Snort IDS basic rules and use case about port scanning detection. Μελέτη περίπτωσης του Snort IDS για την ειδοποίηση ύποπτων δραστηριοτήτων σε δίκτυα. Το παράδειγμα λήψης ειδοποιήσεων σχετικά με την πρακτική σάρωσης θυρών TCP/UDP.

1. Μελέτη
περίπτωσης
χρήσης του
λογισμικού
Snort
ΣΥΣΤΗΜΑΤΑ ΠΡΟΣΔΙΟΡΙΣΜΟΥ
ΕΙΣΒΟΛΕΩΝ ΑΝΟΙΧΤΟΥ ΚΩΔΙΚΑ –
INTRUSION DETECTION SYSTEMS (IDS) :
Παρουσίαση: Άγγελος Αλεβιζόπουλος

2. I. ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ
i. IDS
ii. NIDS
iii. ΑΡΧΙΤΕΚΤΟΝΙΚΗ NIDS
iv. ΕΙΣΒΟΛΕΣ ΣΕ ΔΙΚΤΥΑΚΕΣ ΥΠΟΔΟΜΕΣ
v. SNORT IDS
II. ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΤΟΥ SNORT
III. ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ
i. IDS vs IPS
ii. ΚΑΝΟΝΕΣ SNORT
iii. ΣΥΝΤΑΞΗ ΚΑΝΟΝΩΝ ΓΙΑ ΔΗΜΙΟΥΡΓΙΑ ALERTS
iv. SYSLOG SERVER
v. BUFFER OVERFLOW
vi. PORT SCANNING
vii. NMAP –sX (XMAS TREE SCAN)
viii. sfPortscan OUTPUT
ix. SYSLOG SERVER ALERT
x. ΔΗΜΙΟΥΡΓΙΑ ΚΑΝΟΝΑ ΑΝΑΓΝΩΡΙΣΗΣ ΥΠΟΓΡΑΦΩΝ
xi. ETHEREAL PACKET ANALYSER
xii. ΔΗΜΙΟΥΡΓΙΑ ΠΡΟΣΑΡΜΟΣΜΕΝΟΥ ΚΑΝΟΝΑ
IV. ΣΥΜΠΕΡΑΣΜΑΤΑ
ΠΕΡΙΕΧΟΜΕΝΑ

3.  Ο προσδιορισμός εισβολέων αναφέρεται στην προσπάθεια
ανίχνευσης μιας ενέργειας για την απόκτηση μη
εξουσιοδοτημένης πρόσβασης σε έναν ιδιωτικό χώρο ή
περιουσιακό αγαθό (asset).
 Η πρώτη γραμμή άμυνας ενός δικτύου συγκροτείται από
ένα τείχος προστασίας.
 Τα IDS είναι εργαλεία λογισμικού τα οποία όπως και άλλα
αποσκοπούν στην ενίσχυση της ασφάλειας των
συστημάτων πληροφοριών και επικοινωνιών.
 Μπορούν να αποτυπώνουν τα ίχνη των κινήσεων ενός
εισβολέα στο σύστημα, σε αρχεία καταγραφής συστήματος
(system events log files - syslog) και στα προγράμματα
IDS.
I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ

4. I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ – ΕΙΣΒΟΛΕΣ ΣΕ
ΔΙΚΤΥΑΚΕΣ ΥΠΟΔΟΜΕΣ

5. Τα IDS κατηγοριοποιούνται σύμφωνα με το εύρος της
προστασίας που παρέχουν σε:
δικτυακά (Network-based - NIDS)
τοπικά (Host-based - HIDS)
κατανεμημένα (Distributed – DIDS)
I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ - IDS

6. Τα Network-based συστήματα μπορούν να διακριθούν
σε τεχνολογίες:
Εντοπισμού Υπογραφών στην επικεφαλίδα ή στο
περιεχόμενο ενός δικτυακού πακέτου
Ανίχνευσης στατιστικών ανωμαλιών
Υβριδικά
I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ - NIDS

7. I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ – ΑΡΧΙΤΕΚΤΟΝΙΚΗ
NIDS

8. I.ΑΣΦΑΛΕΙΑ ΣΕ ΔΙΚΤΥΑ – SNORT IDS
 Παρακολούθηση πακέτων (Sniffer
mode)
 Καταγραφή πακέτων (Packet logger
mode)
 Ανίχνευση εισβολών σε δίκτυο (NIDS
mode)

9. II.ΑΡΧΙΤΕΚΤΟΝΙΚΗ ΤΟΥ SNORT

10. ΛΕΙΤΟΥΡΓΙΑ SNORT IDS (Passive)
 Alert (ειδοποίηση)
 Log (καταγραφή)
 Pass (διέλευση)
 Activate (ενεργοποίηση)
 Dynamic (δυναμικός κανόνας)
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – IDS VS IPS*
 ΛΕΙΤΟΥΡΓΙΑ SNORT Intrusion
Prevention System (Inline)
 Drop – Μπλοκάρει και
καταγράφει το πακέτο
 Sdrop - Μπλοκάρει χωρίς να
καταγράφει το πακέτο
 Reject – Μπλοκάρει, καταγράφει
το πακέτο και τερματίζει την
επικοινωνία με ένα αίτημα TCP
reset στο TCP πρωτόκολλο ή
μήνυμα ICMP port unreachable
σε επικοινωνία πρωτοκόλλου UDP

11. III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – ΚΑΝΟΝΕΣ
SNORT

12. alert icmp any any -> $ΗΟΜΕ_ΝΕΤ any
(msg: “You ‘ve been pinged ICMP Test”;
sid:1000001; rev:1;)
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ - ΣΥΝΤΑΞΗ
ΚΑΝΟΝΩΝ ΓΙΑ ΔΗΜΙΟΥΡΓIΑ ALERTS

13. III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – SYSLOG
SERVER

14. Bash script : 90 90 90 90 90 90 90 90 90 sh.script.sh
alert tcp $EXTERNAL_NET any -> $HOME_NET any
(msg:"Oversized message – buffer overflow Alert";
content:"|90|"; depth:1; dsize: >1024;)
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – BUFFER
OVERFLOW

15. Αρχείο snort.conf
preprocessor sfportscan :
proto { all }
scan_type { all }
sense_level { low }
memcap { 10000000 }
ignore_scanners { $HOME_NET }
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – PORT
SCANNING

16. III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – NMAP –SX
(XMAS TREE SCAN)

17. III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ –SFPORTSCAN
OUTPUT

18. III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – SYSLOG
SERVER ALERT

19. Διάφορες επιθέσεις μπορούν να
χαρακτηριστούν από μία μοναδική υπογραφή
Εάν γνωρίζουμε αυτήν την υπογραφή είμαστε
σε θέση να δημιουργήσουμε έναν κανόνα που
θα την αναγνωρίζει
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – ΔΗΜΙΟΥΡΓΙΑ
ΚΑΝΟΝΑ ΑΝΑΓΝΩΡΙΣΗΣ ΥΠΟΓΡΑΦΩΝ

20. III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – ETHEREAL
PACKET ANALYSER

21. Κατά την ανάλυση πακέτων διακρίνουμε τα
ενεργοποιημένα flags FIN, PSH, URG
Με την παραπάνω γνώση δημιουργούμε έναν κανόνα
με τον οποίο θα λαμβάνουμε ειδοποιήσεις ειδικά για
το συγκεκριμένο γεγονός
Δημιουργία κανόνα:
alert tcp any any -> $HOME_NET any (msg:”Nmap
XMAS Tree Scan”; flags:FPU; sid:1000005; rev:1;)
III.ΜΕΛΕΤΗ ΠΕΡΙΠΤΩΣΗΣ – ΔΗΜΙΟΥΡΓΙΑ
ΠΡΟΣΑΡΜΟΣΜΕΝΟΥ ΚΑΝΟΝΑ

22.  Εάν η χρήση ενός συστήματος IDS δεν σκοπεύει στην
συνεχή παρακολούθηση, πιθανότατα να μην υπάρχει
νόημα καταγραφής των ειδοποιήσεων.
 Εκτός από τον προσδιορισμό του χρονικού πλαισίου
ανάλυσης των δεδομένων, θα πρέπει επίσης να
προσδιοριστεί η κατάλληλη αρχιτεκτονική και ο
σχεδιασμός της υποδομής του συστήματος
 Θέματα όπως η επιλογή της λειτουργίας του IDS σε
παθητική ή γραμμική, η αποθήκευση των ειδοποιήσεων
για 30 ή 180 ημέρες και η ανάλυση σε πραγματικό χρόνο
είναι τα ερωτήματα που θα πρέπει να απαντηθούν.
ΣΥΜΠΕΡΑΣΜΑΤΑ

23. ΕΥΧΑΡΙΣΤΟΥΜΕ ΓΙΑ ΤΗΝ ΠΡΟΣΟΧΗ ΣΑΣ