Snort IDS basic rules and use case about port scanning detection.
Μελέτη περίπτωσης του Snort IDS για την ειδοποίηση ύποπτων δραστηριοτήτων σε δίκτυα. Το παράδειγμα λήψης ειδοποιήσεων σχετικά με την πρακτική σάρωσης θυρών TCP/UDP.
2. I. ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ
i. IDS
ii. NIDS
iii. ΑΡΧΙΤΕΚΤΟΝΙΚΗ NIDS
iv. ΕΙΣΒΟΛΕΣ ΣΕ ΔΙΚΤΥΑΚΕΣ ΥΠΟΔΟΜΕΣ
v. SNORT IDS
II. ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΤΟΥ SNORT
III. ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ
i. IDS vs IPS
ii. ΚΑΝΟΝΕΣ SNORT
iii. ΣΥΝΤΑΞΗ ΚΑΝΟΝΩΝ ΓΙΑ ΔΗΜΙΟΥΡΓΙΑ ALERTS
iv. SYSLOG SERVER
v. BUFFER OVERFLOW
vi. PORT SCANNING
vii. NMAP –sX (XMAS TREE SCAN)
viii. sfPortscan OUTPUT
ix. SYSLOG SERVER ALERT
x. ΔΗΜΙΟΥΡΓΙΑ ΚΑΝΟΝΑ ΑΝΑΓΝΩΡΙΣΗΣ ΥΠΟΓΡΑΦΩΝ
xi. ETHEREAL PACKET ANALYSER
xii. ΔΗΜΙΟΥΡΓΙΑ ΠΡΟΣΑΡΜΟΣΜΕΝΟΥ ΚΑΝΟΝΑ
IV. ΣΥΜΠΕΡΑΣΜΑΤΑ
ΠΕΡΙΕΧΟΜΕΝΑ
3. Ο προσδιορισμός εισβολέων αναφέρεται στην προσπάθεια
ανίχνευσης μιας ενέργειας για την απόκτηση μη
εξουσιοδοτημένης πρόσβασης σε έναν ιδιωτικό χώρο ή
περιουσιακό αγαθό (asset).
Η πρώτη γραμμή άμυνας ενός δικτύου συγκροτείται από
ένα τείχος προστασίας.
Τα IDS είναι εργαλεία λογισμικού τα οποία όπως και άλλα
αποσκοπούν στην ενίσχυση της ασφάλειας των
συστημάτων πληροφοριών και επικοινωνιών.
Μπορούν να αποτυπώνουν τα ίχνη των κινήσεων ενός
εισβολέα στο σύστημα, σε αρχεία καταγραφής συστήματος
(system events log files - syslog) και στα προγράμματα
IDS.
I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ
5. Τα IDS κατηγοριοποιούνται σύμφωνα με το εύρος της
προστασίας που παρέχουν σε:
δικτυακά (Network-based - NIDS)
τοπικά (Host-based - HIDS)
κατανεμημένα (Distributed – DIDS)
I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ - IDS
6. Τα Network-based συστήματα μπορούν να διακριθούν
σε τεχνολογίες:
Εντοπισμού Υπογραφών στην επικεφαλίδα ή στο
περιεχόμενο ενός δικτυακού πακέτου
Ανίχνευσης στατιστικών ανωμαλιών
Υβριδικά
I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ - NIDS
10. ΛΕΙΤΟΥΡΓΙΑ SNORT IDS (Passive)
Alert (ειδοποίηση)
Log (καταγραφή)
Pass (διέλευση)
Activate (ενεργοποίηση)
Dynamic (δυναμικός κανόνας)
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – IDS VS IPS*
ΛΕΙΤΟΥΡΓΙΑ SNORT Intrusion
Prevention System (Inline)
Drop – Μπλοκάρει και
καταγράφει το πακέτο
Sdrop - Μπλοκάρει χωρίς να
καταγράφει το πακέτο
Reject – Μπλοκάρει, καταγράφει
το πακέτο και τερματίζει την
επικοινωνία με ένα αίτημα TCP
reset στο TCP πρωτόκολλο ή
μήνυμα ICMP port unreachable
σε επικοινωνία πρωτοκόλλου UDP
12. alert icmp any any -> $ΗΟΜΕ_ΝΕΤ any
(msg: “You ‘ve been pinged ICMP Test”;
sid:1000001; rev:1;)
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ - ΣΥΝΤΑΞΗ
ΚΑΝΟΝΩΝ ΓΙΑ ΔΗΜΙΟΥΡΓIΑ ALERTS
19. Διάφορες επιθέσεις μπορούν να
χαρακτηριστούν από μία μοναδική υπογραφή
Εάν γνωρίζουμε αυτήν την υπογραφή είμαστε
σε θέση να δημιουργήσουμε έναν κανόνα που
θα την αναγνωρίζει
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – ΔΗΜΙΟΥΡΓΙΑ
ΚΑΝΟΝΑ ΑΝΑΓΝΩΡΙΣΗΣ ΥΠΟΓΡΑΦΩΝ
21. Κατά την ανάλυση πακέτων διακρίνουμε τα
ενεργοποιημένα flags FIN, PSH, URG
Με την παραπάνω γνώση δημιουργούμε έναν κανόνα
με τον οποίο θα λαμβάνουμε ειδοποιήσεις ειδικά για
το συγκεκριμένο γεγονός
Δημιουργία κανόνα:
alert tcp any any -> $HOME_NET any (msg:”Nmap
XMAS Tree Scan”; flags:FPU; sid:1000005; rev:1;)
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – ΔΗΜΙΟΥΡΓΙΑ
ΠΡΟΣΑΡΜΟΣΜΕΝΟΥ ΚΑΝΟΝΑ
22. Εάν η χρήση ενός συστήματος IDS δεν σκοπεύει στην
συνεχή παρακολούθηση, πιθανότατα να μην υπάρχει
νόημα καταγραφής των ειδοποιήσεων.
Εκτός από τον προσδιορισμό του χρονικού πλαισίου
ανάλυσης των δεδομένων, θα πρέπει επίσης να
προσδιοριστεί η κατάλληλη αρχιτεκτονική και ο
σχεδιασμός της υποδομής του συστήματος
Θέματα όπως η επιλογή της λειτουργίας του IDS σε
παθητική ή γραμμική, η αποθήκευση των ειδοποιήσεων
για 30 ή 180 ημέρες και η ανάλυση σε πραγματικό χρόνο
είναι τα ερωτήματα που θα πρέπει να απαντηθούν.
ΣΥΜΠΕΡΑΣΜΑΤΑ