Режим nids

В режиме NIDS нужно обязательно использовать файл конфигурации. Стандартный файл конфигурации называется snort.conf и находится в каталоге \etc. Однако можно собственный файл конфигурации с любым другим именем и использовать его, что мы и будем делать на этом лабораторном занятии.

Для запуска программы в режиме NIDS нужно задать команду с указанием выходного каталога с ключом –l (чтобы сохранять получаемые предупреждения об атаках), и имени файла конфигурации с ключом –c, чтобы подключить файл конфигурации, например:

Snort –dev -l c:\temp -c c:\Snort\etc\snort.conf

Файл c:\snort\etc\snort.conf создается по умолчанию при установке системы, и содержит стандартный набор команд конфигурации. Какие атаки сможет обнаружить система, зависит от набора файлов правил, указанных в файле конфигурации. Правила записывают в виде текста в файлы с расширением .rules, по умолчанию они находятся в каталоге \rules.

Настройка вида выходного протокола в режиме nids

По умолчанию выходной протокол выводит содержимое сетевых пакетов в виде символов ASCII, и использует формат полного предупреждения (full alerts). Программа дает возможность выводить предупреждения в 6 различных форматах. Формат предупреждений задается в командной строке опцией –A:

-A fast - «быстрый» формат, выдает необходимый минимум информации

-A full - формат по умолчанию

-A unsock - посылает предупреждения на сокет UNIX-системы, на которой его прослушивает другая программа

-A none - режим отсутствия (отключения) предупреждений

-A console - выводит «быстрые» предупреждения на экран

-A cmg - выводит предупреждения в специальном формате cmg

Например:

Snort –dev -l c:\temp -c snort.conf -A fast

Конфигурирование ids Snort

Сконфигурировать Snort – это значит создать файл конфигурации (по умолчанию snort.conf) и задать в нем все директивы, необходимые для выполнения поставленной задачи. Файл конфигурации – это обычный текстовый файл, который может редактироваться текстовым редактором. Если какая-то строка должна рассматриваться как комментарий, а не как директива, в начале строки ставят знак #. Такая строка не будет выполняться при запуске Snort.

Определение переменных

В файле конфигурации Snort могут быть определены переменные, которые можно использовать либо в этом же файле, либо в файлах правил. В общем случае формат описания переменной таков:

Var <имя переменной> <значение переменной>

Например:

Var MY_NET 192.168.5.0/24

Приведенная команда определяет переменную MY_NET, задающую адрес сети (число 24 – маска сети, указывает количество битов, отведенных под адрес сети в IP адресе).

При дальнейшем использовании определенная командой var переменная применяется с символом $, например:

include $RULE_PATH/local.rules

Alert tcp any any -> $MY_NET any

Задание ip адреса и маски подсети

Для IP адреса, который указываем в переменной, нужно обязательно задать маску подсети. Маска подсети в Snort указывается числом, следующим за IP-адресом и отделенным знаком «/». Это число указывает число битов, установленных в маске в 1, и определяет класс сети. Например, число 24 указывает на сеть класса С, число 16 – на сеть класса В, число 32 означает задание точного IP-адреса. Например:

192.168.5.0/24

192.168.5.147/32

Слово any в определении адреса будет означать «любой IP адрес», например:

var EXTERNAL_NET any

Если нужно указать несколько IP адресов, их указывают через запятую в квадратных скобках. Например:

[192.168.1.0/24, 10.1.1.0/24]

Если нужно задать отрицание, т.е. «все IP адреса, кроме указанного», перед IP адресом ставят восклицательный знак, например:

! [192.168.1.0/24, 10.1.1.0/24]

Это означает: любые IP адреса, кроме 192.168.1.0 и 10.1.1.0.