| |
| Міністерство оборони України |
| Військовий інститут телекомунікацій та інформатизації |
| |
| Кафедра № 22 |
| |
| |
| |
| Курсова робота |
| з дисципліни ,,Технології захисту інформації” |
| |
| Тема: Принципи побудови та використання технологій захисту інформації. |
| Варіант № 4 |
| |
| |
| |
| |
| Виконав: курсант 3801 навч. групи О.В. Шкляр |
| |
| Перевірив: доцент кафедри №22 |
| О.А.Успенський |
| |
| |
| |
| |
| |
| |
| Київ –2021 |
| |
Варіант завдання № 4.
Питання № 1. Провести дослідження “Аналіз поведінки користувача як спосіб виявлення КА”.
Питання № 2. Дослідити методики використання програми snort.
Аналіз поведінки користувача як спосіб виявлення КА
Загальні положення, принципи, термінологія.
На даний момент можна розділити всі системи на мережеві і локальні. Мережеві системи зазвичай встановлюються на виділених для цих цілей комп'ютерах і аналізують трафік, який циркулює в локальної обчислювальної мережі. Системні СОА розміщуються на окремих комп'ютерах, які потребують захисту, і аналізують різні події (дії користувача або програмні виклики). Також розрізняють методики виявлення аномального поведінки і виявлення злочинного поведінки користувачів.
Системи виявлення аномального поведінки (від англ. Anomaly detection) засновані на тому, що СОА відомі деякі ознаки, що характеризують правильне або допустимий поведінку об'єкта спостереження. Під «нормальним» або «правильним» поведінкою розуміються дії, що виконуються об'єктом і не суперечать політиці безпеки. Системи виявлення злочинного поведінки (misuse detection) засновані на тому, що заздалегідь відомі деякі ознаки, що характеризують поведінку зловмисника. Найбільш поширеною реалізацією технології виявлення злочинного поведінки є експертні системи. Представницьким західним аналогом такої системи є безкоштовно розповсюджується і найбільш популярна система Snort.
Системи пошуку аномалій ідентифікують незвичайна поведінка ( «аномалії») у функціонуванні контрольованого об'єкта. Як об'єкт спостереження може виступати мережу в цілому, окремий комп'ютер, мережева служба (наприклад, файловий сервер FTP), користувач і т.д. Сигналізація СОА спрацьовує за умови, що дії, вчинені під час нападу, відрізняються від «звичайної» (законної) діяльності користувачів і комп'ютерів. Заходи та методи, за допомогою яких традиційно у виявленні аномалії, включають використання:
порогових значень (спостереження за об'єктом виражаються у вигляді числових інтервалів);
статистичних заходів (рішення про наявність атаки робиться по великій кількості зібраних даних);
профілів (для виявлення атак на основі заданої політики безпеки будується спеціальний список легітимних дій «профіль нормальної системи»);
нейронних мереж, генетичних алгоритмів.
Відмінною рисою даних систем є необхідність їх навчання на «стандартне» поведінку контрольованого об'єкта (наприклад, корпоративної локальної мережі). Це ж є і основним недоліком всіх подібних методів, оскільки час навчання становить досить великий проміжок часу і весь цей час на контрольовані об'єкти не повинно бути вироблено жодної атаки.
У разі, якщо захищається интрасеть на етапі навчання відключається від інших мереж, то на етапі експлуатації система захисту буде класифікувати всі спроби легального взаємодії з зовнішніми мережами як атаки.
У разі створення СОА, що використовує профільні системи слід враховувати, що за різними дослідженнями, як мінімум, 15% користувачів комп'ютерних мереж не підлягають профілізації взагалі, а ще стільки ж мають тенденцію до швидкого зміни поведінки протягом обмеженого часу. Статичність існуючих профільних систем дозволяє говорити про це як про один з основних недоліків, явно заважають експлуатації СОА на базі контролю «профілів» користувачів.
У разі динамічної підстроювання і модифікації профілів необхідно знайти компроміс між кількістю ознак профілювання (чим їх менше, тим грубіше оцінюється поведінка контрольованого об'єкта) і швидкістю обробки (швидкість оцінки аномальність поведінки за профілем є експоненціальною функцією від кількості досліджуваних ознак). Крім того, велике число конфігураційних параметрів в цьому випадку неминуче вимагатимуть від адміністратора системи захисту високої кваліфікації в досить спеціалізованої області виявлення атак.
Такий підхід реалізований в деяких вітчизняних СОА. Дані розробки відносяться до класу системних СОА, їх екземпляри повинні експлуатуватися на кожному інформаційному ресурсі, який потребує захисту. Особливістю однієї з даних систем є використання процедур нечіткого пошуку. Для кожного з користувачів створюється свій індивідуальний профіль, при цьому поведінка, характерна для одного з користувачів, може вважатися незвичайним для іншого, і навпаки. Оскільки такі профілі важко формалізувати, вони створюються на основі прикладів нормальної роботи того чи іншого користувача.
Як показники активності користувачів обрані запуск і завершення додатків, а також перехід від одного активного застосування до іншого. Профілі створюються на основі прикладів нормальної роботи того чи іншого користувача. Для уявлення профілів розробниками були обрані нейронні мережі. За даними розробників, тестування системи показало, що ймовірність помилки першого роду становить 5-15%, помилки другого роду - 10-20%. При цьому до половини тестової вибірки складали вектора користувачів, які не брали участі в побудові навчальної вибірки, що говорить про хорошу навчальної спроможності нейронної мережі.
Загальна оцінка сучасного підходу до виявлення вторгнень
Більшість розглянутих недоліків сучасних СОА є недоліками, з якими може зіткнутися користувач в реальних комп'ютерних мережах. Велика частина зауважень про недоліки і ступеня ефективності розроблюваних методів і засобів відбувається з практики використання СОА в реальних корпоративних інтрамережі.
Існуючі підходи до вирішення завдань виявлення вторгнень часто відрізняються не тільки реалізацією методів виявлення, а й своєю архітектурою, рівнем деталізації та типами виявлення вторгнень. Природно, що у кожної системи є свої переваги і недоліки. Незважаючи на постійний розвиток застосовуваних при розробці СОА технологій, про легкість розгортання, експлуатації та модифікації систем виявлення вторгнень доведеться забути, всі існуючі розробки мають тенденцію лише до ускладнення. Технології злому постійно вдосконалюються, атаки стають комбінованими і поширюються з дуже великою швидкістю, тому до сучасних СОА висуваються дедалі жорсткіші і сильні вимоги. Очевидно, що для відповідності своєму завданню СОА повинні реалізовувати дві основні розглянуті вище технології, в тій чи іншій мірі взаємодоповнюють одне одного.
Якщо і розглядати СОА з точки зору методів виявлення атак, то, очевидно, це повинні бути системи, що включають в себе безліч модулів, що реалізують різні підходи - c урахуванням різних типових сегментів захищаються мереж. Перед більшістю СОА вже стоїть проблема підвищення швидкодії, так як сучасні комп'ютерні мережі стають все більш швидкими. У міру впровадження СОА в експлуатацію підвищуються вимоги до масштабованості і простоті управління системами виявлення. В майбутньому СОА, мабуть, розділяться на дві категорії, які будуть використовувати різні підходи для малих корпоративних мереж і для великих, складних за своєю топології комп'ютерних интрасетей територіально розподілених корпорацій.
Таким чином, вимоги та особливості сучасних комп'ютерних мереж, такі як підвищення надійності мереж, підвищення мобільності, ієрархічна структура мереж, різні вимоги до безпеки - все це накладає відбиток на технології та підходи, які повинні бути вже сьогодні реалізовані в системах виявлення атак.
Концепція виявлення комп'ютерних загроз, а не атак
При побудові сучасної системи виявлення вторгнень необхідно, перш за все, сформувати правильні погляди на інформаційні процеси, що проходять не тільки в комп'ютерній мережі, а й у всій інформаційній системі (ІС). Система виявлення комп'ютерних вторгнень і атак, по суті, є спеціалізованою системою обробки інформації, призначеної для надзвичайно швидкого аналізу величезного обсягу даних абсолютно різного виду. Для того щоб визначити найбільш точно критерії ефективності такої системи і оцінити параметри, які найбільш сильно впливають на швидкість і точність роботи, необхідно проаналізувати - якого роду дані будуть оброблятися в системі і яким чином це має відбуватися.
При цьому слід враховувати той факт, що система виявлення атак повинна функціонувати адекватно загрозам безпеки, характерним для розглянутих об'єктів інформаційної системи, тому вихідною позицією є виявлення переліку загроз, характерних для даної ІС.
На жаль, практично всі існуючі системи виявлення комп'ютерних атак позбавлені функціональності, що дозволяє пов'язувати ризики і загрози національній безпеці з відбуваються в мережевий і локальної обчислювальної середовищі подіями. В результаті такого одностороннього аналізу, коли до уваги беруться лише технічні параметри мережі, причому їх вельми обмежена кількість, страждає в першу чергу якість виявлення атак.
Більш того, користувач такої системи ніколи не отримає тієї інформації, заради якої ці системи експлуатуються - інформації про реалізацію загроз безпеки, яким схильна до захищається мережева і локальна інфраструктура.
При побудові сучасної системи виявлення вторгнень необхідно, перш за все, сформувати правильні погляди на інформаційні процеси, що проходять не тільки в комп'ютерній мережі, а й у всій інформаційній системі (ІС). Система виявлення комп'ютерних вторгнень і атак, по суті, є спеціалізованою системою обробки інформації, призначеної для надзвичайно швидкого аналізу величезного обсягу даних абсолютно різного виду. Для того щоб визначити найбільш точно критерії ефективності такої системи і оцінити параметри, які найбільш сильно впливають на швидкість і точність роботи, необхідно проаналізувати - якого роду дані будуть оброблятися в системі і яким чином це має відбуватися.
При цьому слід враховувати той факт, що система виявлення атак повинна функціонувати адекватно загрозам безпеки, характерним для розглянутих об'єктів інформаційної системи, тому вихідною позицією є виявлення переліку загроз, характерних для даної ІС.
На жаль, практично всі існуючі системи виявлення комп'ютерних атак позбавлені функціональності, що дозволяє пов'язувати ризики і загрози національній безпеці з відбуваються в мережевий і локальної обчислювальної середовищі подіями. В результаті такого одностороннього аналізу, коли до уваги беруться лише технічні параметри мережі, причому їх вельми обмежена кількість, страждає в першу чергу якість виявлення атак.
Більш того, користувач такої системи ніколи не отримає тієї інформації, заради якої ці системи експлуатуються - інформації про реалізацію загроз безпеки, яким схильна до захищається мережева і локальна інфраструктура.
Застосування методів статистичного аналізу є найбільш поширеним видом реалізації технології виявлення аномального поведінки. Статистичні датчики збирають різну інформацію про типову поведінку об'єкта і формують її у вигляді профілю. Профіль в даному випадку - це набір параметрів що характеризують типова поведінка об'єкта. Існує період початкового формування профілю. Профіль формується на основі статистики об'єкта, і для цього можуть застосовуватися стандартні методи математичної статистики, наприклад метод ковзних вікон і метод зважених сум.
Після того як профіль сформований, дії об'єкта порівнюються з відповідними параметрами і при виявленні істотних відхилень подається сигнал про початок атаки. Параметри, які включаються в профіль системи, можуть бути віднесені до наступних поширеним групам:
числові параметри (кількість переданих даних по різних протоколах, завантаження центрального процесора, кількість файлів, до яких Ви отримували доступ і т.п.);
категоріальні параметри (імена файлів, команди користувача, відкриті порти і т.д.);
не вписується в класифікацію нарівні з попередніми типами параметрів.
Профілі також повинні мати механізми динамічного зміни, для того щоб більш повно описувати змінюється поведінка об'єкта. Системи, які застосовують статистичні методи, мають цілу низку переваг:
не вимагають постійного оновлення бази сигнатур атак. Це значно полегшує завдання супроводу даних систем;
можуть виявляти невідомі атаки, сигнатури для яких ще не написані. Можуть бути своєрідним стримуючим буфером, поки не буде розроблений відповідний шаблон для експертних систем;
дозволяють виявляти більш складні атаки, ніж інші методи. Вони можуть виявляти атаки, розподілені в часі або по об'єктам нападу;
можуть адаптуватися до зміни поведінки користувача і тому є більш чутливими до спроб вторгнення, ніж люди.
Серед недоліків систем виявлення вторгнень можна відзначити наступні:
трудність завдання порогового значення (вибір цих значень - дуже нетривіальне завдання, яке вимагає глибоких знань контрольованої системи);
зловмисник може обдурити систему виявлення атак, і вона сприйме діяльність, відповідну атаку, в якості нормальної через поступової зміни режиму роботи з плином часу і «приручення» системи до нової поведінки;
в статистичних методах ймовірність отримання хибних повідомлень про атаку є набагато вищою, ніж при інших методах;
статистичні методи не дуже коректно обробляють зміни в діяльності користувача (наприклад, коли менеджер виконує обов'язки підлеглого в критичній ситуації). Цей недолік може становити велику проблему в організаціях, де зміни є частими. В результаті можуть з'явитися як помилкові повідомлення про небезпеку, так і негативні неправдиві повідомлення (пропущені атаки);
статистичні методи не здатні виявити атаки з боку суб'єктів, для яких неможливо описати шаблон типової поведінки;
системи, побудовані виключно на статистичних методах, не справляються з виявленням атак з боку суб'єктів, які з самого початку виконують несанкціоновані дії. Таким чином, шаблон звичайного поведінки для них буде включати тільки атаки;
статистичні методи повинні бути попередньо налаштовані (задані порогові значення для кожного параметра, для кожного користувача);
статистичні методи на основі профілю нечутливі до порядку проходження подій.
Проте, існують шляхи вирішення даних проблем, і їх практична реалізація є лише питанням часу. Очевидно, що статистичний метод є чистою реалізацією технології аномального поведінки. Статистичний метод успадковує у технології виявлення аномалій все так необхідні на практиці переваги.
Аналіз відомих прикладів.
Системи пошуку аномалій ідентифікують незвичайна поведінка ( «аномалії») у функціонуванні контрольованого об'єкта. Як об'єкт спостереження може виступати мережу в цілому, окремий комп'ютер, мережева служба (наприклад, файловий сервер FTP), користувач і т.д. Сигналізація СОА спрацьовує за умови, що дії, вчинені під час нападу, відрізняються від «звичайної» (законної) діяльності користувачів і комп'ютерів. Заходи та методи, за допомогою яких традиційно у виявленні аномалії, включають використання:
порогових значень (спостереження за об'єктом виражаються у вигляді числових інтервалів);
статистичних заходів (рішення про наявність атаки робиться по великій кількості зібраних даних);
профілів (для виявлення атак на основі заданої політики безпеки будується спеціальний список легітимних дій «профіль нормальної системи»);
нейронних мереж, генетичних алгоритмів.
Відмінною рисою даних систем є необхідність їх навчання на «стандартне» поведінку контрольованого об'єкта (наприклад, корпоративної локальної мережі). Це ж є і основним недоліком всіх подібних методів, оскільки час навчання становить досить великий проміжок часу і весь цей час на контрольовані об'єкти не повинно бути вироблено жодної атаки.
У разі, якщо захищається интрасеть на етапі навчання відключається від інших мереж, то на етапі експлуатації система захисту буде класифікувати всі спроби легального взаємодії з зовнішніми мережами як атаки.
У разі створення СОА, що використовує профільні системи слід враховувати, що за різними дослідженнями, як мінімум, 15% користувачів комп'ютерних мереж не підлягають профілізації взагалі, а ще стільки ж мають тенденцію до швидкого зміни поведінки протягом обмеженого часу. Статичність існуючих профільних систем дозволяє говорити про це як про один з основних недоліків, явно заважають експлуатації СОА на базі контролю «профілів» користувачів.
У разі динамічної підстроювання і модифікації профілів необхідно знайти компроміс між кількістю ознак профілювання (чим їх менше, тим грубіше оцінюється поведінка контрольованого об'єкта) і швидкістю обробки (швидкість оцінки аномальність поведінки за профілем є експоненціальною функцією від кількості досліджуваних ознак). Крім того, велике число конфігураційних параметрів в цьому випадку неминуче вимагатимуть від адміністратора системи захисту високої кваліфікації в досить спеціалізованої області виявлення атак.
Такий підхід реалізований в деяких вітчизняних СОА. Дані розробки відносяться до класу системних СОА, їх екземпляри повинні експлуатуватися на кожному інформаційному ресурсі, який потребує захисту. Особливістю однієї з даних систем є використання процедур нечіткого пошуку. Для кожного з користувачів створюється свій індивідуальний профіль, при цьому поведінка, характерна для одного з користувачів, може вважатися незвичайним для іншого, і навпаки. Оскільки такі профілі важко формалізувати, вони створюються на основі прикладів нормальної роботи того чи іншого користувача.
Як показники активності користувачів обрані запуск і завершення додатків, а також перехід від одного активного застосування до іншого. Профілі створюються на основі прикладів нормальної роботи того чи іншого користувача. Для уявлення профілів розробниками були обрані нейронні мережі. За даними розробників, тестування системи показало, що ймовірність помилки першого роду становить 5-15%, помилки другого роду - 10-20%. При цьому до половини тестової вибірки складали вектора користувачів, які не брали участі в побудові навчальної вибірки, що говорить про хорошу навчальної спроможності нейронної мережі.
Недосконалість сучасних СОА.
Большинство рассмотренных недостатков современных СОА являются недостатками, с которыми может столкнуться пользователь в реальных компьютерных сетях. Большая часть замечаний о недостатках и степени эффективности разрабатываемых методов и средств происходит из практики использования СОА в реальных корпоративных интрасетях.
Существующие подходы к решению задач обнаружения вторжений зачастую отличаются не только реализацией методов обнаружения, но и своей архитектурой, уровнем детализации и типами обнаружения вторжений. Естественно, что у каждой системы есть свои достоинства и недостатки. Несмотря на постоянное развитие применяемых при разработке СОА технологий, о легкости развертывания, эксплуатации и модификации систем обнаружения вторжений придется забыть, все существующие разработки имеют тенденцию лишь к усложнению. Технологии взлома постоянно совершенствуются, атаки становятся комбинированными и распространяются с очень большой скоростью, поэтому к современным СОА выдвигаются все более жесткие и сильные требования. Очевидно, что для соответствия своей задаче СОА должны реализовывать две основные рассмотренные выше технологии, в той или иной степени взаимодополняющие друг друга.
Если рассматривать СОА с точки зрения методов обнаружения атак, то, очевидно, это должны быть системы, включающие в себя множество модулей, реализующих различные подходы — c учетом различных типовых сегментов защищаемых сетей. Перед большинством СОА уже стоит проблема повышения быстродействия, так как современные компьютерные сети становятся все более быстрыми. По мере внедрения СОА в эксплуатацию повышаются требования к масштабируемости и простоте управления системами обнаружения. В будущем СОА, видимо, разделятся на две категории, которые будут использовать различные подходы для малых корпоративных сетей и для больших, сложных по своей топологии компьютерных интрасетей территориально распределенных корпораций.
Таким образом, требования и особенности современных компьютерных сетей, такие как повышение надежности сетей, повышение мобильности, иерархическая структура сетей, различные требования к безопасности — все это накладывает отпечаток на технологии и подходы, которые должны быть уже сегодня реализованы в системах обнаружения атак.
Утиліта snort
2.1.Призначення та використання snort
Snort – облегченная система обнаружения вторжения . Snort обычно называют “обгегченным” NIDS, - потому что это он разработан прежде всего для маленьких сетей. Программа может исполнять анализ протокола и может использоваться, чтобы обнаружить разнообразные нападения и исследовать проблемы, типа переполнения буфера, скрытых просмотров порта, CGI нападения, попыток определения OS и т.п. Snort использует 'правила' (указанные в файлах 'правила'), чтобы знать какой трафик пропустить а какой задержать. Инструмент гибок, позволяя вам записывать новые правила и соблюдать их . Программа также имеет ' механизм обнаружения ', который использует модульную сменную архитектуру, посредством чего определенные дополнения к программе могут быть добавлены или удалены из ' механизма обнаружения'.
Snort может работать в трех режимах:
1. Как пакетный снифер, подобно tcpdump
2. Как регистратор пакета
3. Как развитая система обнаружения вторжения
В этой статье мы подробно расскажем о инсталляции Snort, его архитектуре, научимся создавать правила и управлять ими.
Платформа:
Linux 2.2.* ,
Snort 1.7
Sparc: SunOS 4.1.x, Solaris, Linux, and OpenBSD
x86: Linux, OpenBSD, FreeBSD, NetBSD, and Solaris
M68k/PPC: Linux, OpenBSD, NetBSD, Mac OS X Server
Требования:
Tcpdump
Libpcap (Snort основан на библиотеке libpcap, обычно используемой в большинстве TCP/IP сниферов и анализаторов)
2.2. Детальний опис методики використання засобу.
Компилирование и Установка SNORT
Основной сайт для Snort - http://www.snort.org. Snort распространяется согласно лицензии GNU GPL автором Мартином Роешом. После загрузки архива, разархивируем его в каталог snort-1.7:
root @lord]# tar -zxvf snort-1.7.tar.gz
После загрузки libpcap, разархивируйте его подобным образом. Войдите в каталог libpacp, и выполните следующие шаги:
root @lord]# ./configure root @lord]# make
Теперь, мы компилируем Snort. Войдите в каталог, в котором находится Snort, и выполните следующие команду:
root @lord]# ./configure --with-libpcap-includes=/path/to/libpcap/ {* in my case it was : root@lord ./configure --with-libpcap-includes=/home/dood/libpcap }
root @lord]# make root @lord]# make install
Snort теперь установлен на вашей машине.
Создайте директорию, в которой Snort будет хранить файлы регистрации:
root @lord]#mkdir /var/log/snort
И как всегда, выполните:
root @lord]# whereis snort
чтобы подтвердить, где установлен Snort.
Основы структуры Snort
Архитектура Snort состоит из трех основных компонентов, которые могут быть описаны как:
1. Дешифратор пакетов : готовит перехваченные пакеты в форму типа данных, которые затем могут быть обработаны механизмом обнаружения. Дешифратор пакетов может регистрировать Ethernet, SLIP и PPP пакеты.
2. Механизм Обнаружения : анализирует и обрабатывает пакеты, поданные к нему “Дешифратором”, основываясь на правилах Snort. Сменные модули могут быть включены в механизм обнаружения, чтобы увеличить функциональные возможности Snort.
3. Logger/Alerter: Регистратор позволяет вам регистрировать информацию, собранную дешифратором пакетов в удобочитаемом формате. По умолчанию файлы регистрации сохранены в каталоге :/var/log/Snort.
Механизм предупреждения посылает предупреждения к syslog, файлу, Unix sockets или базе данных. По умолчанию, все предупреждения сохранены в файле: /var/log/Snort/alerts.
Использование SNORT и его режимы
В этом разделе мы обсудим концепции и команды SNORT в подробностях. Начнем с простой команды, которая отображает все ключи программы:
root@lord snort -?
Команда выдаст следующее:
-*> Snort! <*-
Version 1.7
By Martin Roesch (roesch@clark.net, www.snort.org)
USAGE: snort [-options]
Options:
-A Set alert mode: fast, full, or none (alert file alerts only)
'unsock' enables UNIX socket logging (experimental).
-a Display ARP packets
-b Log packets in tcpdump format (much faster!)
-c Use Rules File
-C Print out payloads with character data only (no hex)
-d Dump the Application Layer
-D Run Snort in background (daemon) mode
-e Display the second layer header info
-F Read BPF filters from file
-g Run snort gid as 'gname' user or uid after initialization
-h Home network =
-i Listen on interface
-l Log to directory
-n Exit after receiving packets
-N Turn off logging (alerts still work)
-o Change the rule testing order to Pass|Alert|Log
-O Obfuscate the logged IP addresses
-p Disable promiscuous mode sniffing
-P set explicit snaplen [sp? -ed.] of packet (default: 1514)
-q Quiet. Don't show banner and status report
-r Read and process tcpdump file
-s Log alert messages to syslog
-S<="" pre="" user="" value="" version="" file="" variable="" n="" equal="" in="" v="" -t="" chroots="" process="" to="" -u="" run="" snort="" uid="" ?uname?="" (or="" uid)="" after="" initialization="" -v="" be="" verbose="" >
Как уже говорилось, SNORT выполняется в трех различных режимах:
1. Режим пакетного снифера : Когда Snort работает в этом режиме, он читает и дешифрует все сетевые пакеты и формирует дамп к stdout (ваш экран).
Для перевода Snort в режим сниффера используйте ключ –v:
root @lord]# ./snort –v
Примечание: В этом режиме он показывает только заголовки пакетов.
Для просмотра заголовка + содержания пакета выполните:
root @lord]# ./snort -X
2. Режим регистрации пакетов : Этот режим записывает пакеты на диск и декодирует их в ASCII формат.
root @lord]# Snort -l < directory to log packets to >
2. Режим обнаружения вторжения :
Сигнальные данные регистрируются механизмом обнаружения (по умолчанию файл называемый " alert" в каталоге регистрации, но можно через syslog, Winpop сообщения и т.д.) Каталог регистрации по умолчанию -/var/log/snort , может быть изменен, используя ключ "-l".
Теперь рассмотрим типичную команду Snort для анализа пакета:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24
Здесь, мы рассматриваем подсеть класса C в пределах от 192.168.3.0-192.168.3.255 (маска подсети: 255.255.255.0). Сделаем подробный разбор вышеупомянутой команды, чтобы понять, что она означает:
'-v ' : посылает подробный ответ на вашу консоль.
'-d ': формирует дамп декодированных данных прикладного уровня
'-e ': показывает декодированные Ethernet заголовки.
'-i ': определяет интерфейс, который будет проверен для анализа пакета.
'-h ': определяет сеть, которой нужно управлять
В следующем примере мы заставим Snort генерировать предупреждения:
Режимы предупреждения Snort состоят из трех основных групп (можно задавать свои):
a. Быстрый: записывает предупреждения в файл 'alert' в одну строку, так же как и в syslog.
b. Полный: записывает предупреждения в файл 'alert' c полным декодированным заголовком.
c. None: - не выдает предупреждения.
Команда тогда изменится на следующую:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast
Чтобы посылать аварийные сообщения syslog, используйте ключ '-s' вместо этого. Предупреждения появятся в /var/log/secure или /var/log/messages :
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -s
До сих пор все перехваченные и проанализированные пакеты показывались на вашем экране. Если вы хотите, чтобы Snort записывал их в ваш файл регистрации, вы должны использовать опцию "-l" и указать имя директории для записи логов (например /var/log/snort ):
root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort
Чтобы регистрировать пакеты в формате tcpdump и производить минимальные предупреждения, используйте ключ '-b ':
root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort
В вышеупомянутых командах, Snort регистрирует все пакеты в вашем сегменте сети. Если вы хотите регистрировать только некоторые типы пакетов в зависимости от правил, используете ключ '-c '.
root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l /var/log/snort -c /snort-rule-file.