Diferència entre revisions de la pàgina «Snort Basics»

De Wiki IES Marianao. Departament Informàtica
Dreceres ràpides: navegació, cerca
(Regles)
(Detecció Escaneig de Ports)
 
(Hi ha 20 revisions intermèdies del mateix usuari que no es mostren)
Línia 1: Línia 1:
UF2-NF1._Atacs_i_contramesures_en_sistemes_personals#Eines_preventives_i_pal.C2.B7liatives
+
[[ UF2-NF1._Seguretat_en_la_xarxa_corporativa#Monitoratge_del_tr.C3.A0fic_en_xarxes ]]
  
  
 
== Snort (Open Source Network Intrussion System) ==
 
== Snort (Open Source Network Intrussion System) ==
  
 
+
Funciona de vàries maneres:
Funciona 3 modes:
+
* Sniffer, informació en temps real (-v verbose)
* Sniffer
+
* Logger, registra la informació per analitzar-la posteriorment. En mode daemon, desant el log (opció ''-l /var/log/snort/'')
* Logger
+
* IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '''/var/log/snort/alert''. Pot treballar en 3 modes (http://manual.snort.org/node3.html)
* IDS (IPS)
+
** inline (IPS, Intrusion Protection System), opció -Q. Permet llençar regles DROP per tallar tràfic sospitós
 +
** Passive (IDS), només detecta no afecta el tràfec
 +
** Inline-Test, simula ''inline''.
  
  
Línia 18: Línia 20:
 
#snort --help
 
#snort --help
  
#snort -q -v -i eth0  // -q quiet, -v verbose, -i interface
+
#snort -v -q -e -i eth0  // -v verbose, -q quiet, -i interface, informació enllaç. '''Mode sniffer'''
 +
 
 +
#snort -v -d -i eth0 src host 192.168.0.100 and icmp // -d mostra informació aplicació. Filtre tipus tcpdump
 +
 
 +
#snort -v -i eth0 -l /var/log/snort/  -b // '''Mode log''', en binari
  
#snort -q -A console -i eth0 -c /etc/snort/snort.conf  // -A tipus d'alertas 'fast', 'full', 'console', 'test', 'none'
+
#snort -v -r /var/log/snort/snort.log.1320603160  // Lectura del log
 +
 
 +
#snort -q -A console -i eth0 -c /etc/snort/snort.conf  // Utilitza regles del fitxer. -A tipus d'alertas 'fast' (info simple), 'full' (info completa), 'console'(per pantalla), 'none'.
 
</pre>
 
</pre>
 
  
 
=== Configuració ===
 
=== Configuració ===
  
 +
<pre>
 
/etc/snort/snort.conf
 
/etc/snort/snort.conf
 
/etc/snort/rules/*
 
/etc/snort/rules/*
 
/etc/snort/classification.config    # Classificació i priorització de les regles
 
/etc/snort/classification.config    # Classificació i priorització de les regles
 
+
</pre>
  
 
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són
 
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són
  
var HOME_NET 192.168.1.1
+
var HOME_NET 192.168.0.0/24
 
 
var EXTERNAL_NET 192.168.0.2
 
  
 +
var EXTERNAL_NET any
  
 
=== Regles ===
 
=== Regles ===
Línia 43: Línia 50:
  
  
El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat
+
El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat (http://www.bleedingsnort.com)
  
http://www.bleedingsnort.com
 
  
 +
http://manual.snort.org/node291.html
  
 +
Estructura d'una regla:
 +
*Capçalera
 +
** Acció (alert, log, pass...)
 +
** Protocol
 +
** Origen -> Destí
 +
*Opcions
 +
** Missatge
 +
** Atributs de paquet (mida, flags...)
  
http://www.wikilearning.com/tutorial/taller_de_sistemas_de_deteccion_de_intrusiones_snort/4735-7
 
  
 +
<pre>
 +
Per exemple
 +
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;)
 +
</pre>
  
  
==== Escaneig de Ports ====
+
==== Detecció Escaneig de Ports ====
  
 
Al fitxer
 
Al fitxer
Línia 65: Línia 83:
  
  
 +
Regles SNORT VRT (De pagament)
  
 +
http://www.snort.org/vrt
  
 +
 +
Regles de la comunitat
 +
 +
http://rules.emergingthreats.net/
 +
 +
http://www.bleedingsnort.com/general-security/using-bleedingsnort-rules-for-the-impatient/
 +
 +
 +
Plugin per bloquejar IP's http://www.snortsam.net/
  
  
Línia 74: Línia 103:
  
  
Altres: http://tomahawk.sourceforge.net/, sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html), scapy
+
Altres:
  
http://jessland.net/JISK/IDS_IPS/Network/Testing.php
+
http://tomahawk.sourceforge.net/,
 +
 
 +
sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html),
 +
 
 +
scapy  http://jessland.net/JISK/IDS_IPS/Network/Testing.php
 +
 
 +
 
 +
 
 +
<pre>
 +
#!/bin/sh
 +
# eth0 dhcp WAN
 +
# eth1 LAN 192.168.200.1 /24
 +
 
 +
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
 +
 
 +
# FLUSH
 +
iptables -F
 +
iptables -X
 +
iptables -Z
 +
iptables -t nat -F
 +
 
 +
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
 +
</pre>

Revisió de 17:56, 11 des 2014

UF2-NF1._Seguretat_en_la_xarxa_corporativa#Monitoratge_del_tr.C3.A0fic_en_xarxes


Snort (Open Source Network Intrussion System)

Funciona de vàries maneres:

  • Sniffer, informació en temps real (-v verbose)
  • Logger, registra la informació per analitzar-la posteriorment. En mode daemon, desant el log (opció -l /var/log/snort/)
  • IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '/var/log/snort/alert. Pot treballar en 3 modes (http://manual.snort.org/node3.html)
    • inline (IPS, Intrusion Protection System), opció -Q. Permet llençar regles DROP per tallar tràfic sospitós
    • Passive (IDS), només detecta no afecta el tràfec
    • Inline-Test, simula inline.


Command Line

Execució des de línia de comanda (Sniffer). Funcionament semblant tcpdump 

#snort --help

#snort -v -q -e -i eth0   // -v verbose, -q quiet, -i interface, informació enllaç. '''Mode sniffer''' 

#snort -v -d -i eth0 src host 192.168.0.100 and icmp // -d mostra informació aplicació. Filtre tipus tcpdump

#snort -v -i eth0 -l /var/log/snort/  -b // '''Mode log''', en binari

#snort -v -r /var/log/snort/snort.log.1320603160  // Lectura del log

#snort -q -A console -i eth0 -c /etc/snort/snort.conf  // Utilitza regles del fitxer. -A tipus d'alertas 'fast' (info simple), 'full' (info completa), 'console'(per pantalla),  'none'.

Configuració

/etc/snort/snort.conf
/etc/snort/rules/*
/etc/snort/classification.config    # Classificació i priorització de les regles

Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són

var HOME_NET 192.168.0.0/24

var EXTERNAL_NET any

Regles

Les regles es codifiquen amb signatures.


El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat (http://www.bleedingsnort.com)


http://manual.snort.org/node291.html

Estructura d'una regla:

  • Capçalera
    • Acció (alert, log, pass...)
    • Protocol
    • Origen -> Destí
  • Opcions
    • Missatge
    • Atributs de paquet (mida, flags...)


Per exemple
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;)


Detecció Escaneig de Ports

Al fitxer include /etc/snort/rules/scan.rules


Per exemple 

$nmap -sV -sT -p T:80 192.168.1.1


Regles SNORT VRT (De pagament)

http://www.snort.org/vrt


Regles de la comunitat

http://rules.emergingthreats.net/

http://www.bleedingsnort.com/general-security/using-bleedingsnort-rules-for-the-impatient/


Plugin per bloquejar IP's http://www.snortsam.net/


Utilitzar snort i Firewall Tester http://www.inversepath.com/ftester.html

http://www.howtoforge.com/test_your_linux_firewall_with_ftester


Altres:

http://tomahawk.sourceforge.net/,

sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html),

scapy http://jessland.net/JISK/IDS_IPS/Network/Testing.php 


#!/bin/sh
# eth0 dhcp WAN
# eth1 LAN 192.168.200.1 /24

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

# FLUSH
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=Snort_Basics&oldid=1667»