Diferència entre revisions de la pàgina «Snort Basics»
(→Snort (Open Source Network Intrussion System)) |
(→Snort (Open Source Network Intrussion System)) |
||
| Línia 3: | Línia 3: | ||
== Snort (Open Source Network Intrussion System) == | == Snort (Open Source Network Intrussion System) == | ||
| − | |||
| − | |||
| − | |||
Funciona 3 modes: | Funciona 3 modes: | ||
* Sniffer, informació en temps real | * Sniffer, informació en temps real | ||
| − | * Logger, registra la informació per analitzar-la posteriorment | + | * Logger, registra la informació per analitzar-la posteriorment. En mode daemon, directori per defecte de log '''/var/log/snort'' |
| − | * IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa | + | * IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '''/var/log/snort/alert'' |
| Línia 20: | Línia 17: | ||
#snort --help | #snort --help | ||
| − | #snort -q -v -i eth0 // -q quiet, -v verbose, -i interface | + | #snort -q -v -e -i eth0 // -q quiet, -v verbose, -i interface, informació enllaç |
| − | #snort -q -A console -i eth0 -c /etc/snort/snort.conf // -A tipus d'alertas 'fast', 'full', | + | #snort -q -A console -i eth0 -c /etc/snort/snort.conf // Utilitza regles del fitxer. -A tipus d'alertas 'fast', 'full', 'console', 'none'. |
</pre> | </pre> | ||
| Línia 64: | Línia 61: | ||
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;) | alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;) | ||
</pre> | </pre> | ||
| − | |||
| − | |||
| − | |||
| − | |||
Revisió del 19:38, 6 nov 2011
UF2-NF1._Seguretat_en_la_xarxa_corporativa#Monitoratge_del_tr.C3.A0fic_en_xarxes
Contingut
Snort (Open Source Network Intrussion System)
Funciona 3 modes:
- Sniffer, informació en temps real
- Logger, registra la informació per analitzar-la posteriorment. En mode daemon, directori per defecte de log '/var/log/snort
- IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '/var/log/snort/alert
Command Line
Execució des de línia de comanda (Sniffer). Funcionament semblant tcpdump
#snort --help #snort -q -v -e -i eth0 // -q quiet, -v verbose, -i interface, informació enllaç #snort -q -A console -i eth0 -c /etc/snort/snort.conf // Utilitza regles del fitxer. -A tipus d'alertas 'fast', 'full', 'console', 'none'.
Configuració
/etc/snort/snort.conf /etc/snort/rules/* /etc/snort/classification.config # Classificació i priorització de les regles
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són
var HOME_NET 192.168.1.1
var EXTERNAL_NET 192.168.0.2
Regles
Les regles es codifiquen amb signatures.
El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat
Estructura d'una regla:
- Capçalera
- Acció (alert, log, pass...)
- Protocol
- Origen -> Destí
- Opcions
- Missatge
- Atributs de paquet (mida, flags...)
Per exemple alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;)
Detecció Escaneig de Ports
Al fitxer include /etc/snort/rules/scan.rules
Per exemple
$nmap -sV -sT -p T:80 192.168.1.1
Utilitzar snort i Firewall Tester http://www.inversepath.com/ftester.html
http://www.howtoforge.com/test_your_linux_firewall_with_ftester
Altres: http://tomahawk.sourceforge.net/, sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html), scapy
