'ldirishiga yo'l qo'ymaslik uchun kalit satrlarni qidirish uchun 
filtr yaratishingiz mumkin. Misol uchun, men xabar matnida qator qidiruv filtrini tashkil qildim. 
7-qadam: Xizmat sifatida ishga tushirish 
Barcha tayyorgarliklar tugallangandan so'ng, dasturni har safar ishga tushirishni xohlaganingizda 
ish stolingizga kirish o'rniga Snort-dan xizmat sifatida foydalanishingiz mumkin. Agar siz Snort-
ni /XIZMAT va /INSTALL opsiyalari bilan (boshqa buyruq qatori opsiyalari bilan birga) 
boshlasangiz, Snort Windows xizmati sifatida ishga sozlanadi va foydalanuvchi aralashuvisiz 
avtomatik ravishda Windows bilan boshlanadi. 
Keyingi daraja: kengaytirish modullari 
Snort - bu to'liq funktsional dastur. Biroq, ba'zi hollarda, dasturni kengaytirish kerak. Masalan, 
agar tarmoqning turli qismlarida bir nechta NIDS o'rnatilgan bo'lsa, Snort-ni grafik interfeysdan 
boshqarish qulay. Bunday imkoniyatlar Engage Security-dan IDScenter plaginlarida va 
Activeworx-dan IDS siyosati menejerida amalga oshiriladi. Ba'zan xabarlardagi ma'lumotlarni 
tahlil qilish kerak bo'ladi. Siz Karnegi Mellon universitetida ishlab chiqilgan Intrusion 
ma'lumotlar bazalarini tahlil qilish konsoli (ACID) moduli yordamida saqlangan ma'lumotlarni 
ko'rishingiz va tahlil qilishingiz mumkin. 
Ishonchli himoya 
Snort - bu kompaniya byudjetiga zarar keltirmaydigan to'liq xususiyatli dastur. Snort-ni 
EventSentry Light kabi kuchli hodisalar monitoringi ilovasi bilan birlashtirib, tarmoqqa 
hujumlarni o'z vaqtida oldini olish mumkin. 
Dummies uchun hujumni aniqlash tizimi. SNORT-ni o'rnatish va sozlash. 
Aleksandr Antipov 


Snort - bu hujumni aniqlashning engil tizimi. Snort odatda "engil" NIDS deb ataladi, chunki u 
birinchi navbatda kichik tarmoqlar uchun mo'ljallangan. Dastur protokol tahlilini amalga 
oshirishi mumkin va turli xil hujumlarni aniqlash va bufer toshib ketish, yashirin portlarni 
qidirish, CGI hujumlari, OTni aniqlash urinishlari va boshqalar kabi muammolarni tekshirish 
uchun ishlatilishi mumkin. Snort qaysi trafikni o'tkazishni va qaysi birini kechiktirishni bilish 
uchun "qoidalar" dan ("qoidalar" fayllarida ko'rsatilgan) foydalanadi. Asbob moslashuvchan 
bo'lib, sizga yangi qoidalarni yozish va ularga rioya qilish imkonini beradi. Dastur shuningdek, 
modulli plagin arxitekturasidan foydalanadigan "kashfiyot mexanizmi"ga ega bo'lib, u orqali 
ma'lum dastur qo'shimchalarini "kashfiyot mexanizmi" ga qo'shish yoki olib tashlash mumkin. 
Snort uchta rejimda ishlashi mumkin: 
1. tcpdump kabi paketli sniffer sifatida 
2. Paket registratori sifatida 
3. Bosqinlarni aniqlash tizimi qanchalik rivojlangan 
Ushbu maqolada biz Snort o'rnatilishi, uning arxitekturasi haqida batafsil gaplashamiz va 
qoidalarni qanday yaratish va boshqarishni o'rganamiz. 

Download 1.77 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   20




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling