Разделы презентаций


Запуск Snort в качестве IDS

Содержание

Порядок действийПредварительная настройка:Создание необходимых каталоговКопирование необходимых файловНастройка прав доступаНастройка файла конфигурацииВыбор режимов оповещенияЗапуск SnortТестирование на примере обнаружения отправки ping-пакетов

Слайды и текст этой презентации

Слайд 1Запуск Snort в качестве IDS

Запуск Snort в качестве IDS

Слайд 2Порядок действий
Предварительная настройка:
Создание необходимых каталогов
Копирование необходимых файлов
Настройка прав доступа
Настройка файла

конфигурации
Выбор режимов оповещения
Запуск Snort
Тестирование на примере обнаружения отправки ping-пакетов

Порядок действийПредварительная настройка:Создание необходимых каталоговКопирование необходимых файловНастройка прав доступаНастройка файла конфигурацииВыбор режимов оповещенияЗапуск SnortТестирование на примере обнаружения

Слайд 3Предварительная настройка
Создание необходимых каталогов*
# Создаём необходимые для Snort каталоги:
sudo mkdir

/etc/snort
sudo mkdir /etc/snort/rules
sudo mkdir /etc/snort/rules/iplists
sudo mkdir /etc/snort/preproc_rules
sudo mkdir /usr/local/lib/snort_dynamicrules
sudo mkdir

/etc/snort/so_rules


* http://c-sec.ru

Предварительная настройкаСоздание необходимых каталогов*# Создаём необходимые для Snort каталоги:sudo mkdir /etc/snortsudo mkdir /etc/snort/rulessudo mkdir /etc/snort/rules/iplistssudo mkdir /etc/snort/preproc_rulessudo

Слайд 4Предварительная настройка
# Создаём файлы, в которых будут храниться правила и

списки IP:
sudo touch /etc/snort/rules/iplists/black_list.rules
sudo touch /etc/snort/rules/iplists/white_list.rules
sudo touch /etc/snort/rules/local.rules
sudo touch /etc/snort/sid-msg.map
*

http://c-sec.ru
Предварительная настройка# Создаём файлы, в которых будут храниться правила и списки IP:sudo touch /etc/snort/rules/iplists/black_list.rulessudo touch /etc/snort/rules/iplists/white_list.rulessudo touch

Слайд 5Предварительная настройка
# Создаём каталоги, где будут храниться лог-файлы:
sudo mkdir /var/log/snort
sudo

mkdir /var/log/snort/archived_logs
* http://c-sec.ru

Предварительная настройка# Создаём каталоги, где будут храниться лог-файлы:sudo mkdir /var/log/snortsudo mkdir /var/log/snort/archived_logs* http://c-sec.ru

Слайд 6Предварительная настройка
# Изменяем права доступа:
sudo chmod -R 5775 /etc/snort
sudo chmod

-R 5775 /var/log/snort
sudo chmod -R 5775 /var/log/snort/archived_logs
sudo chmod -R 5775

/etc/snort/so_rules
sudo chmod -R 5775 /usr/local/lib/snort_dynamicrules

* http://c-sec.ru

Предварительная настройка# Изменяем права доступа:sudo chmod -R 5775 /etc/snortsudo chmod -R 5775 /var/log/snortsudo chmod -R 5775 /var/log/snort/archived_logssudo

Слайд 7Предварительная настройка
Копирование необходимых файлов*
cd ~/snort_src/snort-2.9.9.0/etc/
sudo cp *.conf* /etc/snort
sudo cp *.map

/etc/snort
sudo cp *.dtd /etc/snort

cd ~/snort_src/snort-2.9.9.0/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
sudo cp * /usr/local/lib/snort_dynamicpreprocessor/

* http://c-sec.ru

Предварительная настройкаКопирование необходимых файлов*cd ~/snort_src/snort-2.9.9.0/etc/sudo cp *.conf* /etc/snortsudo cp *.map /etc/snortsudo cp *.dtd /etc/snortcd ~/snort_src/snort-2.9.9.0/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/sudo cp *

Слайд 8Предварительная настройка
Копирование необходимых файлов*

classification.config описывает типы категории атак,

которые предустановленны в Snort.
file_magic.conf описываем файловые сигнатуры («магические

числа») для определения типа файла.
reference.config содержит ссылки на системы идентификации атак.
snort.conf конфигурационный файл Snort, в котором хранятся переменные с настройками и путями к различными ресурсам.
threshold.conf позволяет настроить количество событий, необходимых для генерации оповещений (алертов), что может быть полезно в случае «шумных» правил.
attribute_table.dtd позволяет Snort использовать внешнюю информацию для определения протоколов и политик.
gen-msg.map указывает Snort какой препроцессор используется каким правилом.
unicode.map предоставляет соответствие между кодировками.

* http://c-sec.ru

Предварительная настройкаКопирование необходимых файлов*  classification.config описывает типы категории атак, которые предустановленны в Snort.  file_magic.conf описываем

Слайд 9Настройка файла конфигурации

1. Установка сетевых значений и переменных (Set the

network variables)
2. Конфигурация декодеров (Configure the decoder)
3. Конфигурация базового (основного)

механизма обнаружения (вторжений) (Configure the base detection engine)
4. Конфигурация динамически загружаемых библиотек (Configure dynamic loaded libraries)
5. Конфигурация препроцессоров (Configure preprocessors)
6. Конфигурация плагинов (Configure output plugins)
7. Настройка набора правил (Customize your rule set)
8. Настройка наборов правил препроцессора и декодера (Сustomize preprocessor and decoder rule set)
9. Customize shared object rule set

Настройка файла конфигурации1. Установка сетевых значений и переменных (Set the network variables)2. Конфигурация декодеров (Configure the decoder)3.

Слайд 10Настройка файла конфигурации
# Step #1: Set the network variables. For

more information, see README.variables

Задание внутренней сети
ipvar HOME_NET

Задание внешней сети
ipvar EXTERNAL_NET

Настройка файла конфигурации# Step #1: Set the network variables. For more information, see README.variablesЗадание внутренней сетиipvar HOME_NETЗадание

Слайд 11Настройка файла конфигурации
# Step #1: Set the network variables. For

more information, see README.variables
Настройка путей к каталогам*

104 var RULE_PATH ../rules
105

var SO_RULE_PATH ../so_rules
106 var PREPROC_RULE_PATH ../preproc_rules
113 var WHITE_LIST_PATH ../rules
114 var BLACK_LIST_PATH ../rules

* http://c-sec.ru

Настройка файла конфигурации# Step #1: Set the network variables. For more information, see README.variablesНастройка путей к каталогам*104

Слайд 12Настройка файла конфигурации
# Step #1: Set the network variables. For

more information, see README.variables
Настройка путей к каталогам*

104 var RULE_PATH /etc/snort/rules
105

var SO_RULE_PATH /etc/snort/so_rules
106 var PREPROC_RULE_PATH /etc/snort/preproc_rules
113 var WHITE_LIST_PATH /etc/snort/rules/iplists
114 var BLACK_LIST_PATH /etc/snort/rules/iplists

* http://c-sec.ru

Настройка файла конфигурации# Step #1: Set the network variables. For more information, see README.variablesНастройка путей к каталогам*104

Слайд 13Настройка файла конфигурации
# Step #2: Configure the decoder. For more

information, see README.decode

Содержит конфигурационные дерективы, относящиеся к работе декодера

Формат директивы:
config

[: ]
Настройка файла конфигурации# Step #2: Configure the decoder. For more information, see README.decodeСодержит конфигурационные дерективы, относящиеся к

Слайд 14Настройка файла конфигурации
# Step #2: Configure the decoder. For more

information, see README.decode
Некоторые директивы:

Настройка файла конфигурации# Step #2: Configure the decoder. For more information, see README.decodeНекоторые директивы:

Слайд 15Настройка файла конфигурации
# Step #3: Configure the base detection engine.

For more information, see README.decode
Содержит конфигурационные дерективы, относящиеся к основному

механизму обнаружения атак

Формат директивы:
config [: ]
Настройка файла конфигурации# Step #3: Configure the base detection engine. For more information, see README.decodeСодержит конфигурационные дерективы,

Слайд 16Настройка файла конфигурации
# Step #3: Configure the base detection engine.

For more information, see README.decode
Некоторые директивы:

Настройка файла конфигурации# Step #3: Configure the base detection engine. For more information, see README.decodeНекоторые директивы:

Слайд 17Настройка файла конфигурации
Step #4: Configure dynamic loaded libraries.

Содержит пути к

динамическим загружаемым библиотекам:
Динамическим библиотекам препроцессора
Основному механизму препроцессора
Динамическим библиотекам правил

Настройка файла конфигурацииStep #4: Configure dynamic loaded libraries.Содержит пути к динамическим загружаемым библиотекам:Динамическим библиотекам препроцессораОсновному механизму препроцессораДинамическим

Слайд 18Настройка файла конфигурации
Step #5: Configure preprocessors

Содержит указания на использование препроцессоров

в формате
preprocessor
preprocessor : возможные опции

Настройка файла конфигурацииStep #5: Configure preprocessorsСодержит указания на использование препроцессоров в форматеpreprocessor preprocessor : возможные опции

Слайд 19Настройка файла конфигурации
Step #6: Configure output plugins

Содержит указания на подключение

различных модулей вывода

Настройка файла конфигурацииStep #6: Configure output pluginsСодержит указания на подключение различных модулей вывода

Слайд 20Настройка файла конфигурации
Step #7: Customize your rule set

Содержит указания на

подключение различных наборов правил в формате:

include $RULE_PATH/НАЗВАНИЕ_НАБОРА_ПРАВИЛ.rules

При работе с менеджером

правил PulledPork следует закомментировать все строки кроме
include $RULE_PATH/local.rules
Настройка файла конфигурацииStep #7: Customize your rule setСодержит указания на подключение различных наборов правил в формате:include $RULE_PATH/НАЗВАНИЕ_НАБОРА_ПРАВИЛ.rulesПри

Слайд 21Настройка файла конфигурации
Step #7: Customize your rule set
Создание первого тестового

правила для Snort*

В файл local.rules следует записать правило:

alert icmp any

any -> $HOME_NET any (msg:“<текст сообщения>"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)

* http://c-sec.ru

Настройка файла конфигурацииStep #7: Customize your rule setСоздание первого тестового правила для Snort*В файл local.rules следует записать

Слайд 22Настройка файла конфигурации
Step #7: Customize your rule set

alert icmp any

any -> $HOME_NET any (msg:“"; GID:1; sid:10000001; rev:001; classtype:icmp-event;)

Данное

правило означает: для любых ICMP-пакетов из любой сети в нашу домашнюю сеть HOME_NET генерируется предупреждение <текст сообщения>

* http://c-sec.ru

Настройка файла конфигурацииStep #7: Customize your rule setalert icmp any any -> $HOME_NET any (msg:“

Слайд 23Настройка файла конфигурации
Step #7: Customize your rule set

После создания файла

следует запустить проверку корректности конфигурационного файла Snort

sudo snort -T -c

/etc/snort/snort.conf -i eth0


* http://c-sec.ru

Настройка файла конфигурацииStep #7: Customize your rule setПосле создания файла следует запустить проверку корректности конфигурационного файла Snortsudo

Слайд 24Настройка файла конфигурации
Step #7: Customize your rule set

В случае успешного

тестирования должен наблюдаться следующий вывод:
+++++++++++++++++++++++++++++++++++++++++++++++++++ Initializing rule chains...
1 Snort

rules read
1 detection rules
0 decoder rules
0 preprocessor rules
1 Option Chains linked into 1 Chain Headers
0 Dynamic rules +++++++++++++++++++++++++++++++++++++++++++++++++++


* http://c-sec.ru

Настройка файла конфигурацииStep #7: Customize your rule setВ случае успешного тестирования должен наблюдаться следующий вывод:+++++++++++++++++++++++++++++++++++++++++++++++++++ Initializing rule

Слайд 25Настройка файла конфигурации
Step #8: Customize your preprocessor and decoder alerts

Содержит

указания на подключение различных наборов правил препроцессора и декодера в

формате:

include $PREPROC_RULE_PATH/НАЗВАНИЕ_НАБОРА_ПРАВИЛ.rules
Настройка файла конфигурацииStep #8: Customize your preprocessor and decoder alertsСодержит указания на подключение различных наборов правил препроцессора

Слайд 26Настройка файла конфигурации
Step #9: Customize your Shared Object Snort Rules

Содержит

указания на подключение различных наборов правил для общих объектов:

include $SO_RULE_PATH/НАЗВАНИЕ_НАБОРА_ПРАВИЛ.rules

Настройка файла конфигурацииStep #9: Customize your Shared Object Snort RulesСодержит указания на подключение различных наборов правил для

Слайд 27Выбор режимов оповещения
При запуске Snort следует выбрать возможные режимы создания

оповещений


Выбор режимов оповещенияПри запуске Snort следует выбрать возможные режимы создания оповещений

Слайд 28Запуск Snort и тестирование правила
Запуск Snort

sudo snort -A console

-q -c /etc/snort/snort.conf -i eth0

Затем следует отправить ICMP-пакеты с другого

хоста и убедиться в срабатывании правила, созданного для Snort

* http://c-sec.ru

Запуск Snort и тестирование правила Запуск Snortsudo snort -A console -q -c /etc/snort/snort.conf -i eth0Затем следует отправить

Обратная связь

Если не удалось найти и скачать доклад-презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое TheSlide.ru?

Это сайт презентации, докладов, проектов в PowerPoint. Здесь удобно  хранить и делиться своими презентациями с другими пользователями.


Для правообладателей

Яндекс.Метрика