IDS
Strona poświęcona tematyce bezpieczeństwa sieciowego systemów IDS, oraz innym zagadnieniom informatycznym
piątek, 6 sierpnia 2010
Snort pierwsze uruchomienie
Snort jest tak naprawdę prostym w obsłudze narzędziem zawierającym jednak wiele opcji w dostępnych w linii poleceń.
Snort może być skonfigurowany do pracy w 3 trybach:
-sniffera(Sniffer mode)
-rejestratora pakietów(Packet logger mode)
-NIDS (Network Intrusion Detection System) – Sieciowy system wykrywania włamań
-Inline mode
Tryb Sniffera
Wyświetlanie nagłówków pakietów Tcp na konsoli
snort –v
Wyświetlanie nagłówków pakietów IP i nagłówków TCP/UDP/ICMP
snort –vd
Aby dodatkowo wyświetlić nagłówki warsty łącza danych implikujemy –e
snort –vde
KOMENTARZ
Nie ma znaczenia jak zapisujemy przełączniki ,czyli
snort –vd oznacza to samo co ./snort –v –d
Tryb rejestratora pakietów
Jeśli chcemy zapisać pakiety na dysku wpisujemy
snort –dev –l
Np snort –dev –l /home/adam/logi
Z tym, że określony katalog musi istnieć inaczej snort zwróci błąd
Snort działając w tym trybie gromadzi logi w hierarchi katalogów w oparciu o adres ip jednego z komputerów w datagramie.
Przełącznik –h umożliwia nam określenie jakie adresy będą logowane podczas pracy snorta
Tzn. jaki jest adres naszej sieci.
snort -dev -l ./log -h 192.168.1.0/24
Dane przełapane przez snorta mają zostać zapisane do katalogu log. Logujemy pakiety dotyczące sieci klasy C 192.168.1.0 . Wszystkie przychodzące pakiety będą zapisywane w podkatalogach katalogu log z nazwami katalogów opartych o adres hosta zdalnego(nie 192.168.1.0
Jeśli natomiast źródło i miejsce przeznaczenia mają adres mieszczący się w adresie danej
Sieci to dane są rejestrowane w katalogu z nazwą w oparciu o wyższą z dwóch numerów portów lub w przypadku identycznych adresów portów decyduje adres źródłowy.
Logowanie w trybie binarnym w celu późniejszej analizy pakietów. Jest to Format zapisu tcpdump do jednego pliku binarnego w katalogu log
snort -l ./log –b
Jeśli w przyszłości chcemy odczytać zawartość logów z postaci binarnej tcpdump
Możemy wykorzystać przełącznik –r
snort -dv -r packet.log
Możemy również wykorzystać filtr BPF aby określić jakie pakiety chcemy przeglądać
I tak np. dla pakietów ICMP
snort -dvr packet.log icmp
Te w sumie podstawowe sposoby uruchomienia naszego systemu wykrywania włamań
dają nam już dość duże możliwości w konfiguracji snorta i ochrony naszej sieci.
Snort może być skonfigurowany do pracy w 3 trybach:
-sniffera(Sniffer mode)
-rejestratora pakietów(Packet logger mode)
-NIDS (Network Intrusion Detection System) – Sieciowy system wykrywania włamań
-Inline mode
Tryb Sniffera
Wyświetlanie nagłówków pakietów Tcp na konsoli
snort –v
Wyświetlanie nagłówków pakietów IP i nagłówków TCP/UDP/ICMP
snort –vd
Aby dodatkowo wyświetlić nagłówki warsty łącza danych implikujemy –e
snort –vde
KOMENTARZ
Nie ma znaczenia jak zapisujemy przełączniki ,czyli
snort –vd oznacza to samo co ./snort –v –d
Tryb rejestratora pakietów
Jeśli chcemy zapisać pakiety na dysku wpisujemy
snort –dev –l
Np snort –dev –l /home/adam/logi
Z tym, że określony katalog musi istnieć inaczej snort zwróci błąd
Snort działając w tym trybie gromadzi logi w hierarchi katalogów w oparciu o adres ip jednego z komputerów w datagramie.
Przełącznik –h umożliwia nam określenie jakie adresy będą logowane podczas pracy snorta
Tzn. jaki jest adres naszej sieci.
snort -dev -l ./log -h 192.168.1.0/24
Dane przełapane przez snorta mają zostać zapisane do katalogu log. Logujemy pakiety dotyczące sieci klasy C 192.168.1.0 . Wszystkie przychodzące pakiety będą zapisywane w podkatalogach katalogu log z nazwami katalogów opartych o adres hosta zdalnego(nie 192.168.1.0
Jeśli natomiast źródło i miejsce przeznaczenia mają adres mieszczący się w adresie danej
Sieci to dane są rejestrowane w katalogu z nazwą w oparciu o wyższą z dwóch numerów portów lub w przypadku identycznych adresów portów decyduje adres źródłowy.
Logowanie w trybie binarnym w celu późniejszej analizy pakietów. Jest to Format zapisu tcpdump do jednego pliku binarnego w katalogu log
snort -l ./log –b
Jeśli w przyszłości chcemy odczytać zawartość logów z postaci binarnej tcpdump
Możemy wykorzystać przełącznik –r
snort -dv -r packet.log
Możemy również wykorzystać filtr BPF aby określić jakie pakiety chcemy przeglądać
I tak np. dla pakietów ICMP
snort -dvr packet.log icmp
Te w sumie podstawowe sposoby uruchomienia naszego systemu wykrywania włamań
dają nam już dość duże możliwości w konfiguracji snorta i ochrony naszej sieci.
Darmowy IDS -- Snort Instalacja
Najtańszym sposobem stworzenia w naszej sieci
systemu wykrywania ataków będzie zainstalowanie
darmowego oprogramowania IDS
Wybór pada na Snorta z tegoż względu iż posiada
on bazę ciągle aktualizowanych reguł, które możemy
sami pobierać i wybierać, które chcemy używać.
Ewentualnie możemy tworzyć własne reguły.
Instalacja w systemie Ubuntu jest banalnie prosta
wystarczy wpisać
# sudo apt-get install snort
i mamy właściwie gotowy system IDS no oczywiście w wersji podstawowej
podczas będziemy musieli wybrać interfejs wykorzystywany przez usługę snorta
domyślnie eth0
Zwróć uwagę na :
var HOME_NET -- adres naszej sieci --
var DNS_SERVERS -- adres Dns w naszej sieci --
var DNS_SERVERS -- dns naszej sieci --
var SMTP_SERVERS -- serwer pocztowy --
var HTTP_SERVERS -- serwer http --
var SQL_SERVERS -- serwer bazy danych --
var RULE_PATH -- folder z modułami snorta --
include -- nazwa modułu --
dynamicpreprocessor directory --folder z bibliotekami--
systemu wykrywania ataków będzie zainstalowanie
darmowego oprogramowania IDS
Wybór pada na Snorta z tegoż względu iż posiada
on bazę ciągle aktualizowanych reguł, które możemy
sami pobierać i wybierać, które chcemy używać.
Ewentualnie możemy tworzyć własne reguły.
Instalacja w systemie Ubuntu jest banalnie prosta
wystarczy wpisać
# sudo apt-get install snort
i mamy właściwie gotowy system IDS no oczywiście w wersji podstawowej
podczas będziemy musieli wybrać interfejs wykorzystywany przez usługę snorta
domyślnie eth0
Po zakończeniu instalacji możemy edytować plik konfiguracyjny
snorta.#nano /etc/snort/snort.conf
Zwróć uwagę na :
var HOME_NET -- adres naszej sieci --
var DNS_SERVERS -- adres Dns w naszej sieci --
var DNS_SERVERS -- dns naszej sieci --
var SMTP_SERVERS -- serwer pocztowy --
var HTTP_SERVERS -- serwer http --
var SQL_SERVERS -- serwer bazy danych --
var RULE_PATH -- folder z modułami snorta --
include -- nazwa modułu --
dynamicpreprocessor directory --folder z bibliotekami--
możemy je oczywiście w każdej chwili zmienić.
wtorek, 3 sierpnia 2010
Gdzie najlepiej umieścić nasz system IDS
Jeśli chcemy żeby cały ruch był sprawdzany przez IDS’a musimy go wpiąć czy to w hub
razem z innymi interesujący nas maszynami. Możemy również wpiąć go w port mirroring
lub wykorzystać specjalnie TAP’y.
Właściwie można go wpinać jak zwykłego sniffera, bo przecież nim równeż jest.
O Snifferach napisze w innym moim poście :)
razem z innymi interesujący nas maszynami. Możemy również wpiąć go w port mirroring
lub wykorzystać specjalnie TAP’y.
Właściwie można go wpinać jak zwykłego sniffera, bo przecież nim równeż jest.
O Snifferach napisze w innym moim poście :)
Krótko o atakach. Przemyślenia.
Większość sensownych ataków w sieci zaczyna się od skanowania Jej w celu znalezienia
Otwartych portów w systemach i stwierdzenia jakie są na nich zainstalowane usługi.
Skanowanie sieci jest legalne bez konsekwencji dopóki dane nie zostaną użyte do kradzieży,
przechwytywania danych, poczty itp. Gdy nasz komputer jest skanowany to nie musi
świadczyć o zagrożeniu, ponieważ niektóre hosty ciągle skanują sprawdzając czy nie ma
jakichś wirusów na komputerach czy usług.
W naszej sieci ktoś ciągle skanuje.
(Ale czy na pewno wie że skanuje ? Zainfekowane komputery często skanują sieć w celu
znalezienia innych dziur(korzystając z własnej bazy dziur)
Rozwiązaniem może być zainstalowanie dodatkowego modułu w iptables, które będzie
pokazywać mu całkowicie inne porty jako otwarte a ukrywać te które są naprawde otwarte.
Napastnik poszukuje wtedy często błędów w aplikacjach rzekomo zainstalowanych na naszej
maszynie podczas gdy naprawde zainstalowane usługi pracują bezpiecznie.
Otwartych portów w systemach i stwierdzenia jakie są na nich zainstalowane usługi.
Skanowanie sieci jest legalne bez konsekwencji dopóki dane nie zostaną użyte do kradzieży,
przechwytywania danych, poczty itp. Gdy nasz komputer jest skanowany to nie musi
świadczyć o zagrożeniu, ponieważ niektóre hosty ciągle skanują sprawdzając czy nie ma
jakichś wirusów na komputerach czy usług.
W naszej sieci ktoś ciągle skanuje.
(Ale czy na pewno wie że skanuje ? Zainfekowane komputery często skanują sieć w celu
znalezienia innych dziur(korzystając z własnej bazy dziur)
Rozwiązaniem może być zainstalowanie dodatkowego modułu w iptables, które będzie
pokazywać mu całkowicie inne porty jako otwarte a ukrywać te które są naprawde otwarte.
Napastnik poszukuje wtedy często błędów w aplikacjach rzekomo zainstalowanych na naszej
maszynie podczas gdy naprawde zainstalowane usługi pracują bezpiecznie.
Po co nam IDS ?
W sieci nawet niewielkiej może być przesyłana duża ilość pakietów.
Samo logowanie wiąże nas z wieloma problemami często natury technicznej
Można sobie wyobrazić sieć w której ruch utrzymuje się na poziomie 2 MB/s.
Co przez 1 minutę daje nam 120 MB, głównym problemem z tym związanym jest brak
nośników dających nam możliwość zrzucania tak dużych ilości danych, co więcej duża ilość
logów uniemożliwia ich przeglądanie.
IDS mają wbudowane możliwość detekcji ataków lub potencjalnych ataków i wysyłaniu
informacji o tym do administratora oraz zapisywaniu ich w plikach
Samo logowanie wiąże nas z wieloma problemami często natury technicznej
Można sobie wyobrazić sieć w której ruch utrzymuje się na poziomie 2 MB/s.
Co przez 1 minutę daje nam 120 MB, głównym problemem z tym związanym jest brak
nośników dających nam możliwość zrzucania tak dużych ilości danych, co więcej duża ilość
logów uniemożliwia ich przeglądanie.
IDS mają wbudowane możliwość detekcji ataków lub potencjalnych ataków i wysyłaniu
informacji o tym do administratora oraz zapisywaniu ich w plikach
Subskrybuj:
Posty (Atom)