2 Вивчення функціональних можливостей системи виявлення вторгнень snort
2.1 Мета роботи: навчитися користуватися деякими функціональними можливостями системи Snort.
2.2 Методичні вказівки з організації самостійної роботи студентів.
Snort – вільна система виявлення та запобігання атак, яка комбінує в собі методи зіставлення по сигнатурам, засоби для інспекції протоколів і механізми для виявлення аномалій.
Дана СВА виконує протоколювання, аналіз, пошук по вмісту, а також широко використовується для активного блокування або пасивного виявлення цілої низки атак і зондувань, таких як спроби атак на переповнювання буферу, приховане сканування портів, атаки на веб-додатки, SMB-зондування та спроби визначення операційної системи. Програмне забезпечення в основному використовується для запобігання проникненню, блокування атак, якщо вони мають місце.
Snort може працювати спільно з іншим програмним забезпеченням, наприклад, SnortSnarf, sguil, OSSIM і BASE (які забезпечують візуальне представлення даних вторгнення). З доповненнями від Bleeding Edge Threats підтримує антивірусне сканування потоків пакетів ClamAV й аналіз мережних аномалій SPADE на мережному та транспортному рівнях мережі, можливо, з урахуванням історії змін.
2.3 Опис лабораторної установки (програмного забезпечення).
Для успішного виконання лабораторної роботи необхідно Linux, Snort, VM Ubuntu.
2.4 Порядок виконання роботи і методичні вказівки з її виконання.
2.4.1 Встановити в Ubuntu IDE Snort наступним чином:
sudo apt-get install snort
2.4.2 Запустити Snort в режимі аналізу пакетів (наприклад, snort -vd> dump.txt). Зробіть екранний знімок результатів роботи Snort в режимі аналізу пакетів. Додайте в звіті частини файлу dump.txt (рис. 2.1).
Рисунок 2.1. Приклад дампа Snort в режимі аналізу пакетів
2.4.3 Запустіть Snort в режимі логування (наприклад, snort -vd -l snortLogDir). Через деякий час відкрити за допомогою Wireshark, збережений в директорії snortLogDir, лог збереженого мережного трафіку (рис. 2.2).
Рисунок 2.2. Приклад логу збереженого мережного трафіку
2.4.4 Запустити Snort в режимі виявлення вторгнення. Для навчання можна закоментувати всі включення в файлі /etc/snort/snort.conf крім local.rules. У файлі local.rules додати наступне правило:
Alert tcp !192.168.0.0/24 any <> 192.168.0.2 80 (msg:”External WEB request”;sid:1;)
Вищенаведене правило записує в файл пакети при подключенні до веб-серверу з зовнішньої мережі (рис. 2.3).
Рисунок 2.3. Приклад відображення мережних пакетів в WireShark
Змінимо правило так, щоб Snort блокував доступ до веб-сервера з зовнішньої мережі (рис. 2.4):
alert tcp !192.168.0.0/24 any <> 192.168.0.2 80 (msg:”External WEB request”;sid:1;react:block)
Рисунок 2.4. Приклад відображення мережних пакетів в WireShark
2.4.5. Запустити Snort в режимі виявлення NULL-сканування портів (рис.2.5). Приклад правила:
alert tcp !192.168.1.0/24 any -> 192.168.1.0/24 any (msg:"IDS004 - SCAN-NULL Scan";flags:0; seq:0; ack:0;)
Рисунок 2.5. Приклад відображення мережних пакетів в WireShark
2.4.6 Запустити Snort в режимі перехоплення SYN-сканування портів (рис. 2.6). Приклад правила:
alert tcp any any -> any any (flags:S,12; msg:"SYN"; sid: 1231213;)
Рисунок 2.6. Приклад відображення мережних пакетів в WireShark
2.4.7 Самостійно написати 10 правил для Snort. Зробити екранні знімки в WireShark.
2.5 Зміст звіту.
1. Титульний аркуш.
2. Назва та мета лабораторної роботи.
3. Екранні знімки з поясненнями виконання вищеописаних кроків.
4. Відповіді на контрольні запитання до лабораторної роботи.
2.6 Контрольні запитання і завдання.
1. Що є кращим способом використання Snort для блокування атак?
2. Як запустити Snort?
3. Функціональні можливості Snort.
4. В якому місці в мережі краще поставити Snort?
5. Як налаштувати Snort, щоб він писав не тільки заголовки, а й вміст пакетів?
6. Як працює порядок обробки правил?
7. Яким чином оновлювати набір правил? Як їх підключати?
8. Чи може Snort працювати з правилами, заснованими на MAC-адресах?
9. Найменування додаткових модулів до програми Snort і як їх підключити.