Wir haben die Konfiguration von Snort als IDS/IPS-Open-Source-Lösung behandelt. Snort fungiert als Sniffer, Paketlogger und IPS/IDS. Dies war Teil von TryHackMe Snort.
Angriffserkennungssystem (IDS)
IDS ist eine passive Überwachungslösung zum Erkennen möglicher böswilliger Aktivitäten/Muster, ungewöhnlicher Vorfälle und Richtlinienverstöße. Sie ist für die Generierung von Warnungen für jedes verdächtige Ereignis verantwortlich.
Es gibt zwei Haupttypen von IDS Systeme;
- Netzwerk-Intrusion-Detection-System (NIDS) – NIDS überwacht den Verkehrsfluss aus verschiedenen Bereichen des Netzwerks. Ziel ist es, den Verkehr im gesamten Subnetz zu untersuchen. Wenn eine Signatur identifiziert wird, wird eine Warnung erstellt.
- Hostbasiertes Intrusion Detection System (HIDS) – HIDS überwacht den Datenverkehr von einem einzelnen Endgerät. Ziel ist es, den Datenverkehr auf einem bestimmten Gerät zu untersuchen. Wenn eine Signatur identifiziert wird, wird eine Warnung erstellt.
IPS ist eine aktive Schutzlösung zur Verhinderung möglicher böswilliger Aktivitäten/Muster, ungewöhnlicher Vorfälle und Richtlinienverstöße. Sie ist dafür verantwortlich, das verdächtige Ereignis zu stoppen/verhindern/beenden, sobald die Erkennung erfolgt.
Es gibt vier Haupttypen von IPS Systeme;
- Netzwerk-Intrusion-Prevention-System (NIPS) – NIPS überwacht den Verkehrsfluss aus verschiedenen Bereichen des Netzwerks. Ziel ist es, den Verkehr im gesamten Subnetz zu schützen. Wenn eine Signatur identifiziert wird, wird die Verbindung beendet.
- Verhaltensbasiertes Intrusion Prevention System (Netzwerkverhaltensanalyse – NBA) – Verhaltensbasierte Systeme überwachen den Verkehrsfluss aus verschiedenen Bereichen des Netzwerks. Ziel ist es, den Verkehr im gesamten Subnetz zu schützen. Wenn eine Signatur identifiziert wird, die Verbindung wird beendet.
SCHNAUBEN
SNORT ist ein regelbasiertes Open-Source-System zur Erkennung und Verhinderung von Angriffen auf Netzwerke (NIDS/NIPS). Es wurde von Martin Roesch, Open-Source-Mitwirkenden und dem Cisco Talos-Team entwickelt und wird auch weiterhin von ihnen gepflegt.
Fähigkeiten von Snort;
- Live-Verkehrsanalyse
- Angriffs- und Sondenerkennung
- Paketprotokollierung
- Protokollanalyse
- Echtzeit-Alarmierung
- Module & Plugins
- Präprozessoren
- Plattformübergreifende Unterstützung! (Linux & Windows)
Snort hat drei Hauptverwendungsmodelle;
- Sniffer-Modus – Lesen Sie IP-Pakete und geben Sie sie in der Konsolenanwendung ein.
- Paketlogger-Modus – Protokollieren Sie alle IP-Pakete (eingehend und ausgehend), die das Netzwerk besuchen.
- NIDS (Network Intrusion Detection System) und NIPS (Network Intrusion Prevention System)-Modi – Protokollieren/löschen Sie die Pakete, die gemäß den benutzerdefinierten Regeln als bösartig eingestuft werden.
Raumantworten
Welcher Snort-Modus kann Ihnen dabei helfen, Bedrohungen in einem lokalen Netzwerk zu erkennen?
Welcher Snort-Modus kann Ihnen dabei helfen, Bedrohungen auf einem lokalen Computer zu erkennen?
Welcher Snort-Modus kann Ihnen helfen, Bedrohungen in einem lokalen Netzwerk zu stoppen?
Welcher Snort-Modus funktioniert ähnlich wie NIPS Modus?
Nach der offiziellen Beschreibung des Schnaubens, welche Art von NIPS ist es?
NBA Die Ausbildungszeit wird auch genannt …
Führen Sie die Snort-Instanz aus und überprüfen Sie die Build-Nummer.
Testen Sie die aktuelle Instanz mit „/etc/snort/snort.conf“-Datei und prüfen Sie, wie viele Regeln mit dem aktuellen Build geladen werden.
Testen Sie die aktuelle Instanz mit „/etc/snort/snortv2.conf“-Datei und prüfen Sie, wie viele Regeln mit dem aktuellen Build geladen werden.
Untersuchen Sie den Datenverkehr mit der Standardkonfigurationsdatei im ASCII-Modus.
sudo snort -dev -K ASCII -l.
sudo ./traffic-generator.sh
Verwenden Sie snort.log.1640048004
Lesen Sie die Datei snort.log mit Snort. Was ist die IP-ID des 10. Pakets?
snort -r snort.log.1640048004 -n 10
Lies das "snort.log.1640048004″ Datei mit Snort; was ist der Referrer des 4. Pakets?
Lies das "snort.log.1640048004″ Datei mit Snort; was ist die Ack-Nummer des 8. Pakets?
Lies das "snort.log.1640048004″ Datei mit Snort; wie lautet die Nummer der „TCP-Port 80“ Pakete?
Untersuchen Sie den Datenverkehr mit der Standardkonfigurationsdatei.
sudo snort -c /etc/snort/snort.conf -A full -l .
sudo ./traffic-generator.sh
Untersuchen Sie die mx-1.pcap Datei durch die Standardkonfigurationsdatei.
sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-1.pcap
Lesen Sie die Ausgabe weiter. Wie viele TCP-Segmente stehen in der Warteschlange?
Lesen Sie die Ausgabe weiter. Wie viele „HTTP-Antwortheader“ wurden extrahiert?
Untersuchen Sie die Datei mx-1.pcap mit dem zweiten Konfigurationsdatei.
sudo snort -c /etc/snort/snortv2.conf -A full -l . -r mx-1.pcap
Untersuchen Sie die mx-2.pcap Datei durch die Standardkonfigurationsdatei.
sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-2.pcap
Lesen Sie die Ausgabe weiter. Wie lautet die Nummer der erkannten TCP Pakete?
Untersuchen Sie die Dateien mx-2.pcap und mx-3.pcap mit der Standardkonfigurationsdatei.
sudo snort -c /etc/snort/snort.conf -A full -l . --pcap-list="mx-2.pcap mx-3.pcap"
Verwenden “„task9.pcap“.
Schreiben Sie eine Regel zum Filtern IP-ID „35369“ und führen Sie es mit der angegebenen PCAP-Datei aus. Wie lautet der Anforderungsname des erkannten Pakets? snort -c local.rules -A full -l . -r task9.pcap
Erstellen Sie eine Regel zum Filtern von Paketen mit SYN-Flag und führen Sie sie für die angegebene PCAP-Datei aus. Wie viele Pakete wurden erkannt?
Löschen Sie die vorherigen Protokoll- und Alarmdateien und deaktivieren/kommentieren Sie die alte Regel.
Schreiben Sie eine Regel zum Filtern von Paketen mit Push-Ack-Flags und führen Sie sie mit der angegebenen PCAP-Datei aus. Wie viele Pakete wurden erkannt?
Löschen Sie die vorherigen Protokoll- und Alarmdateien und deaktivieren/kommentieren Sie die alte Regel.
Erstellen Sie eine Regel zum Filtern von Paketen mit derselben Quell- und Ziel-IP und führen Sie sie mit der angegebenen PCAP-Datei aus. Wie viele Pakete wurden erkannt?
Fallbeispiel – Ein Analyst hat eine bestehende Regel erfolgreich geändert. Welche Regeloption muss der Analyst nach der Implementierung ändern?
Video-Komplettlösung