Amaliy mashg’ulot Snort hujumini aniq


Download 0.67 Mb.
bet2/15
Sana18.06.2023
Hajmi0.67 Mb.
#1563619
1   2   3   4   5   6   7   8   9   ...   15
Bog'liq
Tahdid razvedkasi amaliy

Snort talablari

Snort ishlashi uchun kamida bitta tarmoq adapteri bo'lgan Windows kompyuteri kerak. Ikki NICga ega bo'lish yaxshiroqdir, biri nazorat qilinadigan tarmoqqa, ikkinchisi esa ishlab chiqarish tarmog'iga ulangan; ikkinchisi hisobotlarni yuboradi. Snort nafaqat Windows 2000 Server va undan keyingi versiyalari, balki Windows XP Professional Edition, XP Home Edition va Windows 2000 Professional bilan ham mos keladi. Server litsenziyalari talab qilinmaydi. Men har kuni XP Pro noutbukimni ko'plab mijozlar tarmoqlariga ulayman va odatda Snort-ni xizmat sifatida ishlataman. Shunday qilib, dastur fonda ishlaydi va mening tizimimga ushbu mijoz tarmog'idan kelayotgan hujumlarni aniqlaydi. Men Snort-dan portativ sensor sifatida foydalanaman - dastur noutbuk ulanadigan har qanday port uchun NIDS vazifasini bajaradi.



Kichikroq tarmoqlarda siz Snort-ni kirish darajasidagi serverda o'rnatishingiz mumkin. Ruxsatsiz kirishga urinishlarni aniqlash uchun yuqori quvvatli maxsus mashina kerak emas. Masalan, men 1 gigagertsli protsessorli va 1 Gb tezkor xotiraga ega FreeBSD-ga asoslangan Snort tugunlari haqida eshitganman, ular 15 000 foydalanuvchi va bir nechta T-3 WAN havolalari bilan tarmoqlarga muvaffaqiyatli xizmat ko'rsatgan. Snort manba kodining samaradorligi tufayli dasturni ishga tushirish uchun juda kuchli mashina kerak emas.

NIDSni aniqlash uchun tarmoqdagi eng yaxshi joy qayerda? Birinchi fikr qurilmani xavfsizlik devori oldiga qo'yishdir. Bu erda NIDS eng ko'p hujumlarni aniqlaydi, ammo noto'g'ri pozitivlar soni ham eng yuqori bo'ladi va administrator juda ko'p foydasiz ogohlantirishlarni oladi. Xavfsizlik devori tomonidan to'xtatilgan tahdidlar haqida tashvishlanishingiz shart emas, uning orqasiga kirgan xavfli dasturlarni aniqlash muhimroqdir. Shunday ekan, Snort-ni xavfsizlik devori orqasiga qo'ygan ma'qul.

Biroq, agar foydalanuvchilar tarmoqqa VPN ulanishi (Internet orqali yoki simsiz ulanish orqali) orqali ulansa, NIDSni xavfsizlik devori orqasida, masalan, VPN serveri yoki konsentrator orqasida joylashtirish mantiqan to'g'ri keladi. ular VPN tunnelini tark etishadi. Aks holda, NIDS VPN trafigiga o'rnatilgan zararli dasturlarga qarshi tura olmaydi, chunki tahlil qilingan paketlar shifrlanadi. Xuddi shu narsa shifrlangan SMTP trafigiga, elektron pochta xabarlariga biriktirilgan shifrlangan .zip fayllarga va shifrlangan maʼlumotlarning boshqa turlariga ham tegishli.

Ideal holda, NIDS har qanday trafikni shifrlovchi komponentlar orqasida etarlicha uzoqda joylashgan bo'lishi va iloji boricha ko'proq segmentlar va pastki tarmoqlardagi trafikni tahlil qilish uchun tarmoq perimetriga etarlicha yaqin bo'lishi kerak. Kommutatsiyalangan tarmoq muhitida kommutator odatda tarmoq orqali o'tadigan barcha paketlar yig'iladigan diagnostika portini talab qiladi. Natijada, NIDS barcha tarmoq trafigiga oson kirish imkoniyatiga ega.
Endi siz Snort bilan tanish bo'lganingizdan va hosting talablaringizni bilganingizdan so'ng, NIDSni o'rnatishingiz va sinab ko'rishingiz mumkin. Snort haqida qo'shimcha ma'lumot olish uchun "Internetdagi manbalar" yon panelida bog'langan hujjatlarga qarang. Ushbu jarayon etti bosqichdan iborat:

1. WinPcap o'rnatilmoqda


2. Snort o'rnatilmoqda

3. Snort sinovi

4. Snort o'rnatilmoqda


5. Qoidalarni o'rnatish

6. Ogohlantirishlar va jurnallarni sozlash

7. Xizmat sifatida ishga tushirish



1-qadam. WinPcap-ni o'rnatish

Aslini olganda, Snort promiscuous rejimda ishlaydigan tarmoq analizatoridir, shuning uchun u haydovchi darajasida yordamga muhtoj. Ushbu yordam WinPcap tomonidan taqdim etiladi. Loris DiGioanni WinPcap-ni Unix foydalanuvchilari orasida keng qo'llaniladigan paketlarni yozib olish libpcap drayverini Windows muhitiga ko'chirish orqali yaratdi. WinPcap yadro darajasidagi paket filtrini, past darajadagi DLL (packet.dll) va yuqori darajadagi tizimdan mustaqil kutubxonani (libpcap 0.6.2 asosidagi wpcap.dll) o'z ichiga oladi.



WinPcap dan yuklab olish mumkin http://winpcap.polito.it. Drayv Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me va Windows 9x bilan mos keladi. WinPcap shuningdek, dan mavjud bo'lgan ochiq manbali Ethereal paketli snifferni qo'llab-quvvatlaydi. Ethereal-dan foydalanib, Snort to'g'ri o'rnatilganligini tekshirishingiz mumkin.

WinPcap o'rnatish faylini tarmoqdan yuklab olgandan so'ng, o'rnatish protsedurasining bir nechta ekranlaridan o'tish kifoya. Foydalanuvchining eng katta harakatini litsenziya shartlariga rozi bo'lishingiz kerak bo'lgan ekran talab qiladi.

2-qadam Snort-ni o'rnating

Keyingi qadam Snort-ni o'rnatishdir. Eng so'nggi versiyani CodeCraft Consultants veb-saytlarida topish mumkin ( http://www.codecraftconsultants.com/snort.aspx) yoki Snort.org


( http://www.snort.org). Men Snort-ni CodeCraft Consultants-dan yuklab olishni tavsiya qilaman, chunki o'z-o'zidan ochiladigan bajariladigan faylni ushbu saytdan olish mumkin. Dastur hatto foydalanuvchini Snort-ni kompyuterga o'rnatishning asosiy bosqichlari bo'yicha yo'l-yo'riq
ko'rsatadi. Ushbu maqola Snort 2.1.1 build 18 ning eng so'nggi versiyasidan foydalangan holda tayyorlangan. Yangilangan versiyalar o'shandan beri chiqarilgan

Birinchi dialog oynasida o'rnatuvchini ishga tushirganingizda, natijalarni saqlash uchun ma'lumotlar bazasini sozlash rejimini tanlashingiz kerak. Agar siz MySQL yoki ODBC-mos keladigan ma'lumotlar bazasidan foydalanayotgan bo'lsangiz, standart rejimni qabul qilishingiz mumkin (1-rasm). Ammo agar siz jurnallarni Microsoft SQL Server yoki Oracle ma'lumotlar bazasida saqlamoqchi bo'lsangiz, unda siz tegishli rejimni tanlashingiz va mashinada kerakli mijoz dasturi mavjudligiga ishonch hosil qilishingiz kerak. Ushbu maqola standart rejim yordamida tayyorlangan.

Keyingi qadam, qaysi Snort komponentlarini o'rnatish kerakligini aniqlashdir. Standart to'plam (ekran 2) yaxshi, shuning uchun uni qabul qilishni va "Keyingi" ni bosishni tavsiya qilaman. O'rnatish joyini tanlash dialog oynasida Snort o'rnatiladigan katalogni ko'rsatishingiz kerak. Katalog nomini kiritgandan so'ng, o'rnatish jarayonini yakunlash uchun "Keyingi" tugmasini bosing.



2-rasm: O'rnatish komponentlarini tanlash
3-qadam: Snort o'rnatilishini sinab ko'rish

O'rnatish jarayonini tugatgandan so'ng, Snort sinovdan o'tkazilishi kerak. Odatiy bo'lib, Snort bajariladigan faylga ikkita manzil aytilishi kerak: jurnallarni qayerda yozish va konfiguratsiya faylini (snort.conf) qaerdan topish kerak. Ushbu ma'lumot foydalanuvchi tomonidan Snort-ni


buyruq satridan mos ravishda -l va -c kalitlari yordamida ishga tushirganda taqdim etiladi. Masalan, buyruq

Snort -l F:snortlog -c F:snortetcsnort.conf -A konsol

dasturga jurnallar F:snortlog katalogiga yozilishi kerakligini va snort.conf F:snortetc katalogida joylashganligini aytadi. -A kaliti dastur tomonidan yaratilgan ogohlantirishlarni qanday yuborishni belgilaydi. Ushbu misolda administrator Snort to'g'ri ishlayotganligini tekshirishi uchun konsol ekranida ogohlantirishlar ko'rsatiladi. E'tibor bering, maqolada buyruq bir nechta satrlarda chop etilgan, ammo buyruqlar oynasida u bitta satrda yozilishi kerak. Xuddi shu narsa ushbu maqoladagi boshqa ko'p qatorli buyruqlar uchun ham amal qiladi. Snort-ning ko'pgina buyruq qatori opsiyalari katta-kichik harflarga sezgir, shuning uchun siz buyruqlarni aynan ular qanday yozilgan bo'lsa, shunday kiritishingiz kerak.

Agar tizimda bir nechta tarmoq interfeyslari mavjud bo'lsa, sukut bo'yicha Snort topilgan birinchi interfeysni tinglaydi. Mashinada tarmoq interfeyslarining tartibi noma'lum bo'lsa, Snort buyrug'ini bitta -W kaliti bilan ishlatishingiz mumkin. Snort tarmoq interfeyslarining nomlari va raqamlarini dastur ularni aniqlagan tartibda sanab beradi. Snort-ni ma'lum bir tarmoq interfeysidan foydalanishga majbur qilish uchun Snort-ni ishga tushirishda interfeys raqami bilan -i kalitini kiritishingiz kerak. Snort-ni bajarganingizdan so'ng, ekranda ko'rsatilganiga o'xshash ma'lumotlar paydo bo'ladi ekran 3 .



Snort-ni ishga tushirish orqali siz NIDS-ga maxsus tayyorlangan trafikni yuborish orqali uning sezgirligini tekshirishingiz mumkin. Ogohlantirishni ishga tushirishning eng oson usullaridan biri HTTP URL so'rovining bir qismi sifatida masofaviy kompyuterdagi qobiqga (cmd.exe) kirishdir (Kod Red va Nimda qurtlarining odatiy hiylasi). Hujumning ushbu bosqichini simulyatsiya qilish uchun siz istalgan URL manziliga o'tishingiz va so'rovning oxiriga /cmd.exe qo'shishingiz mumkin. Misol uchun, http://www.a-website-that-I-can-trust.com/cmd.exe ga qo'ng'iroqqa javoban, Snort buyruqlar oynasida birinchi uchta ogohlantirishga o'xshash ogohlantirishni ko'rsatishi kerak. ekran 4. Bu xabarlar F:snortlogga yoziladi.

Sinov uchun mo'ljallangan veb-saytlarni ehtiyotkorlik bilan tanlash kerak. Texnik nuqtai nazardan, ko'pchilik veb-sayt ma'murlari bunday harakatlarni xakerlik urinishi deb hisoblashadi. Bunday urinish muvaffaqiyatli bo'lmaydi (agar server konfiguratsiyasida jiddiy xatolarga yo'l qo'yilmasa), men faqat o'z serveringiz yoki administratorlari sinovdan xabardor bo'lgan ishonchli server bilan sinovdan o'tishni tavsiya qilaman.

Agar sinovdan o'tkazishning iloji bo'lmasa, Snortni sinab ko'rishning yana bir usuli tarmoq orqali Snort ishlaydigan server yoki kompyuterga noodatiy uzun aks sado so'rovini yuborishdir. Masalan, Ping buyrug'idan foydalanishingiz mumkin

Ping -l 32767 ip_manzil

bu erda ip_address maqsadli server yoki Snort mashinasining IP manzili. Ushbu buyruq juda uzun paketni yuborishi kerak (aniq uzunligi 32 KB), bu Ping buyrug'i uchun odatiy emas. Pastki sakkizta ogohlantirishda ko'rsatilganidek, Snort ushbu paketni aniqlashi kerak ekran 4 .


Agar ogohlantirishlar olinsa, siz Snort-ni muayyan shartlar uchun sozlashni davom ettirishingiz mumkin. Aks holda, o'rnatish jarayoniga qaytishingiz va biron bir qadam o'tkazib yuborilganligini tekshirishingiz kerak.

4-qadam: Snort-ni o'rnating

Snort uchun asosiy konfiguratsiya ma'lumotlari sukut bo'yicha %systemdrive%snortetc katalogida joylashgan snort.conf faylida saqlanadi. Fayl ushbu papkada qoldirilishi yoki buyruq satrida dasturga yo'lni ko'rsatib, boshqasiga o'tkazilishi mumkin.

Snort.conf-da taqdim etilgan barcha variantlarning batafsil tavsifi jurnalning butun sonini to'ldirishi mumkin, chunki Snort hayratlanarli darajada kuchli dasturdir. Hozircha biz faqat uning asosiy parametrlarini ko'rib chiqamiz.

Kiruvchi va chiquvchi trafikni farqlash uchun Snort-ga korporativ tarmog'ingizning xostlari va IP manzillarini aytishingiz kerak. Ushbu ma'lumotni kiritish uchun HOME_NET o'zgaruvchisi snort.conf faylida o'rnatilishi kerak. Siz chiziqni topishingiz kerak

VarHOME_NET har qanday

va uni bir qator IP manzillar bilan almashtiring. Siz, masalan, bitta diapazonni o'rnatishingiz mumkin

VarHOME_NET 192.168.0.1/24

yoki bir nechta diapazon. Bir nechta diapazonlarni belgilashda diapazonlar to'plamini kvadrat qavs ichiga olish va har bir diapazonni vergul bilan ajratish kerak. Siz IP manzillari oralig'iga bo'sh joy kirita olmaysiz. Masalan, chiziq

VarHOME_NET

Snortga 10.0.1.0/24, 10.0.2.0/24 va 10.0.3.0/24 sub tarmoqlari korporativ tarmoqqa tegishli ekanligini aytadi. Odatiy bo'lib, Snort boshqa barcha manzillarni tashqi deb hisoblaydi. EXTERNAL_NET o'zgaruvchisini o'rnatish orqali qaysi tarmoqlar tashqi hisoblanishi kerakligini aniq belgilashingiz mumkin. Snort.config faylida siz chiziqni topishingiz kerak

Var EXTERNAL_NET har qanday

va uni tashqi hisoblanishi kerak bo'lgan tarmoqning IP manzili bilan almashtiring. Biroq, odatda, boshlash uchun EXTERNAL_NET o'zgaruvchisini istalganiga qo'yish yaxshidir.

Biroz vaqt sarflaganingizdan so'ng, siz korxonada mavjud bo'lgan server turlarini va ularning joylashuvini belgilashingiz mumkin. Ushbu ma'lumotlar DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS va TELNET_SERVERS o'zgaruvchilarida snort.conf faylining quyidagi qatorlarida joylashgan:
DNS_SERVERS $HOME_NET va SMTP_SERVERS $HOME_NET va HTTP_SERVERS $HOME_NET, SQL_SERVERS $HOME_NET, TELNET_SERVERS $HOME_NET, SNMP_SERVERS $HOME_NET

Odatiy bo'lib, barcha oltita server o'zgaruvchilari $HOME_NET ga o'rnatiladi; bu Snort HOME_NET diapazonidagi barcha tizimlarga hujumlarning barcha turlarini nazorat qilishini anglatadi. Ushbu konfiguratsiya ma'murlar noto'g'ri ogohlantirishlarga toqat qiladigan kichik tarmoq uchun juda mos keladi. Ammo og'ir trafikni kuzatish uchun Snort-ni muayyan tugunlar uchun imzolarning faqat bir qismini tekshirish uchun nozik sozlash tavsiya etiladi. Faqat Microsoft IIS tizimida ishlaydigan veb-serverni SQL buferining to'lib-toshgan hujumlaridan himoya qilish mantiqiy emas. Xostlarning ma'lum sinfini aniqlash uchun $HOME_NET o'zgaruvchisi uchun ishlatiladigan formatga muvofiq maqsadli serverlarning IP-manzil diapazoni bilan almashtirishingiz kerak. Masalan, DNS_SERVERS o'zgaruvchisi uchun $HOME_NET ni bir qator DNS server IP manzillari bilan almashtiring.

Muayyan ilovalar uchun serverlar tomonidan ishlatiladigan portlarni aniqlash orqali sozlashning aniqligini oshirishingiz mumkin. Misol uchun, agar veb-serverlar HTTP trafigi uchun 80-port o'rniga (bu odatda veb-serverlar va brauzerlar uchun ishlatiladigan port) maxsus 8080 portidan foydalansa, HTTP_PORTS o'zgaruvchisini o'zgartirib, Snort-ni 8080-portda tinglash uchun sozlashingiz mumkin. Snort.conf-da siz chiziqni topishingiz kerak

VarHTTP_PORTS 80

va uni chiziq bilan almashtiring

Variant HTTP_PORTS 8080

Xuddi shunday, siz Oracle (ORACLE_PORTS o'zgaruvchisi bilan belgilanadi) va boshqa ilovalar uchun portlarni o'zgartirishingiz mumkin. HTTP_PORTS o'zgaruvchisi kabi, ORACLE_PORTS standarti 80 ga teng. Agar server o'rniga 1521 portdan foydalansa, qator o'xshash bo'ladi.

Var ORACLE_PORTS 1521

Shunday qilib, snort.conf faylida ko'plab variantlarni sozlash mumkin. Siz snort.conf orqali o'tishingiz, atrof-muhitingiz uchun eng muhim bo'lgan sozlamalarni topishingiz va ularni mos ravishda sozlashingiz kerak.

5-bosqich. Qoidalarni belgilash

snort.conf dagi qatorlardan birida RULE_PATH o'zgaruvchisi mavjud. Ushbu qatorga misol:

Var RULE_PATH ../regles

../rules opsiyasi qoidalarni (ya'ni, imzolarni) katalog strukturasidagi Snort ikkiliklari bilan bir xil darajada bo'lgan qoidalar katalogida topish mumkinligini bildiradi. Masalan, agar siz Snort-niodatiy F:snort papkasiga o'rnatsangiz, Snort ikkilik fayllari F:snortin-da, qoidalar esa F:snort ules-da. Agar xohlasangiz, RULE_PATH oʻzgaruvchisini oʻzgartirishingiz mumkin, lekin standart variant ham qabul qilinadi.

Qoidalar Snortning asosidir. Ular bayt ketma-ketligi, hujum imzolari va aniqlanganda ogohlantirish hosil qiluvchi boshqa turdagi ma'lumotlardir. Snort-da 1500 dan ortiq oldindan tuzilgan imzolar mavjud.

Qoida nimaga o'xshaydi? Snort testi davomida buzilgan cmd.exe qoidasi: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe access"; flow:to_server, o'rnatilgan; kontent: "cmd. exe"; nocase; sinf turi: veb-ilova-hujum; sid: 1002; rev: 5;). Qoidaning asosiy tarkibiy qismlarini ko'rib chiqing. $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS havolasi faqat tarmoqqa tashqaridan kiruvchi trafikni (EXTERNAL_NET oʻzgaruvchisi tomonidan belgilangan) tahlil qilish kerakligini bildiradi. Tarkib: parametri ma'lumotlar oqimidagi cmd.exe belgilar ketma-ketligini qidirishni belgilaydi. Bunday ketma-ketlikka duch kelganda, Snort msg: parametri tomonidan berilgan ogohlantirishni hosil qiladi.

Cmd.exe misolida ko'rinib turganidek, qoidalar asosan oddiy. Har qanday turdagi trafik uchun o'z qoidalaringizni yaratishingiz mumkin. Misol uchun, agar siz qobiq orqali mashinadagi katalogga masofadan kirishga ruxsatsiz urinishlarni aniqlamoqchi bo'lsangiz, diskdagi satr hajmini yoki ular kam uchraydigan portlarda, masalan, chiqish portlarida tovush seriya raqamini qidirishingiz mumkin. Qoidalarni tayinlashda moslashuvchan yondashuv tufayli ma'murlarga Snort uchun keng ko'lamli konfiguratsiya opsiyalari taqdim etiladi.

1500 Snort qoidalari tahlil qilinayotgan ma'lumotlar turlariga ko'ra turli fayllarda saqlanadi. Masalan, cmd.exe qoidasi web-iis.rules faylida. Agar korxona IIS dan foydalanmasa, u holda dastur IIS hujumlarini aniqlashi shart emas. Web-iis.rules fayli satrni izoh sifatida topish va belgilash orqali butun konfiguratsiyadan osongina olib tashlanishi mumkin.

$RULE_PATH/web-iis.rules kiriting

snort.conf faylida. Satrni sharhlash uchun uning oldiga (#) belgi qo'ying:

# ichiga $RULE_PATH/web-iis.rules kiradi

Odatiy bo'lib, ba'zi turdagi qoidalar fayllari (masalan, icmp-info.rules, chat.rules) snort.conf da sharhlar bilan ifodalanadi. Snort.conf-dagi standart qoidalar konfiguratsiyasi juda yaxshi. Bloklangan qoidalarni faollashtirgandan so'ng, dastur, qoida tariqasida, juda ko'p keraksiz ogohlantirishlarni yaratadi.

Ba'zi fayllar bir qator foydali qoidalarni o'z ichiga oladi, lekin bir nechta qoidalar juda ko'p keraksiz ogohlantirishlarni keltirib chiqaradi. Muayyan qoidani o'chirish uchun siz qoidalar faylidagi tegishli qatorni sharh sifatida belgilashingiz kerak. Kelajakda Snort fayl bilan ishlashda ushbu qoidani e'tiborsiz qoldiradi
Yangi tahdid manbalari paydo bo'lganda, qoidalar fayli yangilanishi kerak. Yangi qoidalar uchun eng yaxshi manba Snort.org veb-saytidir. Ushbu veb-saytda avtomatik yangilash xizmati mavjud emas, shuning uchun keyingi xavf tug'ilganda administrator yangilanishlar uchun muntazam ravishda unga murojaat qilishi kerak bo'ladi.

6-qadam: Ogohlantirishlar va jurnallarni o'rnating

Yuqorida aytib o'tilganidek, Snort MySQL, SQL Server, Oracle va ODBC-mos keladigan ma'lumotlar bazalarida ma'lumotlarni yozib olishni ta'minlaydi. Siz qilishingiz kerak bo'lgan yagona narsa Snort o'rnatish jarayonida tegishli ma'lumotlar bazasi turini tanlashdir. Maqolaning hajmini haddan tashqari oshirmaslik uchun biz matnli fayldan foydalangan holda standart ro'yxatga olish rejimlarini va Windows voqealar jurnaliga xabar yozish funktsiyasini ko'rib chiqamiz.



Snort buyrug'i bilan NIDSni ishga tushirganingizda, -A konsoli tugmasi ekranda ogohlantirishlarni ko'rsatishga olib keladi. Xabarlarni matnli faylga yo‘naltirish uchun ushbu o‘tishni afzal ko‘rgan jurnalga yozish rejimiga qarab -A tez yoki -A to‘liq ga o‘zgartiring. To'liq parametr katalogdagi alerts.ids deb nomlangan matn faylining bir necha qatorlarida tahdidning batafsil tavsifini aks ettiradi, unga boradigan yo'l -l kaliti bilan belgilanadi. Ro'yxatga olishning bunday turi to'liq ma'lumot beradi, ammo tarmoqda ko'plab voqealar bo'lsa, ularni tushunish qiyin. Bunday "shovqinli" tarmoqlarda shubhali trafikning asosiy xususiyatlarini o'z ichiga olgan alerts.ids-ga bir qatorli yozuvlarni kiritish uchun tezkor rejimdan foydalanish tavsiya etiladi. Menimcha, tezkor rejimda matnli fayl bilan ishlash to'liq rejimga qaraganda osonroq.

Snortning joriy versiyasi Windows voqealar jurnaliga kirishni ta'minlaydi. Ko'pgina tashkilotlar allaqachon markazlashtirilgan hodisalar monitoringi, jurnallar va ma'lumotlarni yig'ish vositalarini sotib olgan va bu xususiyat Windows muhitiga ajoyib qo'shimcha bo'ladi.

Snort ishlaydigan tizimning Ilova hodisalari jurnaliga ogohlantirishlarni yozish uchun -A opsiyasi o'rniga -E variantidan foydalaning (parametrlar ixtiyoriy). 5-rasmda Snort hodisasi (bu holda cmd.exe-ga kirishga urinish) Ilovalar jurnalida qanday ko'rinishi ko'rsatilgan. Windows hodisasi konsol ekrani kabi batafsil ma'lumotlarni taqdim etadi.

Agar administrator haftada bir marta voqealar jurnallariga (yoki matn jurnallariga) qarasa, NIDS foydasiz. Agar tarmoqda biror narsa sodir bo'lsa, administrator bu haqda darhol bilishi kerak. Markazlashtirilgan monitoring va hodisalarni qayta ishlash tizimi xabarlarni elektron pochta, peyjer va boshqa aloqa qurilmalariga yuborishi mumkin. Ammo bunday tizim bo'lmasa, bu tashvishga sabab emas. NETIKUS.NET ogohlantirishlarni yuborish uchun ishlatilishi mumkin bo'lgan bepul EventSentry Light paketini taklif qiladi.



EventSentry Light - bu EventSentry-ning baholash versiyasi va uni yuklab olish
mumkin http://www.netikus.net/products_downloads.html. EventSentry Light yordamida siz tizimingizni voqealar jurnallarini kuzatish va avtomatik ravishda qayd etilgan Snort hodisalari haqida batafsil elektron pochta xabarlarini yuborish uchun sozlashingiz mumkin. Ustida ekran 6 cmd.exe hujumiga urinishlar haqida pochta xabarini ko'rsatadi. Men ushbu xabarni EventSentry Lightdan hujumdan bir necha soniya o'tgach oldim
Yuqorida aytib o'tilganidek, Snort odatda voqealar jurnallarini tezda to'ldiradigan juda ko'p keraksiz xabarlarni ishlab chiqaradi. Voqealar jurnallari uchun fayl o'lchamlarini va ularni qanday aylantirishni tanlashda buni yodda tuting. EventSentry Light pochta qutingizni kichik voqealar haqidagi xabarlar bilan to'ldirishiga yo'l qo'ymaslik uchun kalit satrlarni qidirish uchun filtr yaratishingiz mumkin. Misol uchun, men xabar matnida qator qidiruv filtrini tashkil qildim.

7-qadam: Xizmat sifatida ishga tushirish

Barcha tayyorgarliklar tugallangandan so'ng, dasturni har safar ishga tushirishni xohlaganingizda ish stolingizga kirish o'rniga Snort-dan xizmat sifatida foydalanishingiz mumkin. Agar siz Snort-ni /XIZMAT va /INSTALL opsiyalari bilan (boshqa buyruq qatori opsiyalari bilan birga) boshlasangiz, Snort Windows xizmati sifatida ishga sozlanadi va foydalanuvchi aralashuvisiz avtomatik ravishda Windows bilan boshlanadi.

Keyingi daraja: kengaytirish modullari

Snort - bu to'liq funktsional dastur. Biroq, ba'zi hollarda, dasturni kengaytirish kerak. Masalan, agar tarmoqning turli qismlarida bir nechta NIDS o'rnatilgan bo'lsa, Snort-ni grafik interfeysdan boshqarish qulay. Bunday imkoniyatlar Engage Security-dan IDScenter plaginlarida va Activeworx-dan IDS siyosati menejerida amalga oshiriladi. Ba'zan xabarlardagi ma'lumotlarni tahlil qilish kerak bo'ladi. Siz Karnegi Mellon universitetida ishlab chiqilgan Intrusion ma'lumotlar bazalarini tahlil qilish konsoli (ACID) moduli yordamida saqlangan ma'lumotlarni ko'rishingiz va tahlil qilishingiz mumkin.

Ishonchli himoya

Snort - bu kompaniya byudjetiga zarar keltirmaydigan to'liq xususiyatli dastur. Snort-ni EventSentry Light kabi kuchli hodisalar monitoringi ilovasi bilan birlashtirib, tarmoqqa hujumlarni o'z vaqtida oldini olish mumkin.

Dummies uchun hujumni aniqlash tizimi. SNORT-ni o'rnatish va sozlash.

Aleksandr Antipov

Snort - bu hujumni aniqlashning engil tizimi. Snort odatda "engil" NIDS deb ataladi, chunki u birinchi navbatda kichik tarmoqlar uchun mo'ljallangan. Dastur protokol tahlilini amalga oshirishi mumkin va turli xil hujumlarni aniqlash va bufer toshib ketish, yashirin portlarni qidirish, CGI hujumlari, OTni aniqlash urinishlari va boshqalar kabi muammolarni tekshirish uchun ishlatilishi mumkin. Snort qaysi trafikni o'tkazishni va qaysi birini kechiktirishni bilish uchun "qoidalar" dan ("qoidalar" fayllarida ko'rsatilgan) foydalanadi. Asbob moslashuvchan bo'lib, sizga yangi qoidalarni yozish va ularga rioya qilish imkonini beradi. Dastur shuningdek, modulli plagin arxitekturasidan foydalanadigan "kashfiyot mexanizmi"ga ega bo'lib, u orqali ma'lum dastur qo'shimchalarini "kashfiyot mexanizmi" ga qo'shish yoki olib tashlash mumkin.

Snort uchta rejimda ishlashi mumkin: 1. tcpdump kabi paketli sniffer sifatida 2. Paket registratori sifatida
3. Bosqinlarni aniqlash tizimi qanchalik rivojlangan
Ushbu maqolada biz Snort o'rnatilishi, uning arxitekturasi haqida batafsil gaplashamiz va qoidalarni qanday yaratish va boshqarishni o'rganamiz.


Download 0.67 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   ...   15




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling