Diferència entre revisions de la pàgina «Snort Basics»

De Wiki IES Marianao. Departament Informàtica
Dreceres ràpides: navegació, cerca
(Snort (Open Source Network Intrussion System))
(Configuració)
Línia 25: Línia 25:
 
=== Configuració ===
 
=== Configuració ===
  
 +
<pre>
 
/etc/snort/snort.conf
 
/etc/snort/snort.conf
 
/etc/snort/rules/*
 
/etc/snort/rules/*
 
/etc/snort/classification.config    # Classificació i priorització de les regles
 
/etc/snort/classification.config    # Classificació i priorització de les regles
 
+
</pre>
  
 
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són
 
Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són
Línia 35: Línia 36:
  
 
var EXTERNAL_NET 192.168.0.2
 
var EXTERNAL_NET 192.168.0.2
 
  
 
=== Regles ===
 
=== Regles ===

Revisió del 19:45, 6 nov 2011

UF2-NF1._Seguretat_en_la_xarxa_corporativa#Monitoratge_del_tr.C3.A0fic_en_xarxes


Snort (Open Source Network Intrussion System)

Funciona 3 modes:

  • Sniffer, informació en temps real
  • Logger, registra la informació per analitzar-la posteriorment. En mode daemon, desant el log (opció -l /var/log/snort/)
  • IDS, anàlisis de les connexions per detectar intrusions i fins i tot donar-les de baixa. Cal aplicar regles, les alarmes es guarden per defecte a '/var/log/snort/alert


Command Line

Execució des de línia de comanda (Sniffer). Funcionament semblant tcpdump 

#snort --help

#snort -q -v -e -i eth0   // -q quiet, -v verbose, -i interface, informació enllaç

#snort -q -A console -i eth0 -c /etc/snort/snort.conf  // Utilitza regles del fitxer. -A tipus d'alertas 'fast', 'full', 'console',  'none'.


Configuració

/etc/snort/snort.conf
/etc/snort/rules/*
/etc/snort/classification.config    # Classificació i priorització de les regles

Normalment Snort s'executa en un firewall amb dos o més interfases. Primerament cal indicar quines són

var HOME_NET 192.168.1.1

var EXTERNAL_NET 192.168.0.2

Regles

Les regles es codifiquen amb signatures.


El programari ja conté per defecte infinitat de regles, i a més es poden afegir d'altres que va publicant la comunitat

http://www.bleedingsnort.com


Estructura d'una regla:

  • Capçalera
    • Acció (alert, log, pass...)
    • Protocol
    • Origen -> Destí
  • Opcions
    • Missatge
    • Atributs de paquet (mida, flags...)


Per exemple
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING NMAP"; dsize:0; itype:8; reference:arachnids,162; classtype:attempted-recon; sid:469; rev:3;)


Detecció Escaneig de Ports

Al fitxer include /etc/snort/rules/scan.rules


Per exemple 

$nmap -sV -sT -p T:80 192.168.1.1




Utilitzar snort i Firewall Tester http://www.inversepath.com/ftester.html

http://www.howtoforge.com/test_your_linux_firewall_with_ftester


Altres: http://tomahawk.sourceforge.net/, sneeze (http://www.securiteam.com/tools/5DP0T0AB5G.html), scapy

http://jessland.net/JISK/IDS_IPS/Network/Testing.php

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=Snort_Basics&oldid=889»