4 – amaliy ish. Mavzu: Retina skanerlashning audit funksiyasidan foydalanish. Audit yorlig'idan foydalanish

Download 1,62 Mb.

bet	14/20
Sana	04.03.2022
Hajmi	1,62 Mb.
	#482397

1 ... 10 11 12 13 14 15 16 17 ... 20

Bog'liq
4-5-6chi amaliy ishlar

Snort qoidalari

Biz tushunganimizdek, qoidalar / etc / snort / Rules katalogida joylashgan. Ko'p tarmoqli so'rovlarni yuborish uchun ogohlantirish misolini ko'rib chiqamiz:
Ogohlantirish yozuvini kengaytirib, ogohlantirishni yaratgan qoidaning yon tomonini aniqlang.

Bunday holda sid 527 dir. Qoidani qidiramiz:
# grep "sid: 527" -R / etc / snort / Rules /
/etc/snort/rules/bad-traffic.rules:alert ip any any -\u003e any any (msg: "BAD-TRAFFIC same SRC / DST"; sameip; reference: bugtraq, 2666; reference: cve, 1999-0016; mos yozuvlar: url, www.cert.org /ounselories / CA-1997-28.html; classtype: bad-unknown; sid: 527; rev: 8;
Keling, qoidani tahlil qilaylik:
ip - protokol;
birinchi "har qanday istalgan" - SRCIP va SRCPort, ikkinchisi - mos ravishda DSTIP va DSTPort;
"-\u003e" - paketning yo'nalishini bildiradi, shuningdek siz "" dan foydalanishingiz mumkin;
msg: "BAD-TRAFFIC same SRC / DST" - ogohlantirish ishga tushirilganda hosil bo'lgan xabar;
sameip parametri, agar SRCIP va DSTIP bir xil bo'lsa, qoidani ishga tushirish kerakligini ko'rsatadi;
keyin tashqi manbalarga havolalar va hujumning modifikatsiyalari mavjud;
classtype parametri hujumning tasnifini belgilaydi;
sid - qoida uchun yagona identifikator;
rev parametri ushbu qoidaning qayta ko'rib chiqilishini bildiradi.
Xostni qoidadan olib tashlash uchun shunchaki qo'shing!. Ko'p tarmoqli manzilni qoidadan chiqarib tashlaylik:
IP-ga har qanday ogohlantirish -\u003e! any (msg: "BAD-TRAFFIC same SRC / DST"; sameip; mos yozuvlar: bugtraq, 2666; ma'lumotnoma: cve, 1999-0016; mos yozuvlar: url, www.cert.org /ounselories / CA-1997-28.html; classtype: yomon noma'lum; sid: 527; rev: 8;
Snortni qayta ishga tushiring:
# xizmat snortni qayta ishga tushirish
Boshqa bir misolni ko'rib chiqamiz - veb-serverdagi zaxira katalogiga kirishga urinish:

Qoida quyidagicha ko'rinadi:
Ogohlantirish tcp $ EXTERNAL_NET any -\u003e
Istisnoga administrator xostlarini qo'shing:
Ogohlantirish tcp! $ EXTERNAL_NET any -\u003e $ HTTP_SERVERS $ HTTP_PORTS (msg: "WEB-MISC backup access"; flow: to_server, assigned; uricontent: "/ backup"; nocase; classtype: cəhdi-recon; sid: 1213; rev: 5;)
Shu bilan bir qatorda, administratorlarning IP-manzillarini snort.conf-da o'zgaruvchi sifatida belgilashingiz va istisnolar uchun ushbu o'zgaruvchidan foydalanishingiz mumkin. Bundan tashqari, Snort oq / qora ro'yxatlardan foydalanadi, unda siz xostlar va tarmoqlarning IP-manzillarini belgilashingiz mumkin. Misol:
Preprocessor obro'si: \\ qora ro'yxat /etc/snort/default.blacklist oq ro'yxati /etc/snort/default.whitelist
P.S.
Standart qoidalar to'plami Snort (jamoat qoidalari) bepul tarqatiladi va kengaytirilgan bo'lib, unda ma'lum hujumlarning eng muhim imzolari mavjud - pulli obuna uchun.
Ingliz tilidagi batafsil Snort qo'llanmasini bu erda topishingiz mumkin.
Hammasi shu! Agar qo'shimchalar, sharhlar bo'lsa, sharhlarda muhokama qilishdan mamnunman.
Snort bepul dasturiy ta'minotdir va kuchli ochiq manbali tajovuzni oldini olish vositasi (IPS). Ayni paytda, yordam dasturining eng so'nggi versiyasi – 2.8.6.1 22.07.2010 yildan.

Download 1,62 Mb.

Do'stlaringiz bilan baham:

1 ... 10 11 12 13 14 15 16 17 ... 20