Wir haben die Konfiguration von Snort als IDS/IPS-Open-Source-Lösung behandelt. Snort fungiert als Sniffer, Paketlogger und IPS/IDS. Dies war Teil von TryHackMe Snort.

Holen Sie sich Snort Notes

Angriffserkennungssystem (IDS)

IDS ist eine passive Überwachungslösung zum Erkennen möglicher böswilliger Aktivitäten/Muster, ungewöhnlicher Vorfälle und Richtlinienverstöße. Sie ist für die Generierung von Warnungen für jedes verdächtige Ereignis verantwortlich.

Es gibt zwei Haupttypen von IDS Systeme;

  • Netzwerk-Intrusion-Detection-System (NIDS) – NIDS überwacht den Verkehrsfluss aus verschiedenen Bereichen des Netzwerks. Ziel ist es, den Verkehr im gesamten Subnetz zu untersuchen. Wenn eine Signatur identifiziert wird, wird eine Warnung erstellt.
  • Hostbasiertes Intrusion Detection System (HIDS) – HIDS überwacht den Datenverkehr von einem einzelnen Endgerät. Ziel ist es, den Datenverkehr auf einem bestimmten Gerät zu untersuchen. Wenn eine Signatur identifiziert wird, wird eine Warnung erstellt.
Angrifferkennungssystem (IPS)

IPS ist eine aktive Schutzlösung zur Verhinderung möglicher böswilliger Aktivitäten/Muster, ungewöhnlicher Vorfälle und Richtlinienverstöße. Sie ist dafür verantwortlich, das verdächtige Ereignis zu stoppen/verhindern/beenden, sobald die Erkennung erfolgt.

Es gibt vier Haupttypen von IPS Systeme;

  • Netzwerk-Intrusion-Prevention-System (NIPS) – NIPS überwacht den Verkehrsfluss aus verschiedenen Bereichen des Netzwerks. Ziel ist es, den Verkehr im gesamten Subnetz zu schützen. Wenn eine Signatur identifiziert wird, wird die Verbindung beendet.
  • Verhaltensbasiertes Intrusion Prevention System (Netzwerkverhaltensanalyse – NBA) – Verhaltensbasierte Systeme überwachen den Verkehrsfluss aus verschiedenen Bereichen des Netzwerks. Ziel ist es, den Verkehr im gesamten Subnetz zu schützen. Wenn eine Signatur identifiziert wird, die Verbindung wird beendet.

SCHNAUBEN 

SNORT ist ein regelbasiertes Open-Source-System zur Erkennung und Verhinderung von Angriffen auf Netzwerke (NIDS/NIPS). Es wurde von Martin Roesch, Open-Source-Mitwirkenden und dem Cisco Talos-Team entwickelt und wird auch weiterhin von ihnen gepflegt.

Fähigkeiten von Snort;

  • Live-Verkehrsanalyse
  • Angriffs- und Sondenerkennung
  • Paketprotokollierung
  • Protokollanalyse
  • Echtzeit-Alarmierung
  • Module & Plugins
  • Präprozessoren
  • Plattformübergreifende Unterstützung! (Linux & Windows)

Snort hat drei Hauptverwendungsmodelle;

  • Sniffer-Modus – Lesen Sie IP-Pakete und geben Sie sie in der Konsolenanwendung ein.
  • Paketlogger-Modus – Protokollieren Sie alle IP-Pakete (eingehend und ausgehend), die das Netzwerk besuchen.
  • NIDS (Network Intrusion Detection System) und NIPS (Network Intrusion Prevention System)-Modi – Protokollieren/löschen Sie die Pakete, die gemäß den benutzerdefinierten Regeln als bösartig eingestuft werden.

Raumantworten

Welcher Snort-Modus kann Ihnen helfen, die Bedrohungen auf einem lokalen Computer zu stoppen?

Welcher Snort-Modus kann Ihnen dabei helfen, Bedrohungen in einem lokalen Netzwerk zu erkennen?

Welcher Snort-Modus kann Ihnen dabei helfen, Bedrohungen auf einem lokalen Computer zu erkennen?

Welcher Snort-Modus kann Ihnen helfen, Bedrohungen in einem lokalen Netzwerk zu stoppen?

Welcher Snort-Modus funktioniert ähnlich wie NIPS Modus?

Nach der offiziellen Beschreibung des Schnaubens, welche Art von NIPS ist es?

NBA Die Ausbildungszeit wird auch genannt …

Führen Sie die Snort-Instanz aus und überprüfen Sie die Build-Nummer.

Testen Sie die aktuelle Instanz mit „/etc/snort/snort.conf“-Datei und prüfen Sie, wie viele Regeln mit dem aktuellen Build geladen werden.

Testen Sie die aktuelle Instanz mit „/etc/snort/snortv2.conf“-Datei und prüfen Sie, wie viele Regeln mit dem aktuellen Build geladen werden.

Untersuchen Sie den Datenverkehr mit der Standardkonfigurationsdatei im ASCII-Modus.

 

sudo snort -dev -K ASCII -l.

Führen Sie das Traffic-Generator-Skript aus und wählen Sie „TASK-6 Übung“. Warten Sie, bis der Verkehr endet, und stoppen Sie dann die Snort-Instanz. Analysieren Sie nun die Ausgabezusammenfassung und beantworten Sie die Frage.

 

sudo ./traffic-generator.sh

Jetzt sollten Sie die Protokolle im aktuellen Verzeichnis haben. Navigieren Sie zum Ordner „145.254.160.237“. Welcher Quellport wird zum Verbinden von Port 53 verwendet?

Verwenden Sie snort.log.1640048004

Lesen Sie die Datei snort.log mit Snort. Was ist die IP-ID des 10. Pakets?

snort -r snort.log.1640048004 -n 10

Lies das "snort.log.1640048004″ Datei mit Snort; was ist der Referrer des 4. Pakets?

Lies das "snort.log.1640048004″ Datei mit Snort; was ist die Ack-Nummer des 8. Pakets?

Lies das "snort.log.1640048004″ Datei mit Snort; wie lautet die Nummer der „TCP-Port 80“ Pakete?

Untersuchen Sie den Datenverkehr mit der Standardkonfigurationsdatei.

 

sudo snort -c /etc/snort/snort.conf -A full -l .

Führen Sie das Traffic-Generator-Skript aus und wählen Sie „TASK-7-Übung“. Warten Sie, bis der Verkehr aufhört, und stoppen Sie dann die Snort-Instanz. Analysieren Sie nun die Ausgabezusammenfassung und beantworten Sie die Frage.

 

sudo ./traffic-generator.sh

Wie lautet die Anzahl der erkannten HTTP GET-Methoden?

Untersuchen Sie die mx-1.pcap Datei durch die Standardkonfigurationsdatei.

 

sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-1.pcap

Wie hoch ist die Anzahl der generierten Warnungen?

Lesen Sie die Ausgabe weiter. Wie viele TCP-Segmente stehen in der Warteschlange?

Lesen Sie die Ausgabe weiter. Wie viele „HTTP-Antwortheader“ wurden extrahiert?

Untersuchen Sie die Datei mx-1.pcap mit dem zweiten Konfigurationsdatei.

 

sudo snort -c /etc/snort/snortv2.conf -A full -l . -r mx-1.pcap

Wie hoch ist die Anzahl der generierten Warnungen?

Untersuchen Sie die mx-2.pcap Datei durch die Standardkonfigurationsdatei.

 

sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-2.pcap

Wie hoch ist die Anzahl der generierten Warnungen?

Lesen Sie die Ausgabe weiter. Wie lautet die Nummer der erkannten TCP Pakete?

Untersuchen Sie die Dateien mx-2.pcap und mx-3.pcap mit der Standardkonfigurationsdatei.

 

sudo snort -c /etc/snort/snort.conf -A full -l . --pcap-list="mx-2.pcap mx-3.pcap"

Wie hoch ist die Anzahl der generierten Warnungen?

Verwenden „task9.pcap“.

Schreiben Sie eine Regel zum Filtern IP-ID „35369“ und führen Sie es mit der angegebenen PCAP-Datei aus. Wie lautet der Anforderungsname des erkannten Pakets? snort -c local.rules -A full -l . -r task9.pcap

Erstellen Sie eine Regel zum Filtern von Paketen mit SYN-Flag und führen Sie sie für die angegebene PCAP-Datei aus. Wie viele Pakete wurden erkannt?

Löschen Sie die vorherigen Protokoll- und Alarmdateien und deaktivieren/kommentieren Sie die alte Regel.

Schreiben Sie eine Regel zum Filtern von Paketen mit Push-Ack-Flags und führen Sie sie mit der angegebenen PCAP-Datei aus. Wie viele Pakete wurden erkannt?

Löschen Sie die vorherigen Protokoll- und Alarmdateien und deaktivieren/kommentieren Sie die alte Regel.

Erstellen Sie eine Regel zum Filtern von Paketen mit derselben Quell- und Ziel-IP und führen Sie sie mit der angegebenen PCAP-Datei aus. Wie viele Pakete wurden erkannt?

Fallbeispiel – Ein Analyst hat eine bestehende Regel erfolgreich geändert. Welche Regeloption muss der Analyst nach der Implementierung ändern?

Video-Komplettlösung

, , , ,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen