|
Kengaytirilgan snort konfiguratsiyasi
Iqtibos bilan boshlayman: "Axborot xavfsizligining asosiy muammosi, qoida tariqasida, axborot xavfsizligi tizimlarining mavjudligi bilan emas, balki ularning ish natijalarini qayta ishlash va tahlil qilish bilan bog'liq." Keling, Snort voqealarni qanday va qanday mezonlarga ko'ra yaratishini va keraksiz narsalarni chiqarib, ularni ishlab chiqarishni va qayta ishlashni optimallashtirishni aniqlaylik.
Snort konfiguratsiya fayllari / etc / snort katalogida joylashgan. Snort.debian.conf fayli Snort tinglaydigan interfeyslar va shuningdek, yordam dasturini o'rnatishda ko'rsatilgan tarmoq manzillari haqidagi ma'lumotlarni o'z ichiga oladi. Ma'lumotlar bazasiga ulanish uchun ma'lumotlar - database.conf faylida. Snort qoidalari haqida ma'lumot uchun snort.conf faylini ko'ring. Keling, buni batafsilroq ko'rib chiqaylik.
snort.conf
Konfiguratsiya fayli bo'limlardan iborat:
1) Tarmoq o'zgaruvchilarini o'rnating
2) dekoderni sozlang
3) bazani aniqlash dvigatelini sozlash
4) Dinamik yuklangan kutubxonalarni sozlash
5) Old protsessorlarni sozlash
6) chiqish plaginlarini sozlash
7) qoidalar to'plamini moslashtiring
8) Dastlabki protsessor va dekoder qoidalarini sozlang
9) Umumiy ob'ektlar qoidalari to'plamini moslashtiring
Keling, asosiy bo'limlarni ko'rib chiqaylik.
1. Tarmoq sozlamalari va o'zgaruvchilar
Ushbu turkumda siz, masalan, ichki va tashqi tarmoqning tarmoq manzillarini, bizning tarmog'imizda ishlatiladigan xizmatlarni, shuningdek, bunday xizmatlarni yoki xostlarni guruhlashni belgilashingiz mumkin, bu voqealarni keyingi tahlil qilishni osonlashtiradi.
Bundan tashqari, bo'limda Snort qoidalari katalogining joylashish yo'llari, shuningdek, Oq va Qora ro'yxatlar mavjud. Bunga birozdan keyin qaytamiz.
Var RULE_PATH / etc / snort / Rules ... var WHITE_LIST_PATH / etc / snort / Rules var BLACK_LIST_PATH / etc / snort / Rules
2. Dekoderlar
Snort paketida amalga oshiradigan birinchi jarayonlardan biri bu dekoderlar tomonidan ishlov berish, ularning vazifasi paketdagi asosiy protokolni (ETHERNET, IP, TCP va boshqalar) aniqlashdir, ammo paketning tarkibi qayta ishlanmaydi, lekin keyingi ishlov berish uchun oldindan ishlov beruvchilarga uzatiladi va aniqlash dvigatellari.
Misol. IP kodi noto'g'ri bo'lgan paketlarni dekoderdan chiqarib tashlaymiz:
Disable_ipopt_alerts-ni sozlang
va DNS-serverga yo'naltirilgan paketlar:
Ignore_ports-ni sozlash: 53
3. Aniqlash dvigatelini sozlash
Aniqlash mexanizmi PCRE - Perl-ga mos keladigan naqsh qidirish kutubxonasidan foydalanishi mumkin. Ushbu bo'limda siz qidirish parametrlarini va uning usulini optimallashtirishingiz mumkin.
5. Dastlabki protsessorlarni sozlash
Men buni boshida aytishim kerak edi, lekin hozir sizga xabar beraman - Snort 2 rejimda ishlashi mumkin - inline (IPS) va buzuq rejim (IDS). Birinchi holda, Snort u orqali o'tayotgan paketlarni boshqarishi mumkin (o'zgartirish, blokirovka qilish), ikkinchidan, u faqat shubhali harakatlar paytida kuzatishi va ogohlantirishi mumkin. Dastlabki protsessor sozlamalarida ba'zi parametrlar faqat inline rejimida ishlaydi, masalan, normal protsessor normalize_ip4 opsiyasi paketlarni normalizatsiya qiladi (TTL, TOS va boshqalarni tuzatadi). Ushbu maqola kontekstida biz IDS haqida gapirganimiz uchun, biz bunday variantlarni qoldiramiz.
Preprocessor to'g'ridan-to'g'ri paketning tarkibi bilan ishlaydi, masalan, http_inspect_server kabi http_inspect_server kabi qoidalar to'plamlaridan foydalangan holda http usuli, portlari, cookie-fayllarni tahlil qilish zarurati, maxsus maxsus belgilar va boshqalar, veb-serverlar uchun profillar mavjud.
6. Chiqarishni sozlash
Snort syslog, unified2, prelude, tcpdump va hk formatida juda moslashuvchan chiqish funktsiyalariga ega.
Odatiy bo'lib, ma'lumotlar tcpdump.log fayliga tcpdump (pcap) formatida yoziladi. Keling, satrni sharhlaymiz:
Log_tcpdump chiqishi: tcpdump.log
Alert_fast yordamida faylga ogohlantirishlarni satrma-navbat yozilishini sozlash ortiqcha bo'lmaydi:
Chiqish alert_fast: snort.log 10M
Ammo, biz MySQL-ga yozishni sozlaganimiz sababli, ushbu bo'lim biz uchun juda muhim emas.
7. Snort qoidalarini ulash / o'chirish
Ushbu bo'lim Snort qoidalarini yoqish va o'chirishga imkon beradi. Birinchi bo'limda belgilangan $ RULE_PATH o'zgaruvchisi qoidalarni joylashtirish katalogi sifatida ishlatiladi. Shunday qilib, biz konfiguratsiyani ko'rib chiqdik, qoidalarini aniqlab olishga harakat qilaylik.
Do'stlaringiz bilan baham: |
