Diferència entre revisions de la pàgina «Snort Basics»
De Wiki IES Marianao. Departament Informàtica
(→Snort (Open Source Network Intrussion System)) |
(→Detecció Escaneig de Ports) |
||
| (Hi ha 7 revisions intermèdies del mateix usuari que no es mostren) | |||
| Línia 7: | Línia 7: | ||
* Sniffer, informació en temps real (-v verbose) | * Sniffer, informació en temps real (-v verbose) | ||
* Logger, registra la informació per analitzar-la posteriorment. En mode daemon, desant el log (opció ''-l /var/log/snort/'') | * Logger, registra la informació per analitzar-la posteriorment. En mode daemon, desant el log (opció ''-l /var/log/snort/'') | ||
| − | * IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '''/var/log/snort/alert''. Pot treballar en 3 modes (http://manual.snort.org/ | + | * IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '''/var/log/snort/alert''. Pot treballar en 3 modes (http://manual.snort.org/node3.html) |
** inline (IPS, Intrusion Protection System), opció -Q. Permet llençar regles DROP per tallar tràfic sospitós | ** inline (IPS, Intrusion Protection System), opció -Q. Permet llençar regles DROP per tallar tràfic sospitós | ||
** Passive (IDS), només detecta no afecta el tràfec | ** Passive (IDS), només detecta no afecta el tràfec | ||
| Línia 41: | Línia 41: | ||
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són | Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són | ||
| − | var HOME_NET 192.168. | + | var HOME_NET 192.168.0.0/24 |
| − | var EXTERNAL_NET | + | var EXTERNAL_NET any |
=== Regles === | === Regles === | ||
| Línia 50: | Línia 50: | ||
| − | El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat | + | El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat (http://www.bleedingsnort.com) |
| − | |||
| + | http://manual.snort.org/node291.html | ||
Estructura d'una regla: | Estructura d'una regla: | ||
| Línia 83: | Línia 83: | ||
| + | Regles SNORT VRT (De pagament) | ||
| + | http://www.snort.org/vrt | ||
| + | |||
| + | Regles de la comunitat | ||
| + | |||
| + | http://rules.emergingthreats.net/ | ||
| + | |||
| + | http://www.bleedingsnort.com/general-security/using-bleedingsnort-rules-for-the-impatient/ | ||
| + | |||
| + | |||
| + | Plugin per bloquejar IP's http://www.snortsam.net/ | ||
| Línia 92: | Línia 103: | ||
| − | Altres: http://tomahawk.sourceforge.net/, sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html), | + | Altres: |
| + | |||
| + | http://tomahawk.sourceforge.net/, | ||
| + | |||
| + | sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html), | ||
| − | http://jessland.net/JISK/IDS_IPS/Network/Testing.php | + | scapy http://jessland.net/JISK/IDS_IPS/Network/Testing.php |
| + | |||
| + | |||
| + | |||
| + | <pre> | ||
| + | #!/bin/sh | ||
| + | # eth0 dhcp WAN | ||
| + | # eth1 LAN 192.168.200.1 /24 | ||
| + | |||
| + | sudo echo 1 > /proc/sys/net/ipv4/ip_forward | ||
| + | |||
| + | # FLUSH | ||
| + | iptables -F | ||
| + | iptables -X | ||
| + | iptables -Z | ||
| + | iptables -t nat -F | ||
| + | |||
| + | iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE | ||
| + | </pre> | ||
Revisió de 17:56, 11 des 2014
UF2-NF1._Seguretat_en_la_xarxa_corporativa#Monitoratge_del_tr.C3.A0fic_en_xarxes
Contingut
Snort (Open Source Network Intrussion System)
Funciona de vàries maneres:
- Sniffer, informació en temps real (-v verbose)
- Logger, registra la informació per analitzar-la posteriorment. En mode daemon, desant el log (opció -l /var/log/snort/)
- IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '/var/log/snort/alert. Pot treballar en 3 modes (http://manual.snort.org/node3.html)
- inline (IPS, Intrusion Protection System), opció -Q. Permet llençar regles DROP per tallar tràfic sospitós
- Passive (IDS), només detecta no afecta el tràfec
- Inline-Test, simula inline.
Command Line
Execució des de línia de comanda (Sniffer). Funcionament semblant tcpdump
#snort --help #snort -v -q -e -i eth0 // -v verbose, -q quiet, -i interface, informació enllaç. '''Mode sniffer''' #snort -v -d -i eth0 src host 192.168.0.100 and icmp // -d mostra informació aplicació. Filtre tipus tcpdump #snort -v -i eth0 -l /var/log/snort/ -b // '''Mode log''', en binari #snort -v -r /var/log/snort/snort.log.1320603160 // Lectura del log #snort -q -A console -i eth0 -c /etc/snort/snort.conf // Utilitza regles del fitxer. -A tipus d'alertas 'fast' (info simple), 'full' (info completa), 'console'(per pantalla), 'none'.
Configuració
/etc/snort/snort.conf /etc/snort/rules/* /etc/snort/classification.config # Classificació i priorització de les regles
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són
var HOME_NET 192.168.0.0/24
var EXTERNAL_NET any
Regles
Les regles es codifiquen amb signatures.
El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat (http://www.bleedingsnort.com)
http://manual.snort.org/node291.html
Estructura d'una regla:
- Capçalera
- Acció (alert, log, pass...)
- Protocol
- Origen -> Destí
- Opcions
- Missatge
- Atributs de paquet (mida, flags...)
Per exemple alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;)
Detecció Escaneig de Ports
Al fitxer include /etc/snort/rules/scan.rules
Per exemple
$nmap -sV -sT -p T:80 192.168.1.1
Regles SNORT VRT (De pagament)
Regles de la comunitat
http://rules.emergingthreats.net/
http://www.bleedingsnort.com/general-security/using-bleedingsnort-rules-for-the-impatient/
Plugin per bloquejar IP's http://www.snortsam.net/
Utilitzar snort i Firewall Tester http://www.inversepath.com/ftester.html
http://www.howtoforge.com/test_your_linux_firewall_with_ftester
Altres:
http://tomahawk.sourceforge.net/,
sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html),
scapy http://jessland.net/JISK/IDS_IPS/Network/Testing.php
#!/bin/sh # eth0 dhcp WAN # eth1 LAN 192.168.200.1 /24 sudo echo 1 > /proc/sys/net/ipv4/ip_forward # FLUSH iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
