Phenquestions
Система обнаружения вторжений может быть развернута в зависимости от размера сети. Существуют десятки качественных коммерческих IDS, но многие компании и малый бизнес не могут себе их позволить. Фырканье - это гибкая, легкая и популярная система обнаружения вторжений, которую можно развернуть в соответствии с потребностями сети, от малых до крупных, и обеспечивающая все функции платной IDS. Фырканье ничего не стоит, но это не означает, что он не может обеспечить те же функции, что и элитная коммерческая IDS. Фырканье считается пассивной IDS, что означает, что он перехватывает сетевые пакеты, сравнивает их с набором правил и, в случае обнаружения вредоносного журнала или записи (i.е., обнаружение вторжения), генерирует предупреждение или помещает запись в файл журнала. Фырканье используется для мониторинга операций и активности маршрутизаторов, межсетевых экранов и серверов. Snort предоставляет удобный интерфейс, содержащий цепочку наборов правил, которые могут быть очень полезны человеку, незнакомому с IDS. Snort генерирует сигнал тревоги в случае вторжения (атаки переполнения буфера, отравление DNS, снятие отпечатков пальцев ОС, сканирование портов и многое другое), что дает организации большую видимость сетевого трафика и упрощает соблюдение правил безопасности.
Установка Snort
Перед установкой Snort вы должны сначала установить несколько программ или пакетов с открытым исходным кодом, чтобы получить максимальную отдачу от этой программы.
- Libpcap: Анализатор пакетов, такой как Wireshark, который используется для захвата, мониторинга и анализа сетевого трафика. Установить libpcap, используйте следующие команды, чтобы загрузить пакет с официального сайта, разархивировать пакет и затем установить его:
[электронная почта защищена]: ~ $ tar -xzvf libpcap-
[электронная почта защищена]: ~ $ cd libpcap-
[электронная почта защищена]: ~ $ ./ настроить
[электронная почта защищена]: ~ $ sudo make
[электронная почта защищена]: ~ $ make install
- OpenSSH: Инструмент безопасного подключения, который обеспечивает безопасный канал даже в незащищенной сети для удаленного входа в систему через ssh протокол. OpenSSH используется для удаленного подключения к системам с правами администратора. OpenSSH можно установить с помощью следующих команд:
переносной / openssh-8.3p1.деготь.gz
[электронная почта защищена]: ~ $ tar xzvf openssh-
[электронная почта защищена]: ~ $ cd openssh-
[электронная почта защищена]: ~ $ ./ настроить
[электронная почта защищена]: ~ $ sudo make install
- MySQL: Самый популярный бесплатный и открытый код SQL база данных. MySQL используется для хранения предупрежденных данных от Snort. Библиотеки SQL используются удаленными машинами для связи и доступа к базе данных, где хранятся записи журнала Snort. MySQL можно установить с помощью следующей команды:
- Веб-сервер Apache: Самый используемый веб-сервер в Интернете. Apache используется для отображения консоли анализа через веб-сервер. Его можно скачать с официального сайта здесь: http: // httpd.апач.org /, или с помощью следующей команды:
- PHP: PHP - это язык сценариев, используемый в веб-разработке. Для запуска консоли анализа требуется механизм синтаксического анализа PHP. Его можно скачать с официального сайта: https: // www.php.net / загрузки.php, или с помощью следующих команд:
[электронная почта защищена]: ~ $ tar -xvf php-
[электронная почта защищена]: ~ $ cd php-
[электронная почта защищена]: ~ $ sudo make
[электронная почта защищена]: ~ $ sudo make install
- OpenSSL: Используется для защиты связи по сети, не беспокоясь о том, что третья сторона получит или контролирует отправленные и полученные данные. OpenSSL предоставляет криптографические функции веб-серверу. Его можно скачать с официального сайта: https: // www.openssl.org /.
- Stunnel: Программа, используемая для шифрования произвольного сетевого трафика или соединений внутри SSL, которая работает вместе с OpenSSL. Stunnel можно скачать с официального сайта: https: // www.парализатор.org /, или его можно установить с помощью следующих команд:
[электронная почта защищена]: ~ $ tar xzvf stunnel-
[электронная почта защищена]: ~ $ cd stunnel-
[электронная почта защищена]: ~ $ ./ настроить
[электронная почта защищена]: ~ $ sudo make install
- КИСЛОТА: Сокращение для Контроль анализа для обнаружения вторжений. ACID - это поисковый интерфейс с поддержкой запросов, используемый для поиска совпадающих IP-адресов, заданных шаблонов, конкретной команды, полезной нагрузки, подписей, определенных портов и т. Д., из всех зарегистрированных предупреждений. Он обеспечивает углубленную функциональность анализа пакетов, позволяя определить, что именно пытался выполнить злоумышленник, и тип полезной нагрузки, использованной в атаке. КИСЛОТА можно скачать с официального сайта: https: // www.sei.КМУ.edu / about / divisions / cert / index.CFM.
Теперь, когда все необходимые базовые пакеты установлены, Фырканье можно скачать с официального сайта, фырканье.org, и может быть установлен с помощью следующих команд:
[электронная почта защищена]: ~ $ wget https: // www.фырканье.org / загрузки / snort / snort-2.9.16.1.деготь.gz[электронная почта защищена]: ~ $ tar xvzf snort-
[электронная почта защищена]: ~ $ cd snort-
[электронная почта защищена]: ~ $ ./ настроить
[электронная почта защищена]: ~ $ sudo make && --enable-source-fire
[электронная почта защищена]: ~ $ sudo make install
Затем выполните следующую команду, чтобы проверить, установлен ли Snort и какую версию Snort вы используете:
[электронная почта защищена]: ~ $ snort --,,_ - *> Фырканье! <*-
o ") ~ Номер версии"
Авторское право (C) 1998-2013 Sourcefire, Inc., и другие.
Использование libpcap версии 1.8.1
Используется версия PCRE: 8.39 2016-06-14
Использование версии ZLIB: 1.2.11
После успешной установки в системе должны быть созданы следующие файлы:
/ usr / bin / snort: Это двоичный исполняемый файл Snort.
/ usr / share / doc / snort: Содержит документацию по Snort и страницы руководства.
/ etc / snort: Содержит все наборы правил Фырканье и это также его файл конфигурации.
Использование Snort
Чтобы использовать Snort, сначала вы должны настроить Home_Net value и присвойте ему значение IP-адреса сети, которую вы защищаете. IP-адрес сети можно получить с помощью следующей команды:
[электронная почта защищена]: ~ $ ifconfigИз результатов скопируйте значение inet адрес желаемой сети. Теперь откройте файл конфигурации Snort / и т. д. / фырканье / фырканье.conf используя следующую команду:
[электронная почта защищена]: ~ $ sudo vim / etc / snort / snort.confВы увидите такой вывод:
Найдите линию «Ipvar HOME_NET.” Перед ipvar HOME_NET, напишите скопированный ранее IP-адрес и сохраните файл. Перед запуском Фырканье, еще одна вещь, которую вы должны сделать, это запустить сеть в беспорядочном режиме. Вы можете сделать это с помощью следующей команды:
[электронная почта защищена]: ~ $ / sbin / ifconfig -Теперь вы готовы к запуску Фырканье. Чтобы проверить его статус и протестировать файл конфигурации, используйте следующую команду:
[электронная почта защищена]: ~ $ sudo snort -T -i4150 правил Snort прочитано
3476 правил обнаружения
0 правил декодера
0 правил препроцессора
3476 цепочек опций, связанных с заголовками цепочки 290
0 Динамические правила
+++++++++++++++++++++++++++++++++++++++++++++++++++
+-------------------[Количество портов правила]---------------------------------------
| TCP UDP IP ICMP
| SRC 151 18 0 0
| dst 3306 126 0 0
| любой 383 48 145 22
| ЧПУ 27 8 94 20
| с + д 12 5 0 0
+----------------------------------------------------------------------------
+-----------------------[конфигурация-фильтра-обнаружения]------------------------------
| объем памяти: 1048576 байт
+-----------------------[правила-фильтра-обнаружения]-------------------------------
| никто
-------------------------------------------------------------------------------
+-----------------------[конфигурация-фильтра-скорости]-----------------------------------
| объем памяти: 1048576 байт
+-----------------------[правила-фильтра-скорости]------------------------------------
| никто
-------------------------------------------------------------------------------
+-----------------------[конфигурация-фильтра-событий]----------------------------------
| объем памяти: 1048576 байт
+-----------------------[глобальный фильтр событий]----------------------------------
| никто
+-----------------------[локальный-фильтр-события]-----------------------------------
| gen-id = 1 sig-id = 3273 type = Отслеживание пороговых значений = src count = 5 секунд = 2
| gen-id = 1 sig-id = 2494 type = Оба трекинга = dst count = 20 секунд = 60
| gen-id = 1 sig-id = 3152 type = Отслеживание пороговых значений = src count = 5 секунд = 2
| gen-id = 1 sig-id = 2923 type = Отслеживание пороговых значений = dst count = 10 секунд = 60
| gen-id = 1 sig-id = 2496 type = Оба трекинга = dst count = 20 секунд = 60
| gen-id = 1 sig-id = 2275 type = Отслеживание пороговых значений = dst count = 5 секунд = 60
| gen-id = 1 sig-id = 2495 type = Оба трекинга = dst count = 20 секунд = 60
| gen-id = 1 sig-id = 2523 type = Оба трекинга = dst count = 10 секунд = 10
| gen-id = 1 sig-id = 2924 type = Отслеживание пороговых значений = dst count = 10 секунд = 60
| gen-id = 1 sig-id = 1991 type = Limit tracking = src count = 1 секунда = 60
+-----------------------[подавление]------------------------------------------
| никто
-------------------------------------------------------------------------------
Порядок применения правил: активация-> динамический-> проход-> drop-> sdrop-> отклонить-> предупреждение-> журнал
Проверка конфигураций препроцессора!
[Память сопоставления шаблонов на основе портов]
+- [Резюме Aho-Corasick] -------------------------------------
| Формат хранения: Full-Q
| Конечный автомат: DFA
| Размер алфавита: 256 символов
| Размер состояния: переменная (1,2,4 байта)
| Экземпляры: 215
| 1 байт состояний: 204
| 2 байтовых состояния: 11
| 4 байтовых состояния: 0
| Герои: 64982
| Штаты: 32135
| Переходы: 872051
| Государственная плотность: 10.6%
| Узоров: 5055
| Состояния матчей: 3855
| Память (МБ): 17.00
| Узоров: 0.51
| Списки матчей: 1.02
| DFA
| 1 байт состояния: 1.02
| 2 байтовых состояния: 14.05
| 4 байтовых состояния: 0.00
+----------------------------------------------------------------
[Количество шаблонов, усеченных до 20 байтов: 1039]
pcap DAQ настроен на пассивный.
Получение сетевого трафика от "wlxcc79cfd6acfc".
--== Инициализация завершена ==--
,,_ - *> Фырканье! <*-
o ") ~ Номер версии
Авторское право (C) 1998-2013 Sourcefire, Inc., и другие.
Использование libpcap версии 1.8.1
Используется версия PCRE: 8.39 2016-06-14
Использование версии ZLIB: 1.2.11
Механизм правил: SF_SNORT_DETECTION_ENGINE, версия 2.4
Объект препроцессора: SF_IMAP версии 1.0
Объект препроцессора: SF_FTPTELNET, версия 1.2
Объект препроцессора: SF_REPUTATION Версия 1.1
Объект препроцессора: SF_SDF версии 1.1
Объект препроцессора: SF_SIP версии 1.1
Объект препроцессора: SF_SSH Версия 1.1
Объект препроцессора: SF_GTP версии 1.1
Объект препроцессора: SF_SSLPP версии 1.1
Объект препроцессора: SF_DCERPC2, версия 1.0
Объект препроцессора: SF_SMTP версии 1.1
Объект препроцессора: SF_POP версии 1.0
Объект препроцессора: SF_DNS версии 1.1
Объект препроцессора: SF_DNP3 версии 1.1
Объект препроцессора: SF_MODBUS версии 1.1
Snort успешно проверил конфигурацию!
Фырканье при выходе
Наборы правил Snort
Величайшая сила Фырканье лежит в его наборах правил. Snort может использовать большое количество наборов правил для мониторинга сетевого трафика. В последней версии, Фырканье поставляется с 73 разные типы и более 4150 правила обнаружения аномалий, содержащихся в папке «/ Etc / snort / rules.”
Вы можете посмотреть типы наборов правил в Snort, используя следующую команду:
[электронная почта защищена]: ~ $ ls / etc / snort / rlesатаки-ответы.правила сообщества-smtp.правила icmp.шеллкод правил.правила
черный ход.правила сообщества-sql-инъекция.правила imap.правила smtp.правила
плохое движение.правила сообщества-вируса.информация о правилах.правила snmp.правила
чат.правила сообщества-веб-атаки.правила местные.правила sql.правила
сообщество-бот.правила community-web-cgi.правила разное.правила telnet.правила
сообщество удалено.правила сообщество-веб-клиент.правила мультимедиа.правила tftp.правила
сообщество-дос.правила community-web-dos.правила MySQL.правила вирус.правила
сообщество-подвиг.правила community-web-iis.правила нетбиос.правила веб-атак.правила
сообщество-ftp.правила сообщества-веб-разное.правила nntp.правила web-cgi.правила
сообщество-игра.правила community-web-php.правила оракул.веб-клиент правил.правила
сообщество-icmp.правила ddos.правила other-ids.правила web-coldfusion.правила
сообщество-imap.правила удалены.правила p2p.главная страница правил.правила
неприемлемый для сообщества.правила DNS.политика правил.правила web-iis.правила
почтовый клиент сообщества.правила дос.правила pop2.правила веб-разное.правила
сообщество-разное.правила экспериментальные.правила pop3.правила web-php.правила
community-nntp.правила эксплуатируют.правила порно.правила x11.правила
сообщество-оракул.управляет пальцем.правила rpc.правила
общественная политика.правила ftp.правила rservices.правила
сообщество глоток.правила icmp-info.сканирование правил.правила
По умолчанию при запуске Фырканье в режиме системы обнаружения вторжений все эти правила развертываются автоматически. Давайте теперь проверим ICMP набор правил.
Сначала используйте следующую команду для запуска Фырканье в IDS Режим:
[электронная почта защищена]: ~ $ sudo snort -A console -i-c / и т.д. / snort / snort.conf
Вы увидите несколько выходов на экране, оставьте так.
Теперь вы должны пропинговать IP-адрес этого компьютера с другого компьютера, используя следующую команду:
[электронная почта защищена]: ~ $ pingОтправьте эхо-запрос пять-шесть раз, а затем вернитесь к своей машине, чтобы узнать, обнаруживает ли его Snort IDS или нет.
24.08 - 01:21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable FragmentationТребуется и установлен бит DF [**] [Классификация: Разное] [Приоритет: 3]
ICMP
24.08 - 01:21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Требуется и установлен бит DF [**] [Классификация: Разное] [Приоритет: 3]
ICMP
24.08 - 01:21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Требуется и установлен бит DF [**] [Классификация: Разное] [Приоритет: 3]
ICMP
24.08 - 01:21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Требуется и установлен бит DF [**] [Классификация: Разное] [Приоритет: 3]
ICMP
24.08 - 01:21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Требуется и установлен бит DF [**] [Классификация: Разное] [Приоритет: 3]
ICMP
24.08 - 01:21: 55.178653 [**] [1: 396: 6] ICMP Destination Unreachable Fragmentation
Требуется и установлен бит DF [**] [Классификация: Разное] [Приоритет: 3]
ICMP
Здесь мы получили предупреждение о том, что кто-то выполняет ping-сканирование. Он даже предоставил айпи адрес машины злоумышленника.
Теперь перейдем к IP адрес этого аппарата в браузере. В этом случае мы не увидим никаких предупреждений. Попробуйте подключиться к ftp сервер этой машины, использующий другую машину в качестве злоумышленника:
[электронная почта защищена]: ~ $ ftpМы по-прежнему не увидим никаких предупреждений, потому что эти наборы правил не добавлены в правила по умолчанию, и в этих случаях предупреждение не будет сгенерировано. Это когда вы должны создать свой собственный наборы правил. Вы можете создавать правила в соответствии с вашими потребностями и добавлять их в «/ Etc / snort / rules / local.правила" файл, а затем фырканье будет автоматически использовать эти правила при обнаружении аномалий.
Создание правила
Теперь мы создадим правило для обнаружения подозрительного пакета, отправленного на порт 80 чтобы в этом случае генерировалось предупреждение журнала:
# alert tcp any any -> $ HOME_NET 80 (msg: «HTTP-пакет найден»; sid: 10000001; rev: 1;)Написание правила состоит из двух основных частей:.е., Заголовок правила и параметры правила. Ниже приводится подробное описание только что написанного нами правила:
- Заголовок
- Тревога: Указанное действие, которое необходимо предпринять при обнаружении пакета, соответствующего описанию правила. Есть несколько других действий, которые могут быть указаны вместо предупреждения в соответствии с потребностями пользователя, i.е., войти, отклонить, активировать, отбросить, передать, так далее.
- TCP: Здесь мы должны указать протокол. Можно указать несколько типов протоколов, я.е., TCP, UDP, ICMP, так далее., в соответствии с потребностями пользователя.
- Любой: Здесь можно указать исходный сетевой интерфейс. Если любой указан, Snort проверит все исходные сети.
- ->: Направление; в этом случае он устанавливается от источника к месту назначения.
- $ HOME_NET: Место назначения айпи адрес указан. В этом случае мы используем тот, который настроен в / и т. д. / фырканье / фырканье.conf файл в начале.
- 80: Порт назначения, на котором мы ждем сетевой пакет.
- Параметры:
- Сообщение: Предупреждение, которое будет сгенерировано, или сообщение, которое будет отображаться в случае захвата пакета. В этом случае он установлен на «HTTP-пакет найден.”
- Сид: Используется для уникальной и систематической идентификации правил Snort. Первое 1000000 номера зарезервированы, поэтому вы можете начать с 1000001.
- Ред .: Используется для легкого обслуживания правил.
Мы добавим это правило в «/ Etc / snort / rules / local.правила" файл и посмотрите, может ли он обнаруживать HTTP-запросы на порту 80.
[email protected]: ~ $ echo «alert tcp any any -> $ HOME_NET 80 (msg:« HTTP-пакетнайдено "; sid: 10000001; rev: 1;)" >> / etc / snort / rules / local.правила
Мы все настроены. Теперь вы можете открыть Фырканье в IDS режим с помощью следующей команды:
[электронная почта защищена]: ~ $ sudo snort -A console -i wlxcc79cfd6acfc-c / и т.д. / snort / snort.conf
Перейдите к айпи адрес этой машины из браузера.
Фырканье теперь может обнаружить любой пакет, отправленный на порт 80, и отобразит предупреждение «HTTP-пакет найден » на экране, если это произойдет.
24.08 - 03:35: 22.979898 [**] [1: 10000001: 0] HTTP-пакет обнаружен [**][Приоритет: 0] TCP
24.08 - 03:35: 22.979898 [**] [1: 10000001: 0] HTTP-пакет обнаружен [**]
[Приоритет: 0] TCP
24.08 - 03:35: 22.979898 [**] [1: 10000001: 0] HTTP-пакет обнаружен [**]
[Приоритет: 0] TCP
24.08 - 03:35: 22.979898 [**] [1: 10000001: 0] HTTP-пакет обнаружен [**]
[Приоритет: 0] TCP
24.08 - 03:35: 22.979898 [**] [1: 10000001: 0] HTTP-пакет обнаружен [**]
[Приоритет: 0] TCP
24.08 - 03:35: 22.979898 [**] [1: 10000001: 0] HTTP-пакет обнаружен [**]
[Приоритет: 0] TCP
24.08 - 03:35: 22.979898 [**] [1: 10000001: 0] HTTP-пакет обнаружен [**]
[Приоритет: 0] TCP
Мы также создадим правило для обнаружения ftp попытки входа в систему:
# alert tcp any any -> any 21 (msg: "FTP-пакет найден"; sid: 10000002;)Добавьте это правило в "местный.правила" файл, используя следующую команду:
[электронная почта защищена]: ~ $ echo «alert tcp any any -> alert tcp any any -> any 21»(msg: «Найден FTP-пакет»; sid: 10000002; rev: 1;) »>> / etc / snort / rules / local.правила
Теперь попробуйте войти в систему с другой машины и посмотрите на результаты программы Snort.
24.08 - 03:35: 22.979898 [**] [1: 10000002: 0) Найден FTP-пакет [**] [Приоритет: 0]TCP
24.08 - 03:35: 22.979898 [**] [1: 10000002: 0) Найден FTP-пакет [**] [Приоритет: 0]
TCP
24.08 - 03:35: 22.979898 [**] [1: 10000002: 0) Найден FTP-пакет [**] [Приоритет: 0]
TCP
24.08 - 03:35: 22.979898 [**] [1: 10000002: 0) Найден FTP-пакет [**] [Приоритет: 0]
TCP
24.08 - 03:35: 22.979898 [**] [1: 10000002: 0) Найден FTP-пакет [**] [Приоритет: 0]
TCP
Как видно выше, мы получили предупреждение, что означает, что мы успешно создали эти правила для обнаружения аномалий на порту 21 год и порт 80.
Заключение
Системы обнаружения вторжений нравиться Фырканье используются для мониторинга сетевого трафика, чтобы определить, когда атака осуществляется злоумышленником, прежде чем она может нанести вред или повлиять на сеть. Если злоумышленник выполняет сканирование портов в сети, атака может быть обнаружена вместе с количеством сделанных попыток IP адрес и другие детали. Фырканье используется для обнаружения всех типов аномалий и поставляется с большим количеством уже настроенных правил, а также возможностью для пользователя писать свои собственные правила в соответствии с его или ее потребностями. В зависимости от размера сети, Фырканье можно легко настроить и использовать, не тратя ничего, по сравнению с другими платными коммерческими Системы обнаружения вторжений. Захваченные пакеты можно дополнительно проанализировать с помощью сниффера пакетов, такого как Wireshark, для анализа и разбивки того, что происходило в уме злоумышленника во время атаки, а также типов выполняемых сканирований или команд. Фырканье это бесплатный инструмент с открытым исходным кодом и простой в настройке инструмент, который может стать отличным выбором для защиты любой сети среднего размера от атак.
