Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Обнаружение вторжений. Установка snort.

Рубрика: Безопасность -> Профилактика
Метки: |
Среда, 6 апреля 2011 г.
Просмотров: 8203
Подписаться на комментарии по RSS

     Системы обнаружения вторжения (Intrusion Detection System) выполняют мониторинг сети, что позволяет обнаружить различные атаки. Большинство IDS используют два метода обнаружения вторжения: на основании сигнатуры (IDS «знает» сигнатуру многих эксплоитов) и метод обнаружения аномалий (система сначала «изучает» типичные образцы сетевого трафика сети, а затем выявляет все отклонения от образца).

     Многие IDS позволяют блокировать подозрительный трафик, по умолчанию эта функция выключена — считается, что IDS должна просто обнаруживать вторжение, а не блокировать его.


     Одной из самых популярных IDS является LIDS. LIDS — это нечто большее, чем простая IDS, она сочетает в себе также функции ACL. В статье "ACL файлов в LIDS" рассмотренны именно ее ACL-функции. Для включения функций IDS вы должны включить опцию ядра Port Scanner Detector — эта опция появится после того, как вы применили LIDS-патч к ядру.

     Snort (также известна как «pig») это высокоэффективная IDS, которая также может быть использована как сниффер пакетов. Snort доступен по адресу: <http://www.snort.org/>.

     Установка Snort.

     Установка сводится к привычным нам командам ./configure; make; make install. Snort можно использовать в паре с MySQL — тогда Snort будет вести протоколирование не в файл, а в базу данных MySQL. Если это вам нужно, запустите ./configure с параметром -help, чтобы просмотреть список опций конфигурации.

     После установки создайте каталог /etc/snort и скопируйте в него конфигурационные файлы из каталога <src>/etc, <src> — каталог с исходным кодом Snort.  Также вам нужно создать каталог /var/log/snort — сюда Snort будет записывать протоколы.

# mkdir /etc/snort

# ср /home/den/snort-2.2.O/etc/* /etc/snort

# mkdir /var/log/snort

     Конфигурация

     He спешите запускать Snort — сначала нужно отредактировать конфигурационный файл /etc/snort/snort.conf. Этот файл очень большой, но он хорошо сконфигурирован, а его синтаксис очень прост. Конфигурационный файл делится на четыре секции:

  • Host and network variables (Переменные узла и сети) — IP-адреса, интерфейсы для прослушивания, порты и узлы — в общем все, что связано с сетью.
  • Preprocessors (Препроцессоры) — пользовательские плагины, например детектор сканирования портов, которые будут использоваться Snort'oM.
  • Output plug-in configuration (Конфигурация плагинов вывода) — позволяет интегрировать Snort с базами данных или syslog.
  • Ruleset customization (Настройка правил) — серия директив In clude, подключающих сигнатуры атак (вы можете включить/выключить определенные категории атак).

     При конфигурировании плагинов вывода вы можете выбрать вывод в текстовом виде или вывод в двоичном виде. Вывод в двоичном виде вы прочитать не сможете (для этого используются утилита tcpdump или подобные ей), зато Snort будет работать значительно быстрее. По умолчанию используется вывод в текстовом виде. Чтобы использовать вывод в двоичном виде, используйте опцию -b.

     С помощью опции -А можно установить уровень тревоги — как Snort будет сообщать вам об обнаружении атаки. По умолчанию используется вывод в протокол с помощью syslog и на консоль (console).

     Для изменения конфигурационного файла используется опция -с. Примеры:

# snort -с /etc/snort/snort.conf -b

# snort -c /etc/snort/snort.conf -b -A console

Еще записи по теме

Оставьте комментарий!

Если вы уже зарегистрированы как комментатор или хотите зарегистрироваться, укажите пароль и свой действующий email.
(При регистрации на указанный адрес придет письмо с кодом активации и ссылкой на ваш персональный аккаунт, где вы сможете изменить свои данные, включая адрес сайта, ник, описание, контакты и т.д.)


(обязательно)