https://wiki.eofnet.lt/w//index.php?action=history&feed=atom&title=SnortSnort - Versijų istorija2026-04-19T12:28:45ZŠio puslapio versijų istorija projekteMediaWiki 1.35.1https://wiki.eofnet.lt/w//index.php?title=Snort&diff=7522&oldid=prev\dev\null 17:27, 15 vasario 20162016-02-15T17:27:50Z<p></p>
<p><b>Naujas puslapis</b></p><div>Tai atviro kodo atakų aptikimo ir šalinimo sistema skirta firmoms, kompanijoms bei paprastiems vartotojams padedanti apsaugoti tinklus nuo įvairaus pobūdžio atakų. Snort tai realaus laiko paketų peržiūros ir analizavimo įrankis skirtas [[IP]] tinklams. Jis gali analizuoti, vykdyti paiešką ir gali būti panaudotas daugeliui atakų aptikti, buferio perpildymui, nematomiems prievadų skenavimams, CGI atakoms, SMB užklausoms, [[OS]] piršto antspaudų užklausimams. Sistema taip pat gali buti panaudota kaip atsakas atakoms jas blokuojant ar pranešant apie tam tikrus įvykius. Snort'as taip pat gali dirbti su papildoma programine įranga skirta grafiškai atvaizduoti atakų grafikus pagal laiką ar kitus kriterijus tai SnortSnarf, sguil, OSSIM ir Basic Analysis and Security Engine (BASE). Taip pat automatiniu atakų blokavimu pasinaudojant įvairias ugniasienes [[ipfw]], [[ipchains]], [[iptables]]. Tam geriausiai tinka [[perl]] scriptas [http://www.chaotic.org/guardian/ guardian]<br />
<br />
== Snort 2.6.X Taisyklių rašymas ==<br />
<br />
Snort atakų aptikimo sistema veikia pagal tam parašytas taisykles, kad būtų patogiau papildyti naujus atakų tipus tiek iš gamintojo svetainės oficialiomis taisyklėmis tiek pačio vartotojo sukurtomis. Tam skirta rules direktorija (Tiksli jos vieta priklauso nuo OS) /usr/local/etc/snort/rules (FreeBSD) /etc/snort/rules (linux). Norint papildyti šias taisykles reikia iš gamintojo [http://www.snort.org/vrt/ svetainės] atsisiūsti taisyklių paketą ir čia išskleisti (reiks užsiregistruoti). Išskleidę taisykles perkraukite snort ir toliau galite naudotis visagale atakų aptikimo sistema. Tam kad ji būtų dar veiksmingesnė galite pasirašyti savas taisykles. Pavyzdžiui jaigu lokalų IRC serverį užpuolė botnetas ir jums reikia uždrausti automatiškai kai tik botas bando patekti į jam skirtą kanalą galime pasirašyti paprastą taisyklę tam panaudosime failą local.rules esantį rules direktorijoje.<br />
alert tcp any any -> lokalus_ip_adresas 6667 (content:"join #botnet"; \<br />
nocase; msg: "Massive bot join detected joining to #botnet"; \<br />
classtype:trojan-activity; id:1000004; rev:1;)<br />
Kaip visa tai veikia ? Botas prisijungia prie IRC serverio ir kai tik bando ieiti į kanalą #botnet iškart sureaguoja mūsų snort'as pagal taisyklę gaudyti iš klientų kurie jungiasi į 6667 porta ascii aprašą su žinute "join #botnet" tai paprasta join komanda kurią rašome norėdami prisijungti į kanalą. Nocase reiškia, kad nesvarbu ar tai būtų didžiosios ar tai būtų mažosios raidės msg reiškia, kad apie tai bus pranešta į snort logą su žinute "Massive bot join detected joining to #botnet" classtype nurodo pavojaus klasifikaciją id nurodo unikalų identifikacinį numerį šiai taisyklei rev (ang. revision) peržiūros ir pataisymų paminėjimas. Jaigu veikia guardian tai mūsų isibroveliai turėtų būti blokuojami iškart ir atsijungę nuo serverio su žinute (ping timeout).<br />
Daugiau apie snort taisyklių rašyma galite sužinoti [http://www.snort.org/docs/snort_manual/node16.html gamintojo svetainėje]<br />
<br />
== Guardian diegimas ir suderinimas ==<br />
<br />
[http://www.chaotic.org/guardian/ Guardian] tai perl skriptas skirtas realaus laiko snort logų analizavimui ir kenkėjų blokavimui naudojantis vienu iš unix firewall'u. Prieš diegiant guardian visų pirma reikia paruošti snort'ą, kad jis logintų papildomą logą, taigi į snort.conf įrašome eilutę:<br />
output alert_fast: alert_fast<br />
Perkrauname snort'ą ir galime pradėti diegti guardian'ą<br />
wget http://www.chaotic.org/guardian/guardian-1.7.tar.gz<br />
tar xzf guardian-1.7.tar.gz<br />
cd guardian-1.7<br />
nano guardian.conf<br />
Pasiredaguojame konfigą pagal save va čia pateiksiu pavyzdį kaip visa tai turi atrodyti<br />
# Čia reikia nurodyti ip adresą kuris išeina į interneta kitaip sakant yra išorinis<br />
HostIpAddr 84.32.74.1<br />
# Tinklo interface priklausomai nuo os (linux ethX, FreeBSD rlX priklauso nuo kortos)<br />
Interface eth0<br />
# Paskutinis šliuzo ip blokas pvz jei šliuzas 84.32.74.255 tai čia reiktu rašyti 255<br />
HostGatewayByte 1<br />
# Guardian'o log failas<br />
LogFile /var/log/guardian.log<br />
# Mūsų snort log failas skirtas guardian'ui<br />
AlertFile /var/log/snort/alert_fast<br />
# Adresai kuriuos reiktų ignoruoti<br />
IgnoreFile /etc/guardian.ignore<br />
# Failas reikalingas jai serveris turi daugiau nei vieną IP adresą kurį reiktų paminėti<br />
TargetFile /etc/guardian.target<br />
# Kiek laiko laikyti blokavimą<br />
# 99999999, praktiškai išjungia laiko režimą.<br />
TimeLimit 86400<br />
Viską išsaugome ir perkialeme failą į /etc su komanda<br />
mv guardian.conf /etc<br />
touch /etc/guardian.target<br />
Atsidarome /etc/guardian.ignore failą ir ten surašome visus ip adresus/dns kurių nereiktų blokuoti tai gali būti vidinio tinklo resursai ar draugiškas kaimynas kuris nelinki jums blogo. Vėliau einame i scripts direktoriją ir iš ten persikopijuojame block ir unblock skirtus būtent jūsų OS pvz<br />
cd scripts<br />
mv freebsd_block.sh /usr/local/bin/block<br />
mv freebsd_unblock.sh /usr/local/bin/unblock<br />
Vėliau perkialiame ir pagrindinį guardian perl scriptą<br />
cd ../<br />
mv guardian.pl /usr/local/bin/guardian<br />
chmod +a+x /usr/local/bin/guardian<br />
Štai ir viskas dabar galime paleisti parašę guardian konsolėję ir žiūrėti /var/log/guardian.log ar viskas gerai veikia. Jaigu jūs naudojate FreeBSD ir retkarčiais norite pravalyti ipfw taisyklęs kurios blokuoja guardian pagautus nusikaltelius, galite pasinaudoti [http://mixman.res.lt/projects/clearipfw/ šiuo skriptuku].<br />
<br />
[[Category:Linux]]<br />
[[Category:FreeBSD]]<br />
[[Category:Tinklas]]</div>\dev\null