«В этом руководстве объясняется, как управлять режимами оповещения системы обнаружения вторжений Snort в Linux.
Этот документ описывает режимы предупреждений Snort и способы управления ими.
Все практические примеры в этом руководстве снабжены скриншотами, чтобы пользователи могли их легко понять».
Оповещения Snort — это сообщения об аномальном сетевом трафике и подозрительных соединениях. По умолчанию оповещения хранятся в каталоге /var/log/snort .
Существует 7 доступных режимов оповещения, которые вы можете указать при выполнении Snort, которые перечислены ниже:
В этой статье основное внимание уделяется режимам fast, full, console и cmg, включая анализ вывода.
Следующая команда запускает Snort с быстрыми оповещениями, где snort вызывает программу; флаг -c указывает на файл snort.conf, -q указывает тихое сообщение (без печати баннера и исходной информации), а -A определяет тип оповещения, в данном случае быстрое.
sudo snort -c /etc/snort/snort.conf -q -A fast
ПРИМЕЧАНИЕ. В этом руководстве мы запустим агрессивное сканирование отпечатков пальцев с использованием техники Xmas с другого компьютера, чтобы показать, как Snort реагирует и сообщает. Команда сканирования Xmas показана ниже.
sudo nmap -v -sT -O 192.168.0.103
Оповещения хранятся в /var/log/snort. В случае быстрых предупреждений правильный файл журнала — /var/log/snort/snort.alert.fast .
Поэтому, чтобы прочитать предупреждение, выполните следующую команду.
tail /var/log/snort/snort.alert.fast
Как вы можете видеть на скриншоте ниже, быстрый вывод довольно прост. Во-первых, он обнаруживает подозрительный ICMP-пакет, используемый Nmap для обнаружения цели. Затем он обнаруживает входящий трафик на протоколы SSH и SNMP, используемые Nmap для обнаружения открытых портов.
Сообщаемая информация включает время и тип инцидента, исходный и конечный IP-адреса, протокол, задействованные службы и приоритет.
Собрав первоначальную информацию о характеристиках сканирования, Snort наконец понимает, что это сканирование Xmas.
Как показано выше, быстрое сканирование возвращает наиболее удобный для пользователя результат, сохраняя при этом простоту.
Очевидно, что предупреждения полного режима вернут полный вывод. Важно уточнить, что полный режим — это режим по умолчанию, а файл журнала — /var/log/snort/alert. Поэтому, чтобы прочитать полные оповещения, запустите команду less /var/log/snort/alert.
В этом примере я запущу Snort с полным предупреждением, а затем то же сканирование Xmas покажет то, что описано в предыдущем разделе этого руководства.
Все используемые флаги такие же, как и в предыдущем примере; единственное отличие — определенный полный режим.
sudo snort -c /etc/snort/snort.conf -q -A full
Как вы можете видеть на следующем изображении, на этапе обнаружения ICMP-пакетов полный вывод оповещения также возвращает TTL, длину заголовка пакета (IpLen) и длину дейтаграммы (DgmLen), включая информацию, напечатанную при быстром сканировании.
На снимке экрана ниже вы можете видеть, что отчет протокола TCP также показывает порядковый номер, подтверждение (Ack), максимальный размер сегмента (MSS), отметку времени (TS) и размер окна.
Наконец, Snort понимает, что трафик принадлежит сканированию Xmas.
Как и при быстром сканировании, Snort будет сообщать о каждом инциденте и полном ходе трафика.
Режим консоли предупреждений отображает вывод в консоли, где выполняется Snort. Синтаксис всегда одинаков; единственное изменение — спецификация console после флага -A.
sudo snort -c /etc/snort/snort.conf -q -A console
Как вы можете видеть на скриншоте ниже, вывод отображается в консоли; вам не нужно читать журналы при использовании этого режима.
На изображении выше вы можете видеть, что консольный режим возвращает простой вывод.
Оповещения Snort cmg предназначены только для целей тестирования. Выходные данные Cmg не сохраняются в файлах журналов. Информация отображается в консоли так же, как при использовании режима консоли, но она возвращает ту же информацию, что и при использовании полного режима.
Чтобы запустить Snort в режиме предупреждения cmg, выполните команду ниже.
sudo snort -c /etc/snort/snort.conf -q -A console
Как вы увидите на скриншотах ниже, процесс оповещения такой же, как и в предыдущих режимах.
Наконец, сообщается о сканировании Xmas, включая всю информацию, возвращенную в полном режиме.
Это все, что касается основных режимов оповещения Snort. Прочитав это и предыдущее руководство, объясняющее, как настраивать и создавать правила Snort, упомянутые во введении к этой статье, вы будете готовы к реализации Snort. В LinuxHint мы продолжим делиться новыми знаниями о Snort.
Системы обнаружения вторжений (IDS), такие как Snort, являются отличным ресурсом для защиты сетей и систем. Как видите, Snort очень гибок и может быть адаптирован к потребностям пользователя, просто заменив флаг. Его гибкость также была доказана в нашей предыдущей статье о создании пользовательских правил и управлении ими. Рынок предлагает множество альтернатив IDS, таких как OSSEC, но Snort остается одной из самых популярных среди системных администраторов. Для пользователей, которые знают, как работают протоколы, изучение и внедрение Snort — довольно простая задача и приятный процесс для включения важных знаний о сетевой безопасности. Стоит отметить, что работа со Snort обязательна для каждого системного администратора. Поскольку IDS анализирует сетевой трафик, это может быть реализовано в сетях независимо от операционных систем компьютеров.
Спасибо, что прочитали этот документ, в котором объясняется, как запускать Snort с различными режимами предупреждений и как понимать их выходные данные. Следите за нашими новостями, чтобы получать больше профессиональных руководств по Linux и Snort.
(Пока оценок нет)
Загрузка...
Заполните форму и наш менеджер перезвонит Вам в самое ближайшее время!
Спасибо! Ваша заявка принята
Спасибо! Ваша заявка принята
