Admin

snort

IDS & IPS free

ΠšΡ€Π°Ρ‚ΠΊΠ°Ρ Π΄ΠΎΠΊΠ° ΠΏΠΎ snort
Установка: apt install snort
Π Π΅ΠΆΠΈΠΌΡ‹ Ρ€Π°Π±ΠΎΡ‚Ρ‹:
snort -v - Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ сниффСра (ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ ΠΏΠ΅Ρ€Π΅Ρ…Π²Π°Ρ‚Ρ‹Π²Π°ΡŽΡ‚ΡΡ ΠΈ выводятся Π½Π° экран)
    -d - ΠΏΠΎΠΊΠ°Π·Π°Ρ‚ΡŒ структуру Π΄Π΅ΠΊΠΎΠ΄ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Ρ… ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ²
    -e - ΠΏΠΎΠΊΠ°Π·Π°Ρ‚ΡŒ Π±ΠΎΠ»Π΅Π΅ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½ΡƒΡŽ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ (Ethernet Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΈ)
    -n <count> - Π·Π°Π²Π΅Ρ€ΡˆΠΈΡ‚ΡŒ Ρ€Π°Π±ΠΎΡ‚Ρƒ послС получСния count ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ²
    -l /path/to/snort/log/directory - ΠΏΡƒΡ‚ΡŒ, ΠΊΡƒΠ΄Π° Π»ΠΎΠ³ΠΈ Π±ΡƒΠ΄ΡƒΡ‚ ΡΠΊΠ»Π°Π΄Ρ‹Π²Π°Ρ‚ΡŒΡΡ (ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ ./var/log/snort)
    -b - Π·Π°ΠΏΠΈΡΡ‹Π²Π°Ρ‚ΡŒ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ Π² сТатом Π²ΠΈΠ΄Π΅ (Π±ΠΈΠ½ Ρ„ΠΎΡ€ΠΌΠ°Ρ‚ tcpdump, etherial ΠΈ Π΄Ρ€)
    -r - ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒ Π»ΠΎΠ³ ΠΈΠ· Ρ„Π°ΠΉΠ»Π°. Π’Π°ΠΊΠΆΠ΅ ΠΌΠΎΠΆΠ½ΠΎ ΡΡ‡ΠΈΡ‚Ρ‹Π²Π°Ρ‚ΡŒ, Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Ρ‚ΠΎΠ»ΡŒΠΊΠΎ udp-ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹: $ snort -dv -r packet.log udp | less
snort -d - Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ обнаруТСния вторТСния (NIDS). Для этого Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΎΠ½Π½Ρ‹ΠΉ Ρ„Π°ΠΉΠ» (ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ, ~user/.snortrc)
    Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€: $ snort -d -l -b -h 192.168.1.0/24 -c /etc/snort/snort.conf
    Π€ΠΎΡ€ΠΌΠ°Ρ‚ записываСмых сообщСний:
    -A fast - Π‘Π΄Π΅Π»Π°Ρ‚ΡŒ запись Π² Π»ΠΎΠ³-Ρ„Π°ΠΉΠ». Π€ΠΎΡ€ΠΌΠ°Ρ‚ записи: врСмя, сообщСниС, IP адрСс/ΠΏΠΎΡ€Ρ‚ источника ΠΈ получатСля ΠΏΠ°ΠΊΠ΅Ρ‚Π°.
    -A full - Π—Π°ΠΏΠΈΡΡŒ Π² Π»ΠΎΠ³-Ρ„Π°ΠΉΠ», ΠΊΠ°ΠΊ ΠΈ Π² ΠΏΡ€Π΅Π΄Ρ‹Π΄ΡƒΡ‰Π΅ΠΌ Π²Ρ‹Π·ΠΎΠ²Π΅. Π”ΠΎΠ±Π°Π²Π»ΡΡŽΡ‚ΡΡ Π΄Π°Π½Π½Ρ‹Π΅ ΠΎ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠ΅ ΠΏΠ°ΠΊΠ΅Ρ‚Π°. Π­Ρ‚ΠΎΡ‚ способ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ΡΡ ΠΏΠΎ ΡƒΠΌΠΎΠ»Ρ‡Π°Π½ΠΈΡŽ.
    -A unsock - ΠŸΠ΅Ρ€Π΅Π΄Π°Ρ‚ΡŒ сообщСниС Π² Unix-сокСт.
    -A none - ΠžΡ‚ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡Ρƒ сообщСний.
    -s - ΠŸΠ΅Ρ€Π΅Π΄Π°Ρ‚ΡŒ сообщСниС Π² syslog. Π’ зависимости ΠΎΡ‚ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹ Π±ΡƒΠ΄Π΅Ρ‚ сдСлана запись /var/log/secure ΠΈΠ»ΠΈ /var/log/messages.
    -M smb-hosts-file - Π˜ΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡ сСрвис Samba, ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‚ΡŒ WinPopup сообщСниС Π½Π° Ρ€Π°Π±ΠΎΡ‡ΠΈΠ΅ станции, список ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Ρ… содСрТится Π² Ρ„Π°ΠΉΠ»Π΅ smb-hosts-file. Для использования этого способа ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ сообщСний Snort Π΄ΠΎΠ»ΠΆΠ΅Π½ Π±Ρ‹Ρ‚ΡŒ собран с ΠΊΠ»ΡŽΡ‡ΠΎΠΌ -enable-smbalerts.
        НапримСр ΠΏΠ΅Ρ€Π΅Π΄Π°Π²Π°Ρ‚ΡŒ сообщСния Π½Π° Win-ΠΌΠ°ΡˆΠΈΠ½Ρ‹: -M WORKSTATIONS
/usr/local/bin/snort -d -h 192.168.1.0/24 -l /var/log/snortlogs -c /usr/local/etc/snort.conf -s -D - для запуска Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ систСмного Π΄Π΅ΠΌΠΎΠ½Π° примСняСтся ΠΊΠ»ΡŽΡ‡ D
    Π‘Π»Π΅Π΄ΡƒΠ΅Ρ‚ ΠΎΡ‚ΠΌΠ΅Ρ‚ΠΈΡ‚ΡŒ, Ρ‡Ρ‚ΠΎ Ссли Π½ΡƒΠΆΠ½ΠΎ ΠΏΠ΅Ρ€Π΅Π·Π°ΠΏΡƒΡΡ‚ΠΈΡ‚ΡŒ Snort сигналом SIGHUP, Π² ΠΊΠΎΠΌΠ°Π½Π΄Π½ΠΎΠΉ строкС ΠΏΡ€ΠΈ запускС Π½Π°Π΄ΠΎ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Ρ‚ΡŒ Π°Π±ΡΠΎΠ»ΡŽΡ‚Π½Ρ‹ΠΉ, Π° Π½Π΅ ΠΎΡ‚Π½ΠΎΡΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΉ ΠΏΡƒΡ‚ΡŒ ΠΊ Π΄Π²ΠΎΠΈΡ‡Π½ΠΎΠΌΡƒ Ρ„Π°ΠΉΠ»Ρƒ snort. Π­Ρ‚ΠΎ условиС Π΄ΠΎΠ±Π°Π²Π»Π΅Π½ΠΎ ΠΈΠ· сообраТСний бСзопасности.

-Q – Ρ€Π°Π±ΠΎΡ‚Π° Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ IPS


Π€ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡ (ΠΊΠ°ΠΊ Π² tcpdump)
-i <interface> <filter>
    Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€: -i eth1 src host 192.168.1.5
МоТно ΡƒΠΊΠ°Π·Π°Ρ‚ΡŒ Ρ„ΠΈΠ»ΡŒΡ‚Ρ€ Ρ„Π°ΠΉΠ»ΠΎΠΌ: -F <my_bpf_filter> # BPF (Berkley Packet Filter)

ΠŸΡ€Π°Π²ΠΈΠ»Π°
ΠŸΡ€Π°Π²ΠΈΠ»ΠΎ дСлится Π½Π° Π΄Π²Π΅ логичСскиС части: Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ ΠΈ Ρ‚Π΅Π»ΠΎ.
Π—Π°Π³ΠΎΠ»ΠΎΠ²ΠΎΠΊ содСрТит ΡƒΠΊΠ°Π·Π°Π½ΠΈΠ΅ Π½Π° дСйствиС, выполняСмоС ΠΏΡ€ΠΈ совпадСнии условий ΠΏΡ€Π°Π²ΠΈΠ»Π°, Ρ‚ΠΈΠΏ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»Π°, IP-адрСса ΠΈ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ ΠΏΠΎΡ€Ρ‚Π°Ρ… источника ΠΈ получатСля ΠΏΠ°ΠΊΠ΅Ρ‚Π°. 
Π’ Ρ‚Π΅Π»Π΅ ΠΏΡ€Π°Π²ΠΈΠ»Π° содСрТатся ΠΏΡ€Π΅Π΄ΡƒΠΏΡ€Π΅ΠΆΠ΄Π°ΡŽΡ‰Π΅Π΅ сообщСниС ΠΈ информация ΠΎ Ρ‚ΠΎΠΌ, ΠΊΠ°ΠΊΡƒΡŽ Ρ‡Π°ΡΡ‚ΡŒ ΠΏΠ°ΠΊΠ΅Ρ‚Π° Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΈΡ‚ΡŒ. 
НапримСр:
alert tcp any any -> 192.168.1.0/24 111
 (content:?|00 01 86 a5|?; msg: ?mountd access?;)

ЗапускаСтся ΠΏΠΎ Π΄Π΅Ρ„ΠΎΠ»Ρ‚Ρƒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ:
/usr/sbin/snort -m 027 -D -d -l /var/log/snort -u snort -g snort -c /etc/snort/sbin/snort.conf

ΠžΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ snort:
/etc/init.d/snort stop
PreviousZabbixNextmoloch

Last updated