Pwarki powiadomienia

Wcześniej w Linuxhint opublikowaliśmy artykuły pokazujące, jak zacząć od Snort i jak tworzyć reguły Snort.

Ten dokument opisuje tryby ostrzegania o chwarcie i sposób ich zarządzania.

Wszystkie praktyczne przykłady w tym samouczku obejmują zrzuty ekranu dla użytkowników, aby łatwo je zrozumieć."

WPROWADZENIE DO TRYBY SNORTOWEJ

Parpowe alerty to anomalny ruch sieciowy i podejrzane zgłaszanie połączeń. Domyślnie alerty są przechowywane w ramach /var/log/snort informator.

Istnieje 7 dostępnych trybów alertów, które możesz określić podczas wykonywania prychania, który jest wymieniony poniżej:

• Szybko: W trybie szybkim, ostrzeżenia Snort zgłaszają znacznik czasu, wyślij wiadomość alertów, pokaż źródło adresu IP i portu oraz docelowego adresu IP i portu. Ten tryb jest instruowany za pomocą -Post flaga.
• Pełny: Dodatkowo do informacji wydrukowanych w trybie szybkim, tryb pełny pokazuje TTL, nagłówki pakietów i długość DataGram, serwis, typ ICMP, rozmiar okna, ACK i numer sekwencji. Tryb pełny jest zdefiniowany za pomocą -Pełna flaga, ale jest to domyślny tryb alertów.
• Konsola: drukuje szybkie powiadomienia w konsoli. Ten tryb jest zaimplementowany z -Konsola flaga.
• CMG: Tryb alarmów został opracowany przez Snort w celu testowania; Wydrukuje pełne ostrzeżenie na konsoli bez zapisywania dzienników. Tryb jest zaimplementowany z -CMG flaga.
• Unsock: Jest to przydatne do eksportowania raportów ostrzegawczych do innych programów za pośrednictwem gniazda Unix. Tryb Unsock jest zaimplementowany za pomocą -A Flaga Unsock.
• Syslog: W trybie SYSLOG (System Logging Protocol) Snort wysyła logi alertów zdalnie; ten tryb jest zaimplementowany przez dodanie -S flaga.
• Nic: W tym trybie Snort nie generuje alertów.

Ten artykuł koncentruje się na Szybka, pełna, konsola I CMG tryby, w tym analiza wyjściowa.

Snort Fast Mode Alerts

Poniższe polecenie wykonuje parskawkę z szybkimi alertami, gdzie parsknięcie nazywa program; -C Flaga wskazuje na parskanie.plik CONF, -Q instruuje ciche raportowanie (bez drukowania banera i początkowych informacji) i -A określa typ alertu, w tym przypadku szybko.

sudo prycie -c/etc/parsk.conf -q -a szybko

NOTATKA: W tym samouczku wystartuję agresywny skanowanie odcisków palców za pomocą techniki Xmas z innego komputera, aby pokazać, jak Snort reaguje i raporty. Polecenie skanowania Xmas pokazano poniżej.

sudo nmap -v -st -o 192.168.0.103

Alerty są przechowywane pod /var/log/snort. W przypadku szybkich alertów prawidłowy plik dziennika to /var/log/snort/parknięcie.alarm.szybko.

Dlatego, aby przeczytać alert, uruchom następujące polecenie.

ogon/var/log/snort/prych.alarm.szybko

Jak widać na zrzucie ekranu poniżej, szybkie wyjście jest dość proste. Najpierw wykrywa podejrzany pakiet ICMP używany przez NMAP do wykrywania celu. Następnie wykrywa przychodzący ruch do protokołów SSH i SNMP używanych przez NMAP do odkrywania otwartych portów.

Zgłoszone informacje obejmują czas i typ incydentu, adresy IP źródłowe i docelowe, protokół, usługi zaangażowane i priorytetowe.

Notatka: Ponieważ wyjście prycha jest zbyt długie, podzieliłem go na dwa zrzuty ekranu.

Po zebraniu początkowych informacji o cechach skanowania Snort w końcu zdaje sobie sprawę, że jest to skanowanie Xmas.

Jak pokazano powyżej, szybki skan zwraca najbardziej przyjazne dla użytkownika dane wyjściowe, zachowując prostotę.

Swota pełna alerty trybu

Najwyraźniej alerty w trybie pełnym zwrócą pełne wyjście. Ważne jest, aby wyjaśnić, że tryb pełny to tryb domyślny, a plik dziennika jest /var/log/snort/alert. Dlatego, aby odczytać pełne alerty, uruchom polecenie mniej /var/log/snort/alert.

W tym przykładzie uruchomię Snort z pełnym ostrzeżeniem, a następnie ten sam skan Xmas pokazał wyjaśniony w poprzedniej części tego samouczka.

Wszystkie używane flagi są takie same jak w poprzednim przykładzie; Jedyną różnicą jest zdefiniowany tryb pełny.

sudo prycie -c/etc/parsk.conf -q -a pełne

Jak widać na poniższym obrazie, w fazie wykrywania pakietów ICMP pełne wyjście alertów zwraca również TTL, długość nagłówka pakietu (IPLEN) i DataGram Długość (DGMLEN), w tym informacje wydrukowane w szybkim skanie.

Notatka: Ponieważ wyjście prycha jest zbyt długie, w tej sekcji podzieliłem go na trzy zrzuty ekranu.

Na poniższym zrzucie ekranu można zobaczyć raport protokołu TCP pokazuje również numer sekwencji, potwierdzenie (ACK), maksymalny rozmiar segmentu (MSS), znacznik czasu (TS) i rozmiar okna).

Wreszcie, Snort zdaje sobie sprawę, że ruch należy do skanu Bożego Narodzenia.

Podobnie jak szybki skan, Snort zgłosi każdy incydent i pełny postęp ruchu.

Ostrzeżenia w trybie konsoli;

Tryb konsoli powiadomień wyświetla wyjście w konsoli, w której wykonywane jest prychnięcie. Składnia jest zawsze taka sama; Jedyną zmianą jest konsola specyfikacja po -A flaga.

sudo prycie -c/etc/parsk.conf -q -a

Jak widać na zrzucie ekranu poniżej, wyjście jest pokazane w konsoli; Nie musisz czytać dzienników podczas korzystania z tego trybu.

Na powyższym obrazku możesz zobaczyć, jak tryb konsoli zwraca proste wyjście.

Swota CMG Tryb alarmowy

Wsterki CMG są wyłącznie do celów testowych. Wyjścia CMG nie są zapisywane w plikach dziennika. Informacje są wyświetlane w konsoli, tak jak podczas korzystania z trybu konsoli, ale zwraca te same informacje zwrócone podczas korzystania z trybu pełnego.

Aby uruchomić Snort w trybie ostrzegania CMG, uruchom polecenie poniżej.

Notatka: Ponieważ wyjście prycha jest zbyt długie, w tej sekcji podzieliłem go na trzy zrzuty ekranu.

sudo prycie -c/etc/parsk.conf -q -a

Jak zobaczysz na poniższych zrzutach ekranu, proces alarmowania jest taki sam jak w przypadku poprzednich trybów.

Wreszcie zgłaszane jest skanowanie Xmas, w tym wszystkie informacje zwrócone w trybie pełnym.

To wszystko o głównych trybach ostrzeżenia o zapieczętowaniu. Po przeczytaniu tego i poprzednim samouczku wyjaśniającym, jak skonfigurować i tworzyć reguły Snort wspomniane we wprowadzeniu tego artykułu, będziesz gotowy do wdrożenia Snort. W Linuxhint będziemy nadal dzielić się większą wiedzą na temat prychania.

Wniosek

Systemy wykrywania włamań (IDS), takie jak Snort, jest doskonałym źródłem ochrony sieci i systemów. Jak widać, Snort jest bardzo elastyczny i można go dostosować do potrzeb użytkowników, po prostu zastępując flagę. Jego elastyczność została również udowodniona w naszym poprzednim artykule na temat tworzenia i zarządzania zasadami niestandardowymi. Rynek oferuje wiele alternatyw IDS, takich jak Ossec, ale Snort pozostaje jednym z najpopularniejszych wśród administratorów systemu. Dla użytkowników, którzy wiedzą, jak działają protokoły, uczenie się i wdrażanie snortu jest dość łatwym zadaniem i ładnym procesem do włączenia ważnej wiedzy na temat bezpieczeństwa sieci. Warto wspomnieć, że radzenie sobie z pryszczaniem jest obowiązkowe dla każdego administratora systemu. Ponieważ IDS analizuje ruch sieciowy, można to wdrożyć w sieciach niezależnie od komputerowych systemów operacyjnych.

Dziękujemy za przeczytanie tego dokumentu wyjaśniającego, jak wykonać Snort z różnymi trybami alertów i jak zrozumieć ich wyniki. Śledź nas, aby uzyskać więcej Linux i parskną profesjonalne samouczki.