- •1.1 Система обнаружения вторжений snort
- •1.1. Файл конфигурации snort.Conf
- •1.2. Структура правил
- •1.2.1. Действия правил
- •1.2.2. Протокол
- •1.2.4. Порты
- •1.2.5. Опции
- •1.2.6. Логические операции
- •1.2.7. Примеры правил сов Snort
- •2. Лабораторный практикум
- •2.1. Описание лабораторного стенда
- •2.1.1. Назначение виртуальных машин и устанавливаемое на них по
- •2.1.2. Краткое описание компонентов сов
- •2.2. Порядок выполнения работы
- •2.2.1. Установка и настройка сов Snort
- •2.2.1.1. Установка сов Snort, библиотеки daq и по barnyard2
- •2.2.1.2. Настройка субд MySql
- •2.2.1.3. Установка сигнатур сов Snort
- •2.2.1.4. Настройка сов Snort
- •2.2.1.5. Проверка корректности конфигурационного файла сов Snort
- •2.2.1.6 Установка и настройка по barnyard2
- •2.2.2. Установка и настройка утилиты Basic Analysis and Security Engine
- •2.2.3. Тестирование решения
1.2. Структура правил
Модель правил можно представить следующим образом:
<действие_правила> <протокол> <IP-адрес отправителя> <порт> <опера-тор_направления> < IP-адрес получателя> <порт> ([мета_данные] [да-ные_о_содержимом_пакета] [данные_в_заголовке] [дей-ствие_после_обнаружения])
1.2.1. Действия правил
Действия правил делятся на следующие категории:
- alert – создать предупреждение, используя выбранный метод, и передать ин-формацию системе журналирования;
- log – использовать систему журналирования для записи информации о пакете;
- pass – игнорировать пакет;
- activate – использовать другое динамическое правило;
- dynamic – после того, как выполнится активное правило, задействуется прави-ло с процедурой журналирования;
- drop – отбросить пакет, используя программный межсетевой экран, и передать информацию системе журналирования. Работает только в режиме inline;
- sdrop – отбросить пакет при помощи программного брандмэуера и не исполь-зовать систему журналирования. Работает только в режиме inline;
- reject – используя брандмэуер, отбросить пакет в том случае, если протокол TCP, или же записать в файл журнала сообщение: ICMP порт недоступен, если па-кет приходит по протоколу UDP. Работает только в режиме inline.
1.2.2. Протокол
После указания действия правила нужно указать протокол, по которому придет пакет. Этот параметр может принимать следующие значения: TCP, UDP, IP, ICMP.
1.2.3. IP-адреса
Далее следуют два IP-адреса. Первый, как правило, с которого приходит пакет, а второй, на какой пакет отсылается. Но это не обязательно, так как между двумя адресами можно использовать так называемый оператор направления «->«, «<>« (двустороннее), который подобно стрелкам указывает направление передачи. Важно отметить отсутствие оператора "<-".
Поскольку Snort не имеет встроенного механизма получения IP-адреса, используя доменное имя, то нужно указывать конкретный IP-адрес или же диапазон IP-адресов. В этом параметре можно использовать маски.
1.2.4. Порты
После IP-адреса указывается номер порта, с которого отсылаются данные и на который приходит информация (в случае применения оператора направления «->«). С использованием знака «:» можно указать диапазон портов. Часто используется оператор отрицания «!». Если опущен один из параметров диапазона (:321 или 123:), то пропускаемый параметр принимает крайнее значение общего количества портов, то есть 0 или 65535.
1.2.5. Опции
После указания всех параметров так называемого заголовка правила, указываются опции, по которым и будет осуществляться основной анализ пакетов.
Все опции можно разделить на четыре большие категории:
- meta-data – в этих опциях не указываются данные для осуществления проверки пакета. Здесь содержится информация о типе атаки, возможные материалы об уяз-вимости, ссылки, и т.п;
- payload – в параметрах этой категории указывается информация непосред-ственно о данных, которые содержит пакет;
- non-payload – в этой категории содержится служебная информация о пакете (заголовок);
- post-detection – здесь указываются задачи, которые необходимо осуществить после нахождения информации в пакете.
В тексте правила можно указывать перенос строки с помощью символа «\».