- •1.1 Система обнаружения вторжений snort
- •1.1. Файл конфигурации snort.Conf
- •1.2. Структура правил
- •1.2.1. Действия правил
- •1.2.2. Протокол
- •1.2.4. Порты
- •1.2.5. Опции
- •1.2.6. Логические операции
- •1.2.7. Примеры правил сов Snort
- •2. Лабораторный практикум
- •2.1. Описание лабораторного стенда
- •2.1.1. Назначение виртуальных машин и устанавливаемое на них по
- •2.1.2. Краткое описание компонентов сов
- •2.2. Порядок выполнения работы
- •2.2.1. Установка и настройка сов Snort
- •2.2.1.1. Установка сов Snort, библиотеки daq и по barnyard2
- •2.2.1.2. Настройка субд MySql
- •2.2.1.3. Установка сигнатур сов Snort
- •2.2.1.4. Настройка сов Snort
- •2.2.1.5. Проверка корректности конфигурационного файла сов Snort
- •2.2.1.6 Установка и настройка по barnyard2
- •2.2.2. Установка и настройка утилиты Basic Analysis and Security Engine
- •2.2.3. Тестирование решения
1.2.6. Логические операции
В правилах есть возможность добавлять логические операторы «OR» и «AND».
1.2.7. Примеры правил сов Snort
1. alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 any (msg:»IDS004 - SCAN-NULL Scan»;flags:0; seq:0; ack:0;)
Такое правило обнаруживает попытку так называемого NULL-сканирования портов.
2. activate tcp !192.168.1.0/24 any -> 192.168.1.0/24 143 (flags: PA; content: «|E8C0FFFFFF|\bin|»; activates: 1; msg: «IMAP buffer overflow!»;) dynamic tcp !192.168.1.0/24 any -> 192.168.1.0/24 143 (activated_by: 1; count: 50;)
Правило анализирует пакеты на предмет попытки реализации атаки на переполнение буфера и в случае обнаружения таковой вызывает правило dynamic для записи в лог-файл следующих 50 пакетов. Если атака была успешной, то, анализируя впоследствии файл, можно установить, какой именно урон был нанесен.
3. alert tcp any 80 <> 192.168.1.0/24 any (content-list: «adults.txt»; msg: «Not for children!»; react: block, msg;)
Этим правилом блокируется доступ на web-сайты, адреса которых перечислены в файле adults.txt. При обнаружении запроса к нежелательному серверу соединение с ним закрывается, генерируется сообщение «Not for children!», которое кроме записи в лог отправляется и браузеру. Таким образом, Snort может выполнять функции web-фильтра.
2. Лабораторный практикум
Учебные и воспитательные цели:
1. Познакомить студентов с СОВ Snort для обнаружения вторжений в контролируемые сетевые ресурсы.
2. Изучить принципы развертывания систем обнаружения вторжений с использованием СОВ Snort.
3. Воспитать у студентов потребность самостоятельного углубления знаний в области перспективных телекоммуникационных технологий.
2.1. Описание лабораторного стенда
Для выполнения лабораторного практикума используются 1 виртуальная машина, запускаемая на одной физической машине. На физической (базовой) машине установлено следующее программное обеспечение (ПО), необходимое для выполнения практикума:
– ОС Microsoft Windows XP;
– приложение для виртуализации VirtualBox;
– Adobe Acrobat Reader.
Также на базовой машине имеется документация к СОВ Snort в электронном виде (папка «Документация к СОВ Snort», расположенная на «Рабочем столе»)
2.1.1. Назначение виртуальных машин и устанавливаемое на них по
№ п/п |
Назначение виртуальной машины |
Предустановленное/устанавливаемое ПО |
1. |
Система обнаружения атак |
ОС CentOS СОВ Snort СУБД MySQL Утилита Basic Analysis and Security Engine Утилита barnyard2 Web-сервер Apache (необходим для функционирования утилиты BASE) СУБД MySQL |
2.1.2. Краткое описание компонентов сов
Основными компонентами программного комплекса «Система обнаружения компьютерных атак на базе Snort» являются:
- СОВ Snort;
- СУБД MySQL – предназначена для хранения информации о зафиксированных событиях безопасности;
- утилита Basic Analysis and Security Engine (BASE) – предназначена для анализа журналов СОВ Snort.
- утилита barnyard2 – предназначена для конвертации журнал работы СОВ Snort и записи их в базу MySQL.