- •1. Короткий огляд Snort 3
- •2. Настройка Snort 10
- •2.4.2. Приклади 44
- •3. Правила Snort 53
- •4. Отримання Snort 83
- •5. Встановлення Snort 85
- •1. Короткий огляд Snort
- •1.1. Загальні відомості
- •1.2. Режим перегляду
- •1.3. Режим реєстрації пакетів
- •1.4. Режим виявлення вторгнень в мережі
- •1.4.1. Елементи настройок виводу в режимі nids
- •1.4.2. Настройка високої продуктивності
- •1.4.3 Зміна порядку попереджень
- •1.5. Інші можливості
- •1.6. Додаткова інформація
- •2. Настройка Snort
- •2.1.1 Вмикачі
- •2.1.3. Конфігурування
- •2.2. Препроцесори
- •2.2.1. Детектор роrtscan
- •2.3.1. Автономні настройки
- •2.3.2 Автономний формат
- •2.3.3 Формат ключового слова правила
- •Формат ключового слова правила
- •2.3.4. Приклади
- •2.4. Заборона події
- •2.4.1 Формат
- •2.4.2. Приклади
- •2.5. Модулі виводу
- •2.5.6 База даних
- •3. Правила Snort з.1. Основи
- •3.2. Створення правила Snort
- •3.3. Параметри правил Snort
- •3.4. Створення нового правила
- •4. Отримання Snort
- •5. Встановлення Snort
1.4. Режим виявлення вторгнень в мережі
Щоб запустити режим виявлення вторгнень в мережі (NIDS) (виключає потребу записувати кожний пакет, відісланий по мережі), використовується команда:
snort -dev -l C:\Snort\log -h 192.168.1.0/24 -c snort.conf
Де snort.conf є ім'ям файлу правил. Ця команда застосує правила, встановлені у файлі snort.conf до кожного пакету, щоб вирішити, якщо дію, описану в правилі потрібно виконати. Якщо не визначена вихідна директорія для програми, Snort використовуватиме значення за умовчанням (C:\var\log\snort).
Слід відмітити, що якщо Snort використовуватиметься тривалий час в ролі NIDS, то ради швидкості ключ “-v” повинен бути опущений в командному рядку. Екран - це повільне місце для запису даних, і пакети можуть втрачатися, коли виводяться на дисплей.
Також немає необхідності в записі заголовків канального рівня для більшості програм, так що немає потреби в установці “-е” ключа.
snort -d -h 192.168.1.0/24 -l C:\Snort\log -c snort.conf
Ця дія зорієнтує Snort запуститися в основній формі NIDS, реєструючи пакети в директорії з ієрархією структури каталогу, як описано правилом в ASCII форматі (подібно режиму реєстратора пакетів).
1.4.1. Елементи настройок виводу в режимі nids
Є цілий ряд шляхів конфігурування виводу Snort в режимі NIDS. Типові механізми реєстрації і попередження реєструють в декодованому форматі ASCII і використовують режим максимальної пильності. Механізм повної пильності зберігає повідомлення попередження на додаток до цілого заголовка пакету. Є різні режими пильності доступні в командному рядку, а також два засоби реєстрації.
Режими пильності дещо складніші. Є сім режимів пильності, доступних в командному рядку, full, fast, socket, syslog, console, cmg, і none. Шість з цих режимів доступні з “-A ключем” командного рядка. Цими елементами настройки є:
-A fast: режим швидкої пильності, записує попередження в простому форматі разом з відміткою часу, повідомленням-попередженням, джерелом і місцем призначення IP/портів;
-A full: це також режим пильності за умовчанням, так що якщо нічого не визначено він використовуватиметься автоматично;
-A unsock: відправляє попередження сокету UNIX, який може прослуховувати інша програма;
-A none: вимикає режим попереджень;
-A console: відправляє попередження швидкого “стилю” на консоль (екран);
-A cmg: генерує попередження “cmg стилю”.
Пакети можуть реєструватися у формат ASCII за умовчанням або в двійковий файл реєстрації через ключ ”-b” командного рядка. Якщо потрібно відключити всі реєстрації пакетів, використовуйте ключ “-N” командного рядка.
Більш детальний розгляд режимів виводу, доступних через файл конфігурацій описано в розділі 2.7.
ПРИМІТКА Елементи настройки реєстрації в командному рядку анулюють будь-які настройки визначені в конфігураційному файлі. Це дозволяє швидко редагувати конфігурацію через командний рядок. |
Щоб відправити попередження в “syslog”, використовуйте “–s” ключ . Засобами механізму попереджень “syslog” за умовчанням є LOG_AUTHPRIV і LOG_ALERT. Для настройки інших можливостей виведення “syslog”, існують вихідні плагін директиви у файлах правил. В розділі 2.4.1 інформація про настройки виведення “syslog” розглядається більш конкретно.
Ось деякі приклади настройок виводу:
• Реєстрація за умовчанням (декодований ASCII) і відправка попереджень в syslog:
snort -c C:\Snort\etc\snort.conf -l C:\Snort\log -h 192.168.1.0/24 -s
• Реєстрація засобом за умовчанням і відправка попереджень у файл швидких попереджень:
snort -c C:\Snort\etc\snort.conf -A fast -h 192.168.1.0/24