Запуск Snort в качестве IDS

конфигурации
Выбор режимов оповещения
Запуск Snort
Тестирование на примере обнаружения отправки ping-пакетов

/etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/rules/iplists
sudo mkdir /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir

/etc/snort/so_rules

* http://c-sec.ru

списки IP:
sudo touch /etc/snort/rules/iplists/black_list.rules
sudo touch /etc/snort/rules/iplists/white_list.rules
sudo touch /etc/snort/rules/local.rules
sudo touch /etc/snort/sid-msg.map
*

http://c-sec.ru

mkdir /var/log/snort/archived_logs
* http://c-sec.ru

-R 5775 /var/log/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
sudo chmod -R 5775

/etc/snort/so_rules
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules

* http://c-sec.ru

/etc/snort
sudo cp *.dtd /etc/snort

cd ~/snort_src/snort-2.9.9.0/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
sudo cp * /usr/local/lib/snort_dynamicpreprocessor/

* http://c-sec.ru

которые предустановленны в Snort.
file_magic.conf описываем файловые сигнатуры («магические

числа») для определения типа файла.
reference.config содержит ссылки на системы идентификации атак.
snort.conf конфигурационный файл Snort, в котором хранятся переменные с настройками и путями к различными ресурсам.
threshold.conf позволяет настроить количество событий, необходимых для генерации оповещений (алертов), что может быть полезно в случае «шумных» правил.
attribute_table.dtd позволяет Snort использовать внешнюю информацию для определения протоколов и политик.
gen-msg.map указывает Snort какой препроцессор используется каким правилом.
unicode.map предоставляет соответствие между кодировками.

* http://c-sec.ru

network variables)
2. Конфигурация декодеров (Configure the decoder)
3. Конфигурация базового (основного)

механизма обнаружения (вторжений) (Configure the base detection engine)
4. Конфигурация динамически загружаемых библиотек (Configure dynamic loaded libraries)
5. Конфигурация препроцессоров (Configure preprocessors)
6. Конфигурация плагинов (Configure output plugins)
7. Настройка набора правил (Customize your rule set)
8. Настройка наборов правил препроцессора и декодера (Сustomize preprocessor and decoder rule set)
9. Customize shared object rule set

more information, see README.variables

Задание внутренней сети
ipvar HOME_NET

Задание внешней сети
ipvar EXTERNAL_NET

more information, see README.variables
Настройка путей к каталогам*

104 var RULE_PATH ../rules
105

var SO_RULE_PATH ../so_rules
106 var PREPROC_RULE_PATH ../preproc_rules
113 var WHITE_LIST_PATH ../rules
114 var BLACK_LIST_PATH ../rules

* http://c-sec.ru

more information, see README.variables
Настройка путей к каталогам*

104 var RULE_PATH /etc/snort/rules
105

var SO_RULE_PATH /etc/snort/so_rules
106 var PREPROC_RULE_PATH /etc/snort/preproc_rules
113 var WHITE_LIST_PATH /etc/snort/rules/iplists
114 var BLACK_LIST_PATH /etc/snort/rules/iplists

* http://c-sec.ru

information, see README.decode

Содержит конфигурационные дерективы, относящиеся к работе декодера

Формат директивы:
config

[: ]

information, see README.decode
Некоторые директивы:

For more information, see README.decode
Содержит конфигурационные дерективы, относящиеся к основному

механизму обнаружения атак

Формат директивы:
config [: ]

For more information, see README.decode
Некоторые директивы:

динамическим загружаемым библиотекам:
Динамическим библиотекам препроцессора
Основному механизму препроцессора
Динамическим библиотекам правил

в формате
preprocessor
preprocessor : возможные опции

различных модулей вывода

подключение различных наборов правил в формате:

include $RULE_PATH/НАЗВАНИЕ_НАБОРА_ПРАВИЛ.rules

При работе с менеджером

правил PulledPork следует закомментировать все строки кроме
include $RULE_PATH/local.rules

правила для Snort*

В файл local.rules следует записать правило:

alert icmp any

any -> $HOME_NET any (msg:“<текст сообщения>"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)

* http://c-sec.ru

any -> $HOME_NET any (msg:“"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)

Данное

правило означает: для любых ICMP-пакетов из любой сети в нашу домашнюю сеть HOME_NET генерируется предупреждение <текст сообщения>

* http://c-sec.ru

следует запустить проверку корректности конфигурационного файла Snort

sudo snort -T -c

/etc/snort/snort.conf -i eth0

* http://c-sec.ru

тестирования должен наблюдаться следующий вывод:
+++++++++++++++++++++++++++++++++++++++++++++++++++ Initializing rule chains...
1 Snort

rules read
1 detection rules
0 decoder rules
0 preprocessor rules
1 Option Chains linked into 1 Chain Headers
0 Dynamic rules +++++++++++++++++++++++++++++++++++++++++++++++++++

* http://c-sec.ru

указания на подключение различных наборов правил препроцессора и декодера в

формате:

include $PREPROC_RULE_PATH/НАЗВАНИЕ_НАБОРА_ПРАВИЛ.rules

указания на подключение различных наборов правил для общих объектов:

include $SO_RULE_PATH/НАЗВАНИЕ_НАБОРА_ПРАВИЛ.rules

оповещений

-q -c /etc/snort/snort.conf -i eth0

Затем следует отправить ICMP-пакеты с другого

хоста и убедиться в срабатывании правила, созданного для Snort

* http://c-sec.ru