Nous avons abordé la configuration de Snort en tant que solution open source IDS/IPS. Snort fonctionne comme un renifleur, un enregistreur de paquets et un IPS/IDS. Cela faisait partie de EssayezHackMe Snort.

Obtenez des notes de sniff

Système de détection d'intrusion (ID)

ID est une solution de surveillance passive permettant de détecter d'éventuelles activités/modèles malveillants, des incidents anormaux et des violations de politique. Il est chargé de générer des alertes pour chaque événement suspect.

Il existe deux principaux types de ID systèmes;

  • Système de détection d'intrusion réseau (NIDS) – NIDS surveille le flux de trafic provenant de diverses zones du réseau. L'objectif est d'étudier le trafic sur l'ensemble du sous-réseau. Si une signature est identifiée, une alerte est créée.
  • Système de détection d'intrusion basé sur l'hôte (CACHÉS) – CACHÉS surveille le flux de trafic à partir d’un seul périphérique de point de terminaison. L’objectif est d’enquêter sur le trafic sur un appareil particulier. Si une signature est identifiée, une alerte est créée.
Système de prévention des intrusions (IPS)

IPS est une solution de protection active permettant de prévenir d'éventuelles activités/modèles malveillants, des incidents anormaux et des violations de politique. Il est chargé d'arrêter/prévenir/mettre fin à l'événement suspect dès que la détection est effectuée.

Il existe quatre principaux types de IPS systèmes;

  • Système de prévention des intrusions réseau (NIPS) – NIPS surveille le flux de trafic provenant de diverses zones du réseau. L'objectif est de protéger le trafic sur l'ensemble du sous-réseau. Si une signature est identifiée, la connexion est terminée.
  • Système de prévention des intrusions basé sur le comportement (analyse du comportement du réseau – NBA) – Les systèmes basés sur le comportement surveillent le flux de trafic provenant de différentes zones du réseau. L'objectif est de protéger le trafic sur l'ensemble du sous-réseau. Si une signature est identifiée, la connexion est terminée.

RENIFLER 

SNORT est un système de détection et de prévention des intrusions réseau (NIDS/NIPS) open source basé sur des règles. Il a été développé et toujours maintenu par Martin Roesch, des contributeurs open source et l'équipe Cisco Talos.

Capacités de Snort ;

  • Analyse du trafic en direct
  • Détection d'attaque et de sonde
  • Journalisation des paquets
  • Analyse du protocole
  • Alerte en temps réel
  • Modules et plugins
  • Pré-processeurs
  • Prise en charge multiplateforme ! (Linux & Les fenêtres)

Snort a trois modèles d'utilisation principaux ;

  • Mode Sniffer – Lisez les paquets IP et demandez-les dans l'application console.
  • Mode Packet Logger – Enregistrez tous les paquets IP (entrants et sortants) qui visitent le réseau.
  • NIDS (Système de détection d'intrusion réseau) et NIPS Modes (Network Intrusion Prevention System) – Enregistrez/supprimez les paquets considérés comme malveillants selon les règles définies par l’utilisateur.

Réponses de la salle

Quel mode snort peut vous aider à arrêter les menaces sur une machine locale ?

Quel mode snort peut vous aider à détecter les menaces sur un réseau local ?

Quel mode snort peut vous aider à détecter les menaces sur une machine locale ?

Quel mode snort peut vous aider à stopper les menaces sur un réseau local ?

Quel mode sniff fonctionne de manière similaire à NIPS mode?

D'après la description officielle du sniff, quel genre de NIPS est-ce ?

NBA la période de formation est également appelée…

Exécutez l'instance Snort et vérifiez le numéro de build.

Testez l'instance actuelle avec "/etc/snort/snort.conf" et vérifiez combien de règles sont chargées avec la version actuelle.

Testez l'instance actuelle avec "/etc/snort/snortv2.conf" et vérifiez combien de règles sont chargées avec la version actuelle.

Examinez le trafic avec le fichier de configuration par défaut en mode ASCII.

 

sudo snort -dev -K ASCII -l .

Exécutez le script générateur de trafic et choisissez « Exercice TASK-6 ». Attendez la fin du trafic, puis arrêtez l'instance Snort. Analysez maintenant le résumé du résultat et répondez à la question.

 

sudo ./traffic-generator.sh

Maintenant, vous devriez avoir les journaux dans le répertoire courant. Accédez au dossier « 145.254.160.237 ». Quel est le port source utilisé pour connecter le port 53 ?

Utilisez snort.log.1640048004

Lisez le fichier snort.log avec Snort ; quel est l'ID IP du 10ème paquet ?

snort -r snort.log.1640048004 -n 10

Lis le "renifler.log.1640048004″ déposer auprès de Snort ; quel est le référent du 4ème paquet ?

Lis le "renifler.log.1640048004″ déposer auprès de Snort ; quel est le numéro Ack du 8ème paquet ?

Lis le "renifler.log.1640048004″ déposer auprès de Snort ; quel est le numéro du "Port TCP 80" des paquets ?

Examinez le trafic avec le fichier de configuration par défaut.

 

sudo snort -c /etc/snort/snort.conf -A full -l .

Exécutez le script générateur de trafic et choisissez « Exercice TÂCHE-7 ». Attendez que le trafic s'arrête, puis arrêtez l'instance Snort. Analysez maintenant le résumé du résultat et répondez à la question.

 

sudo ./traffic-generator.sh

Quel est le numéro de la personne détectée HTTP Méthodes GET ?

Enquêter sur mx-1.pcap fichier avec le fichier de configuration par défaut.

 

sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-1.pcap

Quel est le nombre d'alertes générées ?

Continuez à lire la sortie. Combien de segments TCP sont en file d’attente ?

Continuez à lire le résultat. Combien d’« en-têtes de réponse HTTP » ont été extraits ?

Examinez le fichier mx-1.pcap avec le deuxième fichier de configuration.

 

sudo snort -c /etc/snort/snortv2.conf -A full -l . -r mx-1.pcap

Quel est le nombre d'alertes générées ?

Enquêter sur mx-2.pcap fichier avec le fichier de configuration par défaut.

 

sudo snort -c /etc/snort/snort.conf -A full -l . -r mx-2.pcap

Quel est le nombre d'alertes générées ?

Continuez à lire la sortie. Quel est le numéro de la personne détectée TCP des paquets ?

Examinez les fichiers mx-2.pcap et mx-3.pcap avec le fichier de configuration par défaut.

 

sudo snort -c /etc/snort/snort.conf -A full -l . --pcap-list="mx-2.pcap mx-3.pcap"

Quel est le nombre d'alertes générées ?

Utiliser tâche9.pcap ».

Écrivez une règle pour filtrer Identifiant IP « 35369 » et exécutez-le sur le fichier pcap donné. Quel est le nom de la requête du paquet détecté ? snort -c local.rules -A full -l . -r tâche9.pcap

Créez une règle pour filtrer les paquets avec l'indicateur Syn et exécutez-la sur le fichier pcap donné. Quel est le nombre de paquets détectés ?

Effacez les fichiers journaux et d'alarme précédents et désactivez/commentez l'ancienne règle.

Écrivez une règle pour filtrer les paquets avec des indicateurs Push-Ack et exécutez-la sur le fichier pcap donné. Quel est le nombre de paquets détectés ?

Effacez les fichiers journaux et d'alarme précédents et désactivez/commentez l'ancienne règle.

Créez une règle pour filtrer les paquets avec la même adresse IP source et de destination et exécutez-la sur le fichier pcap donné. Quel est le nombre de paquets détectés ?

Exemple de cas – Un analyste a réussi à modifier une règle existante. Quelle option de règle l’analyste doit-il modifier après la mise en œuvre ?

Vidéo pas à pas

, , , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles