Snort ishlashi uchun kamida bitta tarmoq adapteri bo'lgan Windows kompyuteri kerak. Ikki NICga ega bo'lish yaxshiroqdir, biri nazorat qilinadigan tarmoqqa, ikkinchisi esa ishlab chiqarish tarmog'iga ulangan; ikkinchisi hisobotlarni yuboradi. Snort nafaqat Windows 2000 Server va undan keyingi versiyalari, balki Windows XP Professional Edition, XP Home Edition va Windows 2000 Professional bilan ham mos keladi. Server litsenziyalari talab qilinmaydi. Men har kuni XP Pro noutbukimni ko'plab mijozlar tarmoqlariga ulayman va odatda Snort-ni xizmat sifatida ishlataman. Shunday qilib, dastur fonda ishlaydi va mening tizimimga ushbu mijoz tarmog'idan kelayotgan hujumlarni aniqlaydi. Men Snort-dan portativ sensor sifatida foydalanaman - dastur noutbuk ulanadigan har qanday port uchun NIDS vazifasini bajaradi.

1. WinPcap o'rnatilmoqda

2. Snort o'rnatilmoqda

3. Snort sinovi

4. Snort o'rnatilmoqda

5. Qoidalarni o'rnatish

6. Ogohlantirishlar va jurnallarni sozlash

7. Xizmat sifatida ishga tushirish

Aslini olganda, Snort promiscuous rejimda ishlaydigan tarmoq analizatoridir, shuning uchun u haydovchi darajasida yordamga muhtoj. Ushbu yordam WinPcap tomonidan taqdim etiladi. Loris DiGioanni WinPcap-ni Unix foydalanuvchilari orasida keng qo'llaniladigan paketlarni yozib olish libpcap drayverini Windows muhitiga ko'chirish orqali yaratdi. WinPcap yadro darajasidagi paket filtrini, past darajadagi DLL (packet.dll) va yuqori darajadagi tizimdan mustaqil kutubxonani (libpcap 0.6.2 asosidagi wpcap.dll) o'z ichiga oladi.

Keyingi qadam Snort-ni o'rnatishdir. Eng so'nggi versiyani CodeCraft Consultants veb-saytlarida topish mumkin ( http://www.codecraftconsultants.com/snort.aspx) yoki Snort.org

Keyingi qadam, qaysi Snort komponentlarini o'rnatish kerakligini aniqlashdir. Standart to'plam (ekran 2) yaxshi, shuning uchun uni qabul qilishni va "Keyingi" ni bosishni tavsiya qilaman. O'rnatish joyini tanlash dialog oynasida Snort o'rnatiladigan katalogni ko'rsatishingiz kerak. Katalog nomini kiritgandan so'ng, o'rnatish jarayonini yakunlash uchun "Keyingi" tugmasini bosing.

O'rnatish jarayonini tugatgandan so'ng, Snort sinovdan o'tkazilishi kerak. Odatiy bo'lib, Snort bajariladigan faylga ikkita manzil aytilishi kerak: jurnallarni qayerda yozish va konfiguratsiya faylini (snort.conf) qaerdan topish kerak. Ushbu ma'lumot foydalanuvchi tomonidan Snort-ni

Snort -l F:snortlog -c F:snortetcsnort.conf -A konsol

dasturga jurnallar F:snortlog katalogiga yozilishi kerakligini va snort.conf F:snortetc katalogida joylashganligini aytadi. -A kaliti dastur tomonidan yaratilgan ogohlantirishlarni qanday yuborishni belgilaydi. Ushbu misolda administrator Snort to'g'ri ishlayotganligini tekshirishi uchun konsol ekranida ogohlantirishlar ko'rsatiladi. E'tibor bering, maqolada buyruq bir nechta satrlarda chop etilgan, ammo buyruqlar oynasida u bitta satrda yozilishi kerak. Xuddi shu narsa ushbu maqoladagi boshqa ko'p qatorli buyruqlar uchun ham amal qiladi. Snort-ning ko'pgina buyruq qatori opsiyalari katta-kichik harflarga sezgir, shuning uchun siz buyruqlarni aynan ular qanday yozilgan bo'lsa, shunday kiritishingiz kerak.

Agar tizimda bir nechta tarmoq interfeyslari mavjud bo'lsa, sukut bo'yicha Snort topilgan birinchi interfeysni tinglaydi. Mashinada tarmoq interfeyslarining tartibi noma'lum bo'lsa, Snort buyrug'ini bitta -W kaliti bilan ishlatishingiz mumkin. Snort tarmoq interfeyslarining nomlari va raqamlarini dastur ularni aniqlagan tartibda sanab beradi. Snort-ni ma'lum bir tarmoq interfeysidan foydalanishga majbur qilish uchun Snort-ni ishga tushirishda interfeys raqami bilan -i kalitini kiritishingiz kerak. Snort-ni bajarganingizdan so'ng, ekranda ko'rsatilganiga o'xshash ma'lumotlar paydo bo'ladi ekran 3 .

Agar sinovdan o'tkazishning iloji bo'lmasa, Snortni sinab ko'rishning yana bir usuli tarmoq orqali Snort ishlaydigan server yoki kompyuterga noodatiy uzun aks sado so'rovini yuborishdir. Masalan, Ping buyrug'idan foydalanishingiz mumkin

Ping -l 32767 ip_manzil

bu erda ip_address maqsadli server yoki Snort mashinasining IP manzili. Ushbu buyruq juda uzun paketni yuborishi kerak (aniq uzunligi 32 KB), bu Ping buyrug'i uchun odatiy emas. Pastki sakkizta ogohlantirishda ko'rsatilganidek, Snort ushbu paketni aniqlashi kerak ekran 4 .

Snort uchun asosiy konfiguratsiya ma'lumotlari sukut bo'yicha %systemdrive%snortetc katalogida joylashgan snort.conf faylida saqlanadi. Fayl ushbu papkada qoldirilishi yoki buyruq satrida dasturga yo'lni ko'rsatib, boshqasiga o'tkazilishi mumkin.

Snort.conf-da taqdim etilgan barcha variantlarning batafsil tavsifi jurnalning butun sonini to'ldirishi mumkin, chunki Snort hayratlanarli darajada kuchli dasturdir. Hozircha biz faqat uning asosiy parametrlarini ko'rib chiqamiz.

Kiruvchi va chiquvchi trafikni farqlash uchun Snort-ga korporativ tarmog'ingizning xostlari va IP manzillarini aytishingiz kerak. Ushbu ma'lumotni kiritish uchun HOME_NET o'zgaruvchisi snort.conf faylida o'rnatilishi kerak. Siz chiziqni topishingiz kerak

VarHOME_NET har qanday

va uni bir qator IP manzillar bilan almashtiring. Siz, masalan, bitta diapazonni o'rnatishingiz mumkin

VarHOME_NET 192.168.0.1/24

yoki bir nechta diapazon. Bir nechta diapazonlarni belgilashda diapazonlar to'plamini kvadrat qavs ichiga olish va har bir diapazonni vergul bilan ajratish kerak. Siz IP manzillari oralig'iga bo'sh joy kirita olmaysiz. Masalan, chiziq

VarHOME_NET

Snortga 10.0.1.0/24, 10.0.2.0/24 va 10.0.3.0/24 sub tarmoqlari korporativ tarmoqqa tegishli ekanligini aytadi. Odatiy bo'lib, Snort boshqa barcha manzillarni tashqi deb hisoblaydi. EXTERNAL_NET o'zgaruvchisini o'rnatish orqali qaysi tarmoqlar tashqi hisoblanishi kerakligini aniq belgilashingiz mumkin. Snort.config faylida siz chiziqni topishingiz kerak

Var EXTERNAL_NET har qanday

va uni tashqi hisoblanishi kerak bo'lgan tarmoqning IP manzili bilan almashtiring. Biroq, odatda, boshlash uchun EXTERNAL_NET o'zgaruvchisini istalganiga qo'yish yaxshidir.

Biroz vaqt sarflaganingizdan so'ng, siz korxonada mavjud bo'lgan server turlarini va ularning joylashuvini belgilashingiz mumkin. Ushbu ma'lumotlar DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS va TELNET_SERVERS o'zgaruvchilarida snort.conf faylining quyidagi qatorlarida joylashgan:
DNS_SERVERS $HOME_NET va SMTP_SERVERS $HOME_NET va HTTP_SERVERS $HOME_NET, SQL_SERVERS $HOME_NET, TELNET_SERVERS $HOME_NET, SNMP_SERVERS $HOME_NET

Odatiy bo'lib, barcha oltita server o'zgaruvchilari $HOME_NET ga o'rnatiladi; bu Snort HOME_NET diapazonidagi barcha tizimlarga hujumlarning barcha turlarini nazorat qilishini anglatadi. Ushbu konfiguratsiya ma'murlar noto'g'ri ogohlantirishlarga toqat qiladigan kichik tarmoq uchun juda mos keladi. Ammo og'ir trafikni kuzatish uchun Snort-ni muayyan tugunlar uchun imzolarning faqat bir qismini tekshirish uchun nozik sozlash tavsiya etiladi. Faqat Microsoft IIS tizimida ishlaydigan veb-serverni SQL buferining to'lib-toshgan hujumlaridan himoya qilish mantiqiy emas. Xostlarning ma'lum sinfini aniqlash uchun $HOME_NET o'zgaruvchisi uchun ishlatiladigan formatga muvofiq maqsadli serverlarning IP-manzil diapazoni bilan almashtirishingiz kerak. Masalan, DNS_SERVERS o'zgaruvchisi uchun $HOME_NET ni bir qator DNS server IP manzillari bilan almashtiring.

Muayyan ilovalar uchun serverlar tomonidan ishlatiladigan portlarni aniqlash orqali sozlashning aniqligini oshirishingiz mumkin. Misol uchun, agar veb-serverlar HTTP trafigi uchun 80-port o'rniga (bu odatda veb-serverlar va brauzerlar uchun ishlatiladigan port) maxsus 8080 portidan foydalansa, HTTP_PORTS o'zgaruvchisini o'zgartirib, Snort-ni 8080-portda tinglash uchun sozlashingiz mumkin. Snort.conf-da siz chiziqni topishingiz kerak

VarHTTP_PORTS 80

va uni chiziq bilan almashtiring

Variant HTTP_PORTS 8080

Xuddi shunday, siz Oracle (ORACLE_PORTS o'zgaruvchisi bilan belgilanadi) va boshqa ilovalar uchun portlarni o'zgartirishingiz mumkin. HTTP_PORTS o'zgaruvchisi kabi, ORACLE_PORTS standarti 80 ga teng. Agar server o'rniga 1521 portdan foydalansa, qator o'xshash bo'ladi.

Var ORACLE_PORTS 1521

Shunday qilib, snort.conf faylida ko'plab variantlarni sozlash mumkin. Siz snort.conf orqali o'tishingiz, atrof-muhitingiz uchun eng muhim bo'lgan sozlamalarni topishingiz va ularni mos ravishda sozlashingiz kerak.

5-bosqich. Qoidalarni belgilash

snort.conf dagi qatorlardan birida RULE_PATH o'zgaruvchisi mavjud. Ushbu qatorga misol:

Var RULE_PATH ../regles

../rules opsiyasi qoidalarni (ya'ni, imzolarni) katalog strukturasidagi Snort ikkiliklari bilan bir xil darajada bo'lgan qoidalar katalogida topish mumkinligini bildiradi. Masalan, agar siz Snort-niodatiy F:snort papkasiga o'rnatsangiz, Snort ikkilik fayllari F:snortin-da, qoidalar esa F:snort ules-da. Agar xohlasangiz, RULE_PATH oʻzgaruvchisini oʻzgartirishingiz mumkin, lekin standart variant ham qabul qilinadi.

Qoidalar Snortning asosidir. Ular bayt ketma-ketligi, hujum imzolari va aniqlanganda ogohlantirish hosil qiluvchi boshqa turdagi ma'lumotlardir. Snort-da 1500 dan ortiq oldindan tuzilgan imzolar mavjud.

Qoida nimaga o'xshaydi? Snort testi davomida buzilgan cmd.exe qoidasi: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server, o'rnatilgan; kontent: "cmd. exe"; nocase; sinf turi: veb-ilova-hujum; sid: 1002; rev: 5;). Qoidaning asosiy tarkibiy qismlarini ko'rib chiqing. $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS havolasi faqat tarmoqqa tashqaridan kiruvchi trafikni (EXTERNAL_NET oʻzgaruvchisi tomonidan belgilangan) tahlil qilish kerakligini bildiradi. Tarkib: parametri ma'lumotlar oqimidagi cmd.exe belgilar ketma-ketligini qidirishni belgilaydi. Bunday ketma-ketlikka duch kelganda, Snort msg: parametri tomonidan berilgan ogohlantirishni hosil qiladi.

Cmd.exe misolida ko'rinib turganidek, qoidalar asosan oddiy. Har qanday turdagi trafik uchun o'z qoidalaringizni yaratishingiz mumkin. Misol uchun, agar siz qobiq orqali mashinadagi katalogga masofadan kirishga ruxsatsiz urinishlarni aniqlamoqchi bo'lsangiz, diskdagi satr hajmini yoki ular kam uchraydigan portlarda, masalan, chiqish portlarida tovush seriya raqamini qidirishingiz mumkin. Qoidalarni tayinlashda moslashuvchan yondashuv tufayli ma'murlarga Snort uchun keng ko'lamli konfiguratsiya opsiyalari taqdim etiladi.

1500 Snort qoidalari tahlil qilinayotgan ma'lumotlar turlariga ko'ra turli fayllarda saqlanadi. Masalan, cmd.exe qoidasi web-iis.rules faylida. Agar korxona IIS dan foydalanmasa, u holda dastur IIS hujumlarini aniqlashi shart emas. Web-iis.rules fayli satrni izoh sifatida topish va belgilash orqali butun konfiguratsiyadan osongina olib tashlanishi mumkin.

$RULE_PATH/web-iis.rules kiriting

snort.conf faylida. Satrni sharhlash uchun uning oldiga (#) belgi qo'ying:

# ichiga $RULE_PATH/web-iis.rules kiradi

Odatiy bo'lib, ba'zi turdagi qoidalar fayllari (masalan, icmp-info.rules, chat.rules) snort.conf da sharhlar bilan ifodalanadi. Snort.conf-dagi standart qoidalar konfiguratsiyasi juda yaxshi. Bloklangan qoidalarni faollashtirgandan so'ng, dastur, qoida tariqasida, juda ko'p keraksiz ogohlantirishlarni yaratadi.

Ba'zi fayllar bir qator foydali qoidalarni o'z ichiga oladi, lekin bir nechta qoidalar juda ko'p keraksiz ogohlantirishlarni keltirib chiqaradi. Muayyan qoidani o'chirish uchun siz qoidalar faylidagi tegishli qatorni sharh sifatida belgilashingiz kerak. Kelajakda Snort fayl bilan ishlashda ushbu qoidani e'tiborsiz qoldiradi
Yangi tahdid manbalari paydo bo'lganda, qoidalar fayli yangilanishi kerak. Yangi qoidalar uchun eng yaxshi manba Snort.org veb-saytidir. Ushbu veb-saytda avtomatik yangilash xizmati mavjud emas, shuning uchun keyingi xavf tug'ilganda administrator yangilanishlar uchun muntazam ravishda unga murojaat qilishi kerak bo'ladi.

6-qadam: Ogohlantirishlar va jurnallarni o'rnating

Yuqorida aytib o'tilganidek, Snort MySQL, SQL Server, Oracle va ODBC-mos keladigan ma'lumotlar bazalarida ma'lumotlarni yozib olishni ta'minlaydi. Siz qilishingiz kerak bo'lgan yagona narsa Snort o'rnatish jarayonida tegishli ma'lumotlar bazasi turini tanlashdir. Maqolaning hajmini haddan tashqari oshirmaslik uchun biz matnli fayldan foydalangan holda standart ro'yxatga olish rejimlarini va Windows voqealar jurnaliga xabar yozish funktsiyasini ko'rib chiqamiz.

Snortning joriy versiyasi Windows voqealar jurnaliga kirishni ta'minlaydi. Ko'pgina tashkilotlar allaqachon markazlashtirilgan hodisalar monitoringi, jurnallar va ma'lumotlarni yig'ish vositalarini sotib olgan va bu xususiyat Windows muhitiga ajoyib qo'shimcha bo'ladi.

Snort ishlaydigan tizimning Ilova hodisalari jurnaliga ogohlantirishlarni yozish uchun -A opsiyasi o'rniga -E variantidan foydalaning (parametrlar ixtiyoriy). 5-rasmda Snort hodisasi (bu holda cmd.exe-ga kirishga urinish) Ilovalar jurnalida qanday ko'rinishi ko'rsatilgan. Windows hodisasi konsol ekrani kabi batafsil ma'lumotlarni taqdim etadi.

Agar administrator haftada bir marta voqealar jurnallariga (yoki matn jurnallariga) qarasa, NIDS foydasiz. Agar tarmoqda biror narsa sodir bo'lsa, administrator bu haqda darhol bilishi kerak. Markazlashtirilgan monitoring va hodisalarni qayta ishlash tizimi xabarlarni elektron pochta, peyjer va boshqa aloqa qurilmalariga yuborishi mumkin. Ammo bunday tizim bo'lmasa, bu tashvishga sabab emas. NETIKUS.NET ogohlantirishlarni yuborish uchun ishlatilishi mumkin bo'lgan bepul EventSentry Light paketini taklif qiladi.

Keyingi daraja: kengaytirish modullari

Snort - bu to'liq funktsional dastur. Biroq, ba'zi hollarda, dasturni kengaytirish kerak. Masalan, agar tarmoqning turli qismlarida bir nechta NIDS o'rnatilgan bo'lsa, Snort-ni grafik interfeysdan boshqarish qulay. Bunday imkoniyatlar Engage Security-dan IDScenter plaginlarida va Activeworx-dan IDS siyosati menejerida amalga oshiriladi. Ba'zan xabarlardagi ma'lumotlarni tahlil qilish kerak bo'ladi. Siz Karnegi Mellon universitetida ishlab chiqilgan Intrusion ma'lumotlar bazalarini tahlil qilish konsoli (ACID) moduli yordamida saqlangan ma'lumotlarni ko'rishingiz va tahlil qilishingiz mumkin.

Ishonchli himoya

Snort - bu kompaniya byudjetiga zarar keltirmaydigan to'liq xususiyatli dastur. Snort-ni EventSentry Light kabi kuchli hodisalar monitoringi ilovasi bilan birlashtirib, tarmoqqa hujumlarni o'z vaqtida oldini olish mumkin.

Dummies uchun hujumni aniqlash tizimi. SNORT-ni o'rnatish va sozlash.

Aleksandr Antipov

Snort - bu hujumni aniqlashning engil tizimi. Snort odatda "engil" NIDS deb ataladi, chunki u birinchi navbatda kichik tarmoqlar uchun mo'ljallangan. Dastur protokol tahlilini amalga oshirishi mumkin va turli xil hujumlarni aniqlash va bufer toshib ketish, yashirin portlarni qidirish, CGI hujumlari, OTni aniqlash urinishlari va boshqalar kabi muammolarni tekshirish uchun ishlatilishi mumkin. Snort qaysi trafikni o'tkazishni va qaysi birini kechiktirishni bilish uchun "qoidalar" dan ("qoidalar" fayllarida ko'rsatilgan) foydalanadi. Asbob moslashuvchan bo'lib, sizga yangi qoidalarni yozish va ularga rioya qilish imkonini beradi. Dastur shuningdek, modulli plagin arxitekturasidan foydalanadigan "kashfiyot mexanizmi"ga ega bo'lib, u orqali ma'lum dastur qo'shimchalarini "kashfiyot mexanizmi" ga qo'shish yoki olib tashlash mumkin.

Snort uchta rejimda ishlashi mumkin: 1. tcpdump kabi paketli sniffer sifatida 2. Paket registratori sifatida
3. Bosqinlarni aniqlash tizimi qanchalik rivojlangan
Ushbu maqolada biz Snort o'rnatilishi, uning arxitekturasi haqida batafsil gaplashamiz va qoidalarni qanday yaratish va boshqarishni o'rganamiz.