Національна академія наук України

Інститут програмних систем НАН України

ЗАТВЕРДЖЕНО

05540149.90000.042.И3-01-ЛЗ

Програма інформатизації НАН України

Проект «Розробка та впровадження типових рішень

щодо комплексної системи захисту інформації в АІС НАНУ»

Шифр –КСЗІ АІС НАНУ

Система виявлення вторгнень в мережі -

Snort.

Настанова адміністратора

05540149.90000.042.И3-01

2005

Зміст

1. Короткий огляд Snort 3

1.1. Загальні відомості 3

1.2. Режим перегляду 4

1.3. Режим реєстрації пакетів 5

1.4. Режим виявлення вторгнень в мережі 6

1.4.1. Елементи настройок виводу в режимі NIDS 7

1.4.2. Настройка високої продуктивності 8

1.4.3 Зміна порядку попереджень 8

1.5. Інші можливості 9

1.6. Додаткова інформація 9

2. Настройка Snort 10

2.1.1 Вмикачі 10

2.1.2. Змінні 10

2.1.3. Конфігурування 11

2.2. Препроцесори 13

2.2.1. Детектор роrtscan 13

2.2.2. Portscan ignorehosts 14

2.2.3. Frag2 15

2.2.4. Stream4 15

2.2.5. Flow 17

2.2.6 Flow-роrtscan 18

2.2.7. Telnet decode 25

2.2.8. Rpc decode 25

2.2.9. Performance monitor 26

2.2.10. Http inspect 28

2.3. Поріг події 38

2.3.1. Автономні настройки 39

2.3.2 Автономний формат 40

2.3.3 Формат ключового слова правила 40

Формат ключового слова правила 40

2.3.4. Приклади 41

2.4. Заборона події 43

2.4.1 Формат 43

2.4.2. Приклади 44

2.5. Модулі виводу 44

2.5.1 Alert_syslog 45

2.5.2 Alert_fast 46

2.5.3. Alert_full 46

2.5.4. Alert_unixsock 47

2.5.5 Log_tcpdump 47

2.5.6 База даних 48

2.5.7. csv 50

2.5.8 Unified 51

2.5.9. Log null 52

3. Правила Snort 53

З.1. Основи 53

3.2. Створення правила Snort 55

3.3. Параметри правил Snort 61

3.4. Створення нового правила 79

4. Отримання Snort 83

5. Встановлення Snort 85

1. Короткий огляд Snort

1.1. Загальні відомості

Програмні комплекси, що контролюють вміст трафіка, називаються мережними системами виявлення вторгнення (Network Intrusion Detection System, скорочено - NIDS). Вони функціонують на мережному рівні по моделі OSI і проводять контроль встановлюваних з'єднань, аналіз структури і вмісту мережних пакетів. Система NIDS аналізує весь трафік, що проходить як на окремому комп'ютері, так і на виділеному сервері (шлюз, маршрутизатор, зонд). При виявленні атаки NIDS включає механізм реакції на даний тип загрози. Спектр її можливостей досить широкий: від передачі попереджувальних повідомлень на робочу консоль (e-mail, пейджер, телефон, факс) до блокування облікового запису, розриву з'єднання, реконфігурування брандмауера або маршрутизатора.

Механізм контролю і аналізу статистики встановлюваних з'єднань дозволяє виявити спробу сканування системи або проведення атаки виду «відмова в обслуговуванні» (одночасно відкривається безліч з'єднань з яким-небудь сервісом). Контроль за вмістом трафіку реалізується шляхом пошуку певних послідовностей даних (сигнатур), передаваних в мережному пакеті. Системи виявлення вторгнення мають власну базу знань, де зібрані відомі типи мережних атак. Вони також дозволяють користувачам розробляти і включати нові описи мережних інцидентів.

Потенційно слизький момент в роботі NIDS - достовірність визначення IP-адреси нападаючого. Зловмиснику нескладно імітувати атаку з боку сторонніх хостів. Далі по сценарію розвитку ситуації NIDS визначить IP-адреси з сфальсифікованих зловмисником мережних пакетів, і в результаті будуть зроблені каральні дії проти невиних хостів. Для підвищення надійності захисту необхідно контролювати всю архітектуру мережі, розміщуючи зонди (комп'ютери з NIDS) в кожному сегменті мережі.

В рамках проекту Snort відбуваються розробка, розповсюдження і підтримка однойменної мережної системи виявлення вторгнень, призначеної для моніторингу невеликих мереж.

Snort дозволяє в режимі реального часу аналізувати мережній трафик, перевіряючи коректність структури мережних пакетів і відповідність вмісту певним правилам. Для опису мережних інцидентів і визначення реакції системи використовується гнучка мова сценаріїв. Вбудована база знань дозволяє визначити поширені типи мережних нападів: приховане сканування (що використовує встановлені в мережних пакетах прапори FIN, ASK), збір банерів мережних сервісів (Services & OS fingerprinting), переповнювання буфера різних сервісів, атаки, що використовують навмисне порушення структури мережних пакетів (ping death), атаки вигляду відмова в обслуговуванні (DOS). Включений опис безлічі атак, що експлуатують визначені уразливості в різних мережних сервісах.

При фіксації системою Snort описаного мережного інциденту можна, конфігуруючи брандмауер, запобігти мережній атаці або передати застережливе повідомлення через syslog-сервер, призначений для користувача файл, Unix-сокет або службу Windows WinPopup.

Система Snort здатна працювати:

• як пакетний "сніфер" (аналізатор мережного трафіку, аналог tcpdump);

• в режимі збереження інформації про всі передані і отримані пакети (використовується для діагностики мережі);

• як повнофункціональна мережна система виявлення вторгнення.

Snort не дуже складна програма у використовуванні, але в ній є багато настройок елементів командного рядка, і не завжди очевидно який з них підійде. Цей документ націлений полегшити використовування Snort для нових користувачів.

Існує декілька основних понять в Snort які потрібно знати. Є три основні режими, в яких може бути конфігурований Snort: режим проглядання пакетів, реєстратора пакетів, і системи виявлення вторгнень в мережі.

В режимі перегляду пакетів Snort прочитує інформацію про пакети в мережі і відображає їх в безперервному потоці на консолі. Режим реєстратора пакетів зберігає пакети на диск у вказаній директорії або ж в директорії за умовчанням. Режим виявлення вторгнень в мережі найскладніший і має багато конфігурацій, в ньому Snort аналізує трафік мережі для перевірки відповідності правилам і виконує деякі дії, засновані на тому, що відбувається.