Abbiamo trattato la configurazione di snort come soluzione open source IDS/IPS. Snort funziona come sniffer, registratore di pacchetti e IPS/IDS. Questo faceva parte ProvaHackMe Snort.
Sistema di rilevamento delle intrusioni (ID)
ID è una soluzione di monitoraggio passivo per rilevare possibili attività/modelli dannosi, incidenti anomali e violazioni delle policy. È responsabile della generazione di avvisi per ogni evento sospetto.
Esistono due tipi principali di ID sistemi;
- Sistema di rilevamento delle intrusioni di rete (NIDI) – NIDI monitora il flusso di traffico proveniente dalle varie aree della rete. Lo scopo è quello di indagare il traffico sull'intera sottorete. Se viene identificata una firma, viene creato un avviso.
- Sistema di rilevamento delle intrusioni basato su host (NASCONDI) – NASCONDI monitora il flusso di traffico da un singolo dispositivo endpoint. Lo scopo è indagare il traffico su un particolare dispositivo. Se viene identificata una firma, viene creato un avviso.
IPS è una soluzione di protezione attiva per prevenire possibili attività/modelli dannosi, incidenti anomali e violazioni delle policy. È responsabile di fermare/prevenire/terminare l'evento sospetto non appena viene eseguita la rilevazione.
Esistono quattro tipi principali di IPS sistemi;
- Sistema di prevenzione delle intrusioni di rete (NIPS) – NIPS monitora il flusso di traffico proveniente dalle varie aree della rete. L'obiettivo è proteggere il traffico sull'intera sottorete. Se viene identificata una firma, la connessione viene interrotta.
- Sistema di prevenzione delle intrusioni basato sul comportamento (analisi del comportamento della rete – NBA) – I sistemi basati sul comportamento monitorano il flusso di traffico proveniente da diverse aree della rete. L'obiettivo è proteggere il traffico sull'intera sottorete. Se viene identificata una firma, la connessione viene interrotta.
SBORRO
SNORT è un sistema di rilevamento e prevenzione delle intrusioni di rete open source e basato su regole (NIDS/NIPS). È stato sviluppato e tuttora gestito da Martin Roesch, contributori open source e dal team Cisco Talos.
Capacità di Snort;
- Analisi del traffico in tempo reale
- Rilevamento di attacchi e sonde
- Registrazione dei pacchetti
- Analisi del protocollo
- Avvisi in tempo reale
- Moduli e plugin
- Preprocessori
- Supporto multipiattaforma! (Linux & Finestre)
Snort ha tre modelli di utilizzo principali;
- Modalità Sniffer: legge i pacchetti IP e li richiede nell'applicazione console.
- Modalità Packet Logger: registra tutti i pacchetti IP (in entrata e in uscita) che visitano la rete.
- NIDI (Sistema di rilevamento delle intrusioni di rete) e NIPS (Network Intrusion Prevention System) Modalità: registra/rilascia i pacchetti considerati dannosi in base alle regole definite dall'utente.
Risposte in camera
Quale modalità snort può aiutarti a rilevare le minacce su una rete locale?
Quale modalità snort può aiutarti a rilevare le minacce su un computer locale?
Quale modalità di snort può aiutarti a fermare le minacce su una rete locale?
A quale modalità di sbuffo funziona in modo simile NIPS modalità?
Secondo la descrizione ufficiale dello sbuffo, di che tipo NIPS è?
NBA il periodo di formazione è noto anche come...
Esegui l'istanza di Snort e controlla il numero di build.
Testare l'istanza corrente con "/etc/snort/snort.conf" e controlla quante regole sono caricate con la build corrente.
Testare l'istanza corrente con "/etc/snort/snortv2.conf" e controlla quante regole sono caricate con la build corrente.
Esamina il traffico con il file di configurazione predefinito con modalità ASCII.
sudo snort -dev -K ASCII -l .
sudo ./traffic-generator.sh
Utilizza snort.log.1640048004
Leggi il file snort.log con Snort; qual è l'ID IP del decimo pacchetto?
snort -r snort.log.1640048004 -n 10
Leggi il "snort.log.1640048004″ archiviare con Snort; qual è il referer del 4° pacchetto?
Leggi il "snort.log.1640048004″ archiviare con Snort; qual è il numero Ack dell'ottavo pacchetto?
Leggi il "snort.log.1640048004″ archiviare con Snort; qual è il numero di “Porta TCP 80” pacchetti?
Esamina il traffico con il file di configurazione predefinito.
sudo snort -c /etc/snort/snort.conf -A full -l .
sudo ./traffic-generator.sh
Investigare il mx-1.pcap file con il file di configurazione predefinito.
sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-1.pcap
Continua a leggere l'output. Quanti segmenti TCP sono in coda?
Continua a leggere l'output.Quante "intestazioni di risposta HTTP" sono state estratte?
Esaminare il file mx-1.pcap con il secondo file di configurazione.
sudo snort -c /etc/snort/snortv2.conf -A full -l . -r mx-1.pcap
Investigare il mx-2.pcap file con il file di configurazione predefinito.
sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-2.pcap
Continua a leggere l'output. Qual è il numero del rilevato TCP pacchetti?
Esaminare i file mx-2.pcap e mx-3.pcap con il file di configurazione predefinito.
sudo snort -c /etc/snort/snort.conf -A full -l . --pcap-list="mx-2.pcap mx-3.pcap"
Utilizzo “task9.pcap”.
Scrivi una regola per filtrare ID IP “35369” ed eseguirlo sul file pcap specificato. Qual è il nome della richiesta del pacchetto rilevato? snort -c local.rules -A full -l . -r attività9.pcap
Crea una regola per filtrare i pacchetti con il flag Syn ed eseguila sul file pcap specificato. Qual è il numero di pacchetti rilevati?
Cancella i file di registro e di allarme precedenti e disattiva/commenta la vecchia regola.
Scrivi una regola per filtrare i pacchetti con flag Push-Ack ed eseguila sul file pcap specificato. Qual è il numero di pacchetti rilevati?
Cancella i file di registro e di allarme precedenti e disattiva/commenta la vecchia regola.
Crea una regola per filtrare i pacchetti con lo stesso IP di origine e destinazione ed eseguila sul file pcap specificato. Qual è il numero di pacchetti rilevati?
Esempio di caso: un analista ha modificato correttamente una regola esistente. Quale opzione di regola deve modificare l'analista dopo l'implementazione?
Videoprocedura dettagliata
