Pwarki powiadomienia

Pani Żaneta Pakuła
Pwarki powiadomienia
„Ten samouczek wyjaśnia, jak zarządzać trybami ostrzegania systemu detekcji wtargnięcia w Linux.

Wcześniej w Linuxhint opublikowaliśmy artykuły pokazujące, jak zacząć od Snort i jak tworzyć reguły Snort.

Ten dokument opisuje tryby ostrzegania o chwarcie i sposób ich zarządzania.

Wszystkie praktyczne przykłady w tym samouczku obejmują zrzuty ekranu dla użytkowników, aby łatwo je zrozumieć."

WPROWADZENIE DO TRYBY SNORTOWEJ

Parpowe alerty to anomalny ruch sieciowy i podejrzane zgłaszanie połączeń. Domyślnie alerty są przechowywane w ramach /var/log/snort informator.

Istnieje 7 dostępnych trybów alertów, które możesz określić podczas wykonywania prychania, który jest wymieniony poniżej:

  • Szybko: W trybie szybkim, ostrzeżenia Snort zgłaszają znacznik czasu, wyślij wiadomość alertów, pokaż źródło adresu IP i portu oraz docelowego adresu IP i portu. Ten tryb jest instruowany za pomocą -Post flaga.
  • Pełny: Dodatkowo do informacji wydrukowanych w trybie szybkim, tryb pełny pokazuje TTL, nagłówki pakietów i długość DataGram, serwis, typ ICMP, rozmiar okna, ACK i numer sekwencji. Tryb pełny jest zdefiniowany za pomocą -Pełna flaga, ale jest to domyślny tryb alertów.
  • Konsola: drukuje szybkie powiadomienia w konsoli. Ten tryb jest zaimplementowany z -Konsola flaga.
  • CMG: Tryb alarmów został opracowany przez Snort w celu testowania; Wydrukuje pełne ostrzeżenie na konsoli bez zapisywania dzienników. Tryb jest zaimplementowany z -CMG flaga.
  • Unsock: Jest to przydatne do eksportowania raportów ostrzegawczych do innych programów za pośrednictwem gniazda Unix. Tryb Unsock jest zaimplementowany za pomocą -A Flaga Unsock.
  • Syslog: W trybie SYSLOG (System Logging Protocol) Snort wysyła logi alertów zdalnie; ten tryb jest zaimplementowany przez dodanie -S flaga.
  • Nic: W tym trybie Snort nie generuje alertów.

Ten artykuł koncentruje się na Szybka, pełna, konsola I CMG tryby, w tym analiza wyjściowa.

Snort Fast Mode Alerts

Poniższe polecenie wykonuje parskawkę z szybkimi alertami, gdzie parsknięcie nazywa program; -C Flaga wskazuje na parskanie.plik CONF, -Q instruuje ciche raportowanie (bez drukowania banera i początkowych informacji) i -A określa typ alertu, w tym przypadku szybko.

sudo prycie -c/etc/parsk.conf -q -a szybko

NOTATKA: W tym samouczku wystartuję agresywny skanowanie odcisków palców za pomocą techniki Xmas z innego komputera, aby pokazać, jak Snort reaguje i raporty. Polecenie skanowania Xmas pokazano poniżej.

sudo nmap -v -st -o 192.168.0.103

Alerty są przechowywane pod /var/log/snort. W przypadku szybkich alertów prawidłowy plik dziennika to /var/log/snort/parknięcie.alarm.szybko.

Dlatego, aby przeczytać alert, uruchom następujące polecenie.

ogon/var/log/snort/prych.alarm.szybko

Jak widać na zrzucie ekranu poniżej, szybkie wyjście jest dość proste. Najpierw wykrywa podejrzany pakiet ICMP używany przez NMAP do wykrywania celu. Następnie wykrywa przychodzący ruch do protokołów SSH i SNMP używanych przez NMAP do odkrywania otwartych portów.

Zgłoszone informacje obejmują czas i typ incydentu, adresy IP źródłowe i docelowe, protokół, usługi zaangażowane i priorytetowe.

Notatka: Ponieważ wyjście prycha jest zbyt długie, podzieliłem go na dwa zrzuty ekranu.

Po zebraniu początkowych informacji o cechach skanowania Snort w końcu zdaje sobie sprawę, że jest to skanowanie Xmas.

Jak pokazano powyżej, szybki skan zwraca najbardziej przyjazne dla użytkownika dane wyjściowe, zachowując prostotę.

Swota pełna alerty trybu

Najwyraźniej alerty w trybie pełnym zwrócą pełne wyjście. Ważne jest, aby wyjaśnić, że tryb pełny to tryb domyślny, a plik dziennika jest /var/log/snort/alert. Dlatego, aby odczytać pełne alerty, uruchom polecenie mniej /var/log/snort/alert.

W tym przykładzie uruchomię Snort z pełnym ostrzeżeniem, a następnie ten sam skan Xmas pokazał wyjaśniony w poprzedniej części tego samouczka.

Wszystkie używane flagi są takie same jak w poprzednim przykładzie; Jedyną różnicą jest zdefiniowany tryb pełny.

sudo prycie -c/etc/parsk.conf -q -a pełne

Jak widać na poniższym obrazie, w fazie wykrywania pakietów ICMP pełne wyjście alertów zwraca również TTL, długość nagłówka pakietu (IPLEN) i DataGram Długość (DGMLEN), w tym informacje wydrukowane w szybkim skanie.

Notatka: Ponieważ wyjście prycha jest zbyt długie, w tej sekcji podzieliłem go na trzy zrzuty ekranu.

Na poniższym zrzucie ekranu można zobaczyć raport protokołu TCP pokazuje również numer sekwencji, potwierdzenie (ACK), maksymalny rozmiar segmentu (MSS), znacznik czasu (TS) i rozmiar okna).

Wreszcie, Snort zdaje sobie sprawę, że ruch należy do skanu Bożego Narodzenia.

Podobnie jak szybki skan, Snort zgłosi każdy incydent i pełny postęp ruchu.

Ostrzeżenia w trybie konsoli;

Tryb konsoli powiadomień wyświetla wyjście w konsoli, w której wykonywane jest prychnięcie. Składnia jest zawsze taka sama; Jedyną zmianą jest konsola specyfikacja po -A flaga.

sudo prycie -c/etc/parsk.conf -q -a

Jak widać na zrzucie ekranu poniżej, wyjście jest pokazane w konsoli; Nie musisz czytać dzienników podczas korzystania z tego trybu.

Na powyższym obrazku możesz zobaczyć, jak tryb konsoli zwraca proste wyjście.

Swota CMG Tryb alarmowy

Wsterki CMG są wyłącznie do celów testowych. Wyjścia CMG nie są zapisywane w plikach dziennika. Informacje są wyświetlane w konsoli, tak jak podczas korzystania z trybu konsoli, ale zwraca te same informacje zwrócone podczas korzystania z trybu pełnego.

Aby uruchomić Snort w trybie ostrzegania CMG, uruchom polecenie poniżej.

Notatka: Ponieważ wyjście prycha jest zbyt długie, w tej sekcji podzieliłem go na trzy zrzuty ekranu.

sudo prycie -c/etc/parsk.conf -q -a

Jak zobaczysz na poniższych zrzutach ekranu, proces alarmowania jest taki sam jak w przypadku poprzednich trybów.

Wreszcie zgłaszane jest skanowanie Xmas, w tym wszystkie informacje zwrócone w trybie pełnym.

To wszystko o głównych trybach ostrzeżenia o zapieczętowaniu. Po przeczytaniu tego i poprzednim samouczku wyjaśniającym, jak skonfigurować i tworzyć reguły Snort wspomniane we wprowadzeniu tego artykułu, będziesz gotowy do wdrożenia Snort. W Linuxhint będziemy nadal dzielić się większą wiedzą na temat prychania.

Wniosek

Systemy wykrywania włamań (IDS), takie jak Snort, jest doskonałym źródłem ochrony sieci i systemów. Jak widać, Snort jest bardzo elastyczny i można go dostosować do potrzeb użytkowników, po prostu zastępując flagę. Jego elastyczność została również udowodniona w naszym poprzednim artykule na temat tworzenia i zarządzania zasadami niestandardowymi. Rynek oferuje wiele alternatyw IDS, takich jak Ossec, ale Snort pozostaje jednym z najpopularniejszych wśród administratorów systemu. Dla użytkowników, którzy wiedzą, jak działają protokoły, uczenie się i wdrażanie snortu jest dość łatwym zadaniem i ładnym procesem do włączenia ważnej wiedzy na temat bezpieczeństwa sieci. Warto wspomnieć, że radzenie sobie z pryszczaniem jest obowiązkowe dla każdego administratora systemu. Ponieważ IDS analizuje ruch sieciowy, można to wdrożyć w sieciach niezależnie od komputerowych systemów operacyjnych.

Dziękujemy za przeczytanie tego dokumentu wyjaśniającego, jak wykonać Snort z różnymi trybami alertów i jak zrozumieć ich wyniki. Śledź nas, aby uzyskać więcej Linux i parskną profesjonalne samouczki.

c ostre
Jak używać słowa kluczowego rzutu w C#
Słowo kluczowe rzutów jest jak instrukcja skoku w C#, która może podnieść wyjątek. Wyjątki obejmują ...
Pani Alicja Szafrański
php
Jak używać funkcji strlen w PHP
Funkcja strlen () w PHP to funkcja wbudowana, która służy do obliczania długości łańcucha. Przeczyta...
Albert Szcześniak
Sqlite
Do czego służy SQLite? Czy to jest lepsze niż sql?
SQLite to baza danych oparta na plikach, która jest samodzielna, bez serwera i nie wymaga żadnej oso...
Justyna Flak
PostgreSQL
Jak skopiować tabelę z jednej bazy danych do drugiej w PostgreSQL
Maja Kucharski
Pyton
Python nie wszystkie argumenty przekonwertowane podczas formatowania ciągu
Renata Borowiec
Sqlite
Jak korzystać z aplikacji internetowej SQLite Viewer
Pani Alicja Szafrański
AWS
Jak korzystać z cyklu życia instancji w AWS?
Maja Kucharski
Oracle Linux
Jaka jest różnica między Oracle VirtualBox a VMware?
Albert Szcześniak
Jawa
Jak policzyć liczbę słów w ciągu za pomocą Java?
Maja Kucharski
JavaScript
Jak sprawdzić wersję TypeScript
Renata Borowiec
PowerShell
Jak używać polecenia „Get-Service” w PowerShell
Pani Alicja Szafrański
c ostre
Jak przekonwertować dziesiętne na podwójne w C#
Makary Stasiak
C ++
Co to są identyfikatory w C++?
Makary Stasiak