- •1. Короткий огляд Snort 3
- •2. Настройка Snort 10
- •2.4.2. Приклади 44
- •3. Правила Snort 53
- •4. Отримання Snort 83
- •5. Встановлення Snort 85
- •1. Короткий огляд Snort
- •1.1. Загальні відомості
- •1.2. Режим перегляду
- •1.3. Режим реєстрації пакетів
- •1.4. Режим виявлення вторгнень в мережі
- •1.4.1. Елементи настройок виводу в режимі nids
- •1.4.2. Настройка високої продуктивності
- •1.4.3 Зміна порядку попереджень
- •1.5. Інші можливості
- •1.6. Додаткова інформація
- •2. Настройка Snort
- •2.1.1 Вмикачі
- •2.1.3. Конфігурування
- •2.2. Препроцесори
- •2.2.1. Детектор роrtscan
- •2.3.1. Автономні настройки
- •2.3.2 Автономний формат
- •2.3.3 Формат ключового слова правила
- •Формат ключового слова правила
- •2.3.4. Приклади
- •2.4. Заборона події
- •2.4.1 Формат
- •2.4.2. Приклади
- •2.5. Модулі виводу
- •2.5.6 База даних
- •3. Правила Snort з.1. Основи
- •3.2. Створення правила Snort
- •3.3. Параметри правил Snort
- •3.4. Створення нового правила
- •4. Отримання Snort
- •5. Встановлення Snort
1.4.2. Настройка високої продуктивності
Для того, щоб Snort працював швидко (утримування швидкості в 1000 Mbps), слід використовувати об'єднуючу реєстрацію і програму читання з'єднаних реєстрацій як, наприклад barnyard. Це дозволяє Snort реєструвати попередження в двійковій формі так швидко як можливо і виконувати інші більш повільні дії як, наприклад запис в базу даних.
Щоб отримати текстовий файл, який можна легко перевірити і зберегти частково швидкість, потрібно використовувати двійкову реєстрацію з “швидким механізмом” виводу. Таким чином, пакети реєструються у форматі “tcpdump” і створюють мінімум попереджень. Наприклад:
snort -b -A fast -c C:\Snort\etc\snort.conf
1.4.3 Зміна порядку попереджень
Режим, в якому виконуються правила Snort (режим за умовчанням) не може бути відповідним для всіх установок. Правила попереджень застосовуються першими, потім правила проходу, і потім вже правила реєстрації. Ця послідовність дещо незвичайна, але вона є більш простим способом, ніж надання користувачу можливості записувати сотні правил попереджень і потім відключити їх помилковим правилом проходу. Більш конкретно про типи правил описано в розділі 3.2.1.
Для зміни послідовності попереджень введений ключ “-o”, який змінює поведінку програми за умовчанням для правила проходу, потім попереджень і реєстрації:
snort -d -h 192.168.1.0/24 -l C:\Snort\etc\log -c snort.conf -o
1.5. Інші можливості
Якщо виникає потреба відправляти реєстрації пакетів до загальних списків розсилки можна скористатися перевагою ключа “-O”. Цей ключ затемняє IP адресу при відображенні пакету. Це зручно, якщо потрібно щоб інші користувачі із списку розсилки не знали залучені IP адреси. Можна також об'єднати ключ “-O” з ключем “-h”, щоб приховати тільки IP адреси хостів в домашній мережі. Це корисно, якщо не має значення хто бачить адресу атакуючого хоста. Наприклад:
snort -d -v -r C:\Snort\log\snort.log -O -h 192.168.1.0/24
Ця команда вкаже прочитати пакети з файлу реєстрації і вивести пакети на екран, затемнення одних адрес 192.168.1.0/24 мережі класу C.
1.6. Додаткова інформація
Друга частина містить багато інформації про різні елементи настройки доступних у файлі конфігурацій. Інструкцію по Snort можна викликати командою:
Snort -?
Вона містить інформацію, яка може допомогти запустити Snort в декількох різних режимах.
Web-сторінка Snort (http://www.snort.org) і список розсилки користувача Snort (http://marc.theaimsgroup.com/?l=snort-users в snort-users@lists.sourceforge.net) забезпечить інформаційними сповіщеннями і може послужити місцем зустрічі для громадського обговорення і підтримки.
2. Настройка Snort
2.1.1 Вмикачі
Включаюче ключове слово дозволяє застосовувати інші файли правил вказані в командному рядку Snort. Це працює подібно “#include” з мови програмування C, читаючи вміст вказаного файлу і поміщаючи його в тому місці файлу, де знаходиться вмикач.
Формат
include: <місце розміщення/ім’я>
ПРИМІТКА При використовуванні ключового слова “include” крапка з комою в кінці рядка не ставиться. |
Включені файли замінять будь-які значення змінної своїми власними посиланнями. В розділі 2.1 знаходиться більш детальна інформація про визначення і використовування змінних у файлах правил Snort.
2.1.2. Змінні
Змінні можуть бути визначені в Snort . Вони є простими змінними заміщення, встановленими ключовим словом “var” (Приклад 2.1).
Формат
var: <ім’я> <значення>
Імена змінних в правилі можуть бути змінені декількома способами. Можна визначити meta-змінні використовуючи, оператор $. Вони можуть використовуватися з операторами модифікацій змінних ? і -. * $var – визначає мета змінну * $(var) – замінює вмістом змінної var * $(var:-default) - замінює вмістом змінної var або із значенням за умовчанням, якщо var є невизначеною. * $(var:?message) - замінює вмістом змінної var або виводить повідомлення про помилку і припиняє роботу.
var MY_NET [192.168.1.0/24,10.1.1.0/24]
alert tcp any any -> $MY_NET any (flags: S; msg:"SYN расket";)
Приклад 2.1: Визначення змінної і її використовування
В прикладі 2.2 демонструються модифікатори правил у дії.
var MY_NET 192.168.1.0/24
log tcp any any -> $MY_NET 23
Приклад 2.2: Використовування в складнішому вигляді