Обнаружение вторжений. Установка snort.
Метки: LIDS | snort
Среда, 6 апреля 2011 г.
Просмотров: 7266
Подписаться на комментарии по RSS
Системы обнаружения вторжения (Intrusion Detection System) выполняют мониторинг сети, что позволяет обнаружить различные атаки. Большинство IDS используют два метода обнаружения вторжения: на основании сигнатуры (IDS «знает» сигнатуру многих эксплоитов) и метод обнаружения аномалий (система сначала «изучает» типичные образцы сетевого трафика сети, а затем выявляет все отклонения от образца).
Многие IDS позволяют блокировать подозрительный трафик, по умолчанию эта функция выключена — считается, что IDS должна просто обнаруживать вторжение, а не блокировать его.
Snort (также известна как «pig») это высокоэффективная IDS, которая также может быть использована как сниффер пакетов. Snort доступен по адресу: <http://www.snort.org/>.
Установка Snort.
Установка сводится к привычным нам командам ./configure; make; make install. Snort можно использовать в паре с MySQL — тогда Snort будет вести протоколирование не в файл, а в базу данных MySQL. Если это вам нужно, запустите ./configure с параметром -help, чтобы просмотреть список опций конфигурации.
После установки создайте каталог /etc/snort и скопируйте в него конфигурационные файлы из каталога <src>/etc, <src> — каталог с исходным кодом Snort. Также вам нужно создать каталог /var/log/snort — сюда Snort будет записывать протоколы.
# ср /home/den/snort-2.2.O/etc/* /etc/snort
# mkdir /var/log/snort
Конфигурация
He спешите запускать Snort — сначала нужно отредактировать конфигурационный файл /etc/snort/snort.conf. Этот файл очень большой, но он хорошо сконфигурирован, а его синтаксис очень прост. Конфигурационный файл делится на четыре секции:
- Host and network variables (Переменные узла и сети) — IP-адреса, интерфейсы для прослушивания, порты и узлы — в общем все, что связано с сетью.
- Preprocessors (Препроцессоры) — пользовательские плагины, например детектор сканирования портов, которые будут использоваться Snort'oM.
- Output plug-in configuration (Конфигурация плагинов вывода) — позволяет интегрировать Snort с базами данных или syslog.
- Ruleset customization (Настройка правил) — серия директив In clude, подключающих сигнатуры атак (вы можете включить/выключить определенные категории атак).
При конфигурировании плагинов вывода вы можете выбрать вывод в текстовом виде или вывод в двоичном виде. Вывод в двоичном виде вы прочитать не сможете (для этого используются утилита tcpdump или подобные ей), зато Snort будет работать значительно быстрее. По умолчанию используется вывод в текстовом виде. Чтобы использовать вывод в двоичном виде, используйте опцию -b.
С помощью опции -А можно установить уровень тревоги — как Snort будет сообщать вам об обнаружении атаки. По умолчанию используется вывод в протокол с помощью syslog и на консоль (console).
Для изменения конфигурационного файла используется опция -с. Примеры:
# snort -c /etc/snort/snort.conf -b -A console