Содержание
| Snort | |
|---|---|
 |
|
| Тип | Система обнаружения вторжений |
| Автор | Martin Roesch[d] |
| Разработчик | Cisco Systems и Sourcefire |
| Написана на | Си |
| Операционная система | GNU/Linux [d] , Microsoft Windows и FreeBSD |
| Аппаратная платформа | кроссплатформенность |
| Последняя версия |
|
| Лицензия | GNU GPL и общественное достояние |
| Сайт | snort.org (англ.) |
| Медиафайлы на Викискладе | |
Создана Мартином Рёшем (англ. Martin Roesch ), в дальнейшем развивалась и поддерживалась основанной им компанией Sourcefire (поглощена Cisco в 2013 году).
Выполняет протоколирование, анализ, поиск по содержимому, а также широко используется для активного блокирования или пассивного обнаружения целого ряда нападений и зондирований, таких как попытки атак на переполнение буфера, скрытое сканирование портов, атаки на веб-приложения, SMB-зондирование и попытки определения операционной системы. Программное обеспечение в основном используется для предотвращения проникновения, блокирования атак, если они имеют место.
Может работать совместно с другим программным обеспечением, например, SnortSnarf, sguil, OSSIM и BASE (обеспечивающим визуальное представление данных вторжения). С дополнениями от Bleeding Edge Threats поддерживает антивирусное сканирование потоков пакетов ClamAV и анализ сетевых аномалий SPADE на сетевом и транспортном уровнях сети, возможно, с учётом истории изменений.
SNORT представляет собой систему IDS (Intrusion Detection System) с открытым исходным кодом, которая позволяет обнаружить любую подозрительную сетевую активность, сравнивая встроенные правила обнаружения вредоносного траффика с данными, проходящими по локальной сети организации. Фактически, так работает любой антивирус, но сходство на этом заканчивается, потому что предназначение у этих систем совершенно разное, очень важно правильно понимать цели и задачи систем IDS и не путать их с другими средствами защиты.
Система IDS предназначена для того, чтобы блокировать действия злоумышленника на стадии изучения вашей сети:
- обнаружить подозрительную сетевую активность,
- выявить известные инструменты для анализа и взлома сетей, используемые злоумышленником
- и при возможности воспрепятствовать противоправной деятельности.
Обычно эта задача не выполняется другими средствами, например, брандмауэром, который лишь ставит барьер на входе в локальную сеть. Антивирус отлавливает известные вирусные сигнатуры, но контроль за траффиком внутри локальной сети никак не осуществляется, а в большинстве организаций он вообще отсутствует.
Представьте, что одна из рабочих станций в локальной сети заражена новым, ранее неизвестным трояном. В этом случае, антивирусная программа не сможет его отследить и обезвредить, так как соответствующая сигнатура просто отсутствует в ее памяти. В то же время, все трояны нацелены на выполнение одной задачи – перехватить конфиденциальную информацию и отправить ее вирусописателю, а отправку конфиденциальной информации можно просто пресечь с помощью IDS SNORT. Сканирование сетевых ресурсов с целью выявления слабых мест сети также не пресекается ни антивирусом, ни брандмауэром, хотя это и важно, так как разведка никогда не проводится просто так, часто за этим следует нападение.
Настройка
Технология IDS бесплатна, но относительно сложна в установке и поддержке, скорее всего, вам не удастся просто установить IDS SNORT (как мы это делаем с брандмауэром и антивирусом) и забыть о нем. Программа и базовый набор правил обнаружения скачиваются с сайта snort.org. Если оставить все настройки системы по умолчанию, то вы получите множество уведомлений о потенциально небезопасных действиях в локальной сети, даже команда ping будет вызывать соответствующую тревогу. Придется потратить время, чтобы изучить систему, разобраться в том, как работают правила обнаружения и произвести соответствующие настройки, но это позволит избежать многих сотен или даже тысяч избыточных уведомлений и избавит системного администратора от головной боли.
Необходимо обучить IDS SNORT реагировать только на определенные угрозы, например, активность сетевого сканера, попытку передать определенные файлы за пределы локальной сети организации иили несанкционированный доступ к выбранным сетевым ресурсам. IDS SNORT — это гибко настраиваемая система, позволяющая любому пользователю установить свой набор фильтров, который может реагировать на более значимые угрозы для данной сети и игнорировать другие, менее актуальные. Базовый пакет правил обнаружения предоставляется разработчиком, дополнительные сигнатуры можно приобрести у других компаний, предлагающих системы IDS на базе SNORT, который давно де-факто стал индустриальным стандартом в области систем обнаружения вторжений.
IDS работает под Linux, Windows, SunOS и с другими операционными системами.
Администратор SNORT может либо редактировать пакеты сигнатур, по выбору включая и выключая нужные правила, либо писать собственные сигнатуры, что потребует определенного навыка и опыта, а также знания синтаксиса SNORT, который, впрочем, относительно прост.
Не стоит забывать, что абсолютной защиты не существует, вопрос лишь в правильных настройках системы IDS, которые позволят должным образом реагировать на существующие и ранее неизвестные угрозы. Разработчики вредоносного ПО также не останавливаются на достигнутом и постоянно совершенствуют свои инструменты, поэтому нужно регулярно обновлять сигнатуры IDS.
Тем, кто хочет стать программистом, рекомендуем профессию «Веб-разработчик».
SNORT представляет собой систему IDS (Intrusion Detection System) с открытым исходным кодом, которая позволяет обнаружить любую подозрительную сетевую активность, сравнивая встроенные правила обнаружения вредоносного траффика с данными, проходящими по локальной сети организации. Фактически, так работает любой антивирус, но сходство на этом заканчивается, потому что предназначение у этих систем совершенно разное, очень важно правильно понимать цели и задачи систем IDS и не путать их с другими средствами защиты.
Система IDS предназначена для того, чтобы блокировать действия злоумышленника на стадии изучения вашей сети:
- обнаружить подозрительную сетевую активность,
- выявить известные инструменты для анализа и взлома сетей, используемые злоумышленником
- и при возможности воспрепятствовать противоправной деятельности.
Обычно эта задача не выполняется другими средствами, например, брандмауэром, который лишь ставит барьер на входе в локальную сеть. Антивирус отлавливает известные вирусные сигнатуры, но контроль за траффиком внутри локальной сети никак не осуществляется, а в большинстве организаций он вообще отсутствует.
Представьте, что одна из рабочих станций в локальной сети заражена новым, ранее неизвестным трояном. В этом случае, антивирусная программа не сможет его отследить и обезвредить, так как соответствующая сигнатура просто отсутствует в ее памяти. В то же время, все трояны нацелены на выполнение одной задачи – перехватить конфиденциальную информацию и отправить ее вирусописателю, а отправку конфиденциальной информации можно просто пресечь с помощью IDS SNORT. Сканирование сетевых ресурсов с целью выявления слабых мест сети также не пресекается ни антивирусом, ни брандмауэром, хотя это и важно, так как разведка никогда не проводится просто так, часто за этим следует нападение.
Настройка
Технология IDS бесплатна, но относительно сложна в установке и поддержке, скорее всего, вам не удастся просто установить IDS SNORT (как мы это делаем с брандмауэром и антивирусом) и забыть о нем. Программа и базовый набор правил обнаружения скачиваются с сайта snort.org. Если оставить все настройки системы по умолчанию, то вы получите множество уведомлений о потенциально небезопасных действиях в локальной сети, даже команда ping будет вызывать соответствующую тревогу. Придется потратить время, чтобы изучить систему, разобраться в том, как работают правила обнаружения и произвести соответствующие настройки, но это позволит избежать многих сотен или даже тысяч избыточных уведомлений и избавит системного администратора от головной боли.
Необходимо обучить IDS SNORT реагировать только на определенные угрозы, например, активность сетевого сканера, попытку передать определенные файлы за пределы локальной сети организации иили несанкционированный доступ к выбранным сетевым ресурсам. IDS SNORT — это гибко настраиваемая система, позволяющая любому пользователю установить свой набор фильтров, который может реагировать на более значимые угрозы для данной сети и игнорировать другие, менее актуальные. Базовый пакет правил обнаружения предоставляется разработчиком, дополнительные сигнатуры можно приобрести у других компаний, предлагающих системы IDS на базе SNORT, который давно де-факто стал индустриальным стандартом в области систем обнаружения вторжений.
IDS работает под Linux, Windows, SunOS и с другими операционными системами.
Администратор SNORT может либо редактировать пакеты сигнатур, по выбору включая и выключая нужные правила, либо писать собственные сигнатуры, что потребует определенного навыка и опыта, а также знания синтаксиса SNORT, который, впрочем, относительно прост.
Не стоит забывать, что абсолютной защиты не существует, вопрос лишь в правильных настройках системы IDS, которые позволят должным образом реагировать на существующие и ранее неизвестные угрозы. Разработчики вредоносного ПО также не останавливаются на достигнутом и постоянно совершенствуют свои инструменты, поэтому нужно регулярно обновлять сигнатуры IDS.
Тем, кто хочет стать программистом, рекомендуем профессию «Веб-разработчик».
Snort – облегченная система обнаружения вторжения . Snort обычно называют “обгегченным” NIDS, — потому что это он разработан прежде всего для маленьких сетей. Программа может исполнять анализ протокола и может использоваться, чтобы обнаружить разнообразные нападения и исследовать проблемы, типа переполнения буфера, скрытых просмотров порта, CGI нападения, попыток определения OS и т.п. Snort использует ‘правила’ (указанные в файлах ‘правила’), чтобы знать какой трафик пропустить а какой задержать. Инструмент гибок, позволяя вам записывать новые правила и соблюдать их . Программа также имеет ‘ механизм обнаружения ‘, который использует модульную сменную архитектуру, посредством чего определенные дополнения к программе могут быть добавлены или удалены из ‘ механизма обнаружения’.
Snort может работать в трех режимах:
1. Как пакетный снифер, подобно tcpdump
2. Как регистратор пакета
3. Как развитая система обнаружения вторжения
В этой статье мы подробно расскажем о инсталляции Snort, его архитектуре, научимся создавать правила и управлять ими.
Платформа:
Linux 2.2.* ,
Snort 1.7(http://www.snort.org/)
Sparc: SunOS 4.1.x, Solaris, Linux, and OpenBSD
x86: Linux, OpenBSD, FreeBSD, NetBSD, and Solaris
M68k/PPC: Linux, OpenBSD, NetBSD, Mac OS X Server
Требования:
Tcpdump (www.tcpdump.org)
Libpcap (Snort основан на библиотеке libpcap, обычно используемой в большинстве TCP/IP сниферов и анализаторов) – скачать можно отсюда: ftp://ftp.ee.lbl.gov/libpcap.tar.Z
Компилирование и Установка SNORT
Основной сайт для Snort — http://www.snort.org. Snort распространяется согласно лицензии GNU GPL автором Мартином Роешом. После загрузки архива, разархивируем его в каталог snort-1.7:
root @lord]# tar -zxvf snort-1.7.tar.gz
После загрузки libpcap, разархивируйте его подобным образом. Войдите в каталог libpacp, и выполните следующие шаги:
root @lord]# ./configure root @lord]# make
Теперь, мы компилируем Snort. Войдите в каталог, в котором находится Snort, и выполните следующие команду:
root @lord]# ./configure —with-libpcap-includes=/path/to/libpcap/ <* in my case it was : root@lord ./configure —with-libpcap-includes=/home/dood/libpcap >
root @lord]# make root @lord]# make install
Snort теперь установлен на вашей машине.
Создайте директорию, в которой Snort будет хранить файлы регистрации:
root @lord]#mkdir /var/log/snort
И как всегда, выполните:
root @lord]# whereis snort
чтобы подтвердить, где установлен Snort.
Основы структуры Snort
Архитектура Snort состоит из трех основных компонентов, которые могут быть описаны как:
1. Дешифратор пакетов : готовит перехваченные пакеты в форму типа данных, которые затем могут быть обработаны механизмом обнаружения. Дешифратор пакетов может регистрировать Ethernet, SLIP и PPP пакеты.
2. Механизм Обнаружения : анализирует и обрабатывает пакеты, поданные к нему “Дешифратором”, основываясь на правилах Snort. Сменные модули могут быть включены в механизм обнаружения, чтобы увеличить функциональные возможности Snort.
3. Logger/Alerter : Регистратор позволяет вам регистрировать информацию, собранную дешифратором пакетов в удобочитаемом формате. По умолчанию файлы регистрации сохранены в каталоге :/var/log/Snort.
Механизм предупреждения посылает предупреждения к syslog, файлу, Unix sockets или базе данных. По умолчанию, все предупреждения сохранены в файле: /var/log/Snort/alerts.
Использование SNORT и его режимы
В этом разделе мы обсудим концепции и команды SNORT в подробностях. Начнем с простой команды, которая отображает все ключи программы:
Команда выдаст следующее:
-*> Snort!
Как уже говорилось, SNORT выполняется в трех различных режимах:
1. Режим пакетного снифера : Когда Snort работает в этом режиме, он читает и дешифрует все сетевые пакеты и формирует дамп к stdout (ваш экран).
Для перевода Snort в режим сниффера используйте ключ –v:
root @lord]# ./snort –v
Примечание : В этом режиме он показывает только заголовки пакетов.
Для просмотра заголовка + содержания пакета выполните:
root @lord]# ./snort -X
2. Режим регистрации пакетов : Этот режим записывает пакеты на диск и декодирует их в ASCII формат.
root @lord]# Snort -l
2. Режим обнаружения вторжения :
Сигнальные данные регистрируются механизмом обнаружения (по умолчанию файл называемый " alert" в каталоге регистрации, но можно через syslog, Winpop сообщения и т.д.) Каталог регистрации по умолчанию -/var/log/snort , может быть изменен, используя ключ "-l".
Теперь рассмотрим типичную команду Snort для анализа пакета:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24
Здесь, мы рассматриваем подсеть класса C в пределах от 192.168.3.0-192.168.3.255 (маска подсети: 255.255.255.0). Сделаем подробный разбор вышеупомянутой команды, чтобы понять, что она означает:
‘-v ‘ : посылает подробный ответ на вашу консоль.
‘- d ‘: формирует дамп декодированных данных прикладного уровня
‘- e ‘: показывает декодированные Ethernet заголовки.
‘- i ‘: определяет интерфейс, который будет проверен для анализа пакета.
‘- h ‘: определяет сеть, которой нужно управлять
В следующем примере мы заставим Snort генерировать предупреждения:
Режимы предупреждения Snort состоят из трех основных групп (можно задавать свои):
a. Быстрый: записывает предупреждения в файл ‘alert’ в одну строку, так же как и в syslog.
b. Полный: записывает предупреждения в файл ‘alert’ c полным декодированным заголовком.
c. None: — не выдает предупреждения.
Команда тогда изменится на следующую:
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast
Чтобы посылать аварийные сообщения syslog, используйте ключ ‘- s’ вместо этого. Предупреждения появятся в /var/log/secure или /var/log/messages :
root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -s
До сих пор все перехваченные и проанализированные пакеты показывались на вашем экране. Если вы хотите, чтобы Snort записывал их в ваш файл регистрации, вы должны использовать опцию "-l " и указать имя директории для записи логов (например /var/log/snort ):
root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort
Чтобы регистрировать пакеты в формате tcpdump и производить минимальные предупреждения, используйте ключ ‘ -b ‘:
root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort
В вышеупомянутых командах, Snort регистрирует все пакеты в вашем сегменте сети. Если вы хотите регистрировать только некоторые типы пакетов в зависимости от правил, используете ключ ‘ -c ‘.
root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l /var/log/snort -c /snort-rule-file.
Дополнительную информацию можно получить здесь:
Подписывайтесь на каналы "SecurityLab" в 
Telegram и 
Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.