Case » base http://case.net.ru Just another technical weblog Sun, 29 Jan 2012 08:48:33 +0000 en hourly 1 http://wordpress.org/?v=3.2.1 Snort http://case.net.ru/2009/02/27/snort/ http://case.net.ru/2009/02/27/snort/#comments Fri, 27 Feb 2009 11:40:55 +0000 Case http://case.net.ru/?p=295 snort Собственно Snort – the de facto standard for intrusion detection/prevention. Установка особых проблем не вызывает:

# cd /usr/ports/security/snort
# make config
[ ] DYNAMIC     Enable dynamic plugin support
[ ] FLEXRESP    Flexible response to events
[ ] FLEXRESP2   Flexible response to events (version 2)
[X] MYSQL       Enable MySQL support
[ ] ODBC        Enable ODBC support
[ ] POSTGRESQL  Enable PostgreSQL support
[ ] PRELUDE     Enable Prelude NIDS integration
[ ] PERPROFILE  Enable Performance Profiling
[ ] SNORTSAM    Enable output plugin to SnortSam
# make install clean

Прописываем в rc.conf:

snort_enable="YES"
snort_interface="em0"

После установки регистрируется на оффициальном сайте, для того что бы скачать наборы правил под свою версию snort’а. Я скачал файлик snortrules-snapshot-2.8.tar.gz размером порядка 80 мегабайт. Создаем каталог /usr/local/etc/snort/rules и распаковываем туда содержимое скачанного архива. Настройка производится в файле /usr/local/etc/snort/snort.conf.

Настройка MySQL: Добавляем пользователя:

mysql> grant all on snort.* to snort@localhost identified by 'snort';

Создаем таблицы:

$ mysql -u snort -p snort < /usr/ports/security/snort/work/snort-2.8.2.2/schemas/create_mysql

Включаем вывод в базу в файле snort.conf:

output database: log, mysql, user=snort password=password dbname=snort host=localhost

Snort умеет работать в 3-х режимах:

  • Анализатор пакетов – аналог tcpdump
  • Регистратор пакетов – записывает траффик в файл
  • Сетевая система обнаружения вторжений

Опции командной строки характерные для всех режимов работы:

-i     Listen on interface 
-p         Disable promiscuous mode sniffing
<h1></h1>
Опции командной строки характерные для режима анализатора пакетов:
<pre lang="cli">-d         Dump the Application Layer
-e         Display the second layer header info
-v         Be verbose
-q         Quiet. Don't show banner and status report
-r     Read and process tcpdump file Пример - чтение траффика с интерфейса:
<pre lang="cli">$ snort -q -i vlan3 -p -d -e -v -n 10 port 80

Пример – чтение траффика из файла:

$ snort -v -r ~/traffic/

Опции командной строки характерные для режима регистрации пакетов:

-l     Log to directory Пример - запись траффика в файл:
<pre lang="cli">$ snort -i vlan3 -p -l ~/traffic/

Опции командной строки характерные для режима NDIS:

-I         Add Interface name to alert output
-A         Set alert mode: fast, full, console, test or none  (alert file alerts only) "unsock" enables UNIX socket logging (experimental).

Пример:

$ snort -i vlan3 -p -A console

Установка BASE (Basic Analysis and Security Engine)

 Use 'make config' to modify these settings
$ make install clean

Программа устанавливается в /usr/local/www/base. Делаем алиас или симлинк для веб-сервера и открывает в браузере. Начинаем инсталяцию. Особенности: – делаем каталог base доступным для записи веб-сервером; – в качестве “Path to ADODB” вводим /usr/local/share/adodb.

 

Ссылки:

  • http://www.ibm.com/developerworks/web/library/wa-snort1/
  • http://www.emergingthreats.net/ – сообщество, разрабатывающее правила

 

Иллюстрация с сайта snortattack.org – Snort в режиме работы Inline:
snort_inline

]]> http://case.net.ru/2009/02/27/snort/feed/ 0