4 – amaliy ish. Mavzu: Retina skanerlashning audit funksiyasidan foydalanish. Audit yorlig'idan foydalanish

Download 1,62 Mb.

bet	9/20
Sana	04.03.2022
Hajmi	1,62 Mb.
	#482397

1 ... 5 6 7 8 9 10 11 12 ... 20

Bog'liq
4-5-6chi amaliy ishlar

Windows uchun Snort-ni sozlash

Windows uchun Snort-ni o'rnatish

Snort-ni Windows-ga o'rnatish uchun unga qo'shilgan CD-dan yoki http://www.snort.org-dan ikkilikni oling. Unga ikki marta bosing va u avtomatik ravishda o'rnatiladi. Sizdan ma'lum bir ma'lumotlar bazasi yoki sezgir modul kabi qo'shimcha modullar kerakligi so'raladi.

Windows uchun Snort-ni sozlash

Snort-ning Windows versiyasini o'rnatish jarayoni UNIX-ni o'rnatishga juda o'xshaydi. Barcha konfiguratsiya va qoidalar fayllari bir xil nisbiy kataloglarda joylashgan. Snort.conf faylini Snort o'rnatishingizning etc katalogiga kiriting. Uni UNIX versiyasi qismida tavsiya etilgan tarzda o'zgartiring va tahrirlang. Keyin qoidalar fayllariga o'ting va u erda o'zgarishlar qiling. Shundan so'ng hamma narsa Snortni boshlashga tayyor bo'ladi. Windows uchun Snort-dan foydalanish haqida ko'proq ma'lumot olish uchun UNIX bo'limidagi "Snortni ishga tushirish" bo'limiga qarang, chunki barcha buyruqlar bir xil. Qo'shimcha sozlamalar va joylashtirish bo'yicha ko'rsatmalar asl UNIX versiyasi bilan bir xil.
Flamy Tech Coders burchagi
Maxsus Snort qoidalarini yozish
Snort bilan ta'minlangan standart qoidalar ma'lum imzolarga ega bo'lgan hujumlardan etarli darajada himoyani ta'minlasa-da, siz kirishni aniqlash tizimidan maksimal darajada foydalanish uchun siz o'zingizning tarmoqqa tegishli ba'zi bir maxsus qoidalarni yaratishingiz mumkin. Siz quyidagi qoidalarni yozishingiz mumkin:

ma'lum serverlar uchun kiruvchi va chiquvchi kirishni kuzatish;
muayyan fayl turlarini yoki tashkilotingizga xos nomlarni qidirish;
tarmoqqa begona bo'lgan trafikning ayrim turlarini kuzatish;

Snort uchun qoidalar yozishni o'rganish qiyin emas; bu dasturlash bo'yicha keng bilimga ega bo'lmagan taqdirda ham dasturning funksionalligini tezda oshirishga imkon beradi. Ko'rib turganingizdek, barcha Snort qoidalari - bu qoidalar fayllaridan birida oddiy matnli ko'rsatmalar.
Agar Snort tarmog'ingizda shubhali bo'lishi mumkin bo'lgan ba'zi bir maxsus xatti-harakatlarni aniqlasa, siz tezda qoidalarni kodlashingiz va ushbu xatti-harakatni darhol sinab ko'rishingiz mumkin. Snort qoidalari bu asosan matnning bitta satrlari bo'lib, ular harakatlar bilan boshlanadi (odatda ogohlantirish), keyin bir nechta dalillar. Eng yangi versiyada (2.0 va undan yuqori), har bir satrning oxiriga, oxirgisidan tashqari, shunchaki \\ (teskari chiziq) qo'yish orqali bir nechta qator qo'shish mumkin. Murakkab holatlarda, shuningdek, qo'shimcha buyrug'i yordamida boshqa dasturlarga qo'ng'iroq qilishingiz mumkin. Ammo asosiy shaklda Snort qoidasi ikki qismdan iborat: sarlavha va parametrlar. Quyida qoidaning namunasi keltirilgan.
alert tcp any any 192.168.0.0/24 \\ (content: "| 00 05 A4 6F 2E |"; msg: "Test Alert")
Sarlavha birinchi qavsdan oldingi qismdir. Ushbu yo'riqnomada harakat (bizning holatimizda - ogohlantirish), protokol, shuningdek jo'natuvchi va qabul qiluvchining manzillari va portlari mavjud. Amal, agar qoida bilan belgilangan shart to'g'ri bo'lsa bajariladi. Bunday holda ogohlantirish paydo bo'ladi. Boshqa variantlar: Log, Pass, Activate va Dynamic.
Protokollar tcp, udp, icmp yoki ip bo'lishi mumkin, bu har qanday IP protokolini anglatadi. (Kelajakda IPX kabi IP-bo'lmagan protokollar qo'llab-quvvatlanishi mumkin.) Manba va manzil portlari o'z-o'zidan tushunarli. Manba manzili birinchi o'rinda turadi va IP diapazoni uchun standart slash yozuvlari yordamida ko'rsatiladi. Bundan tashqari, bir nechta alohida manzillar va tarmoqlarni ro'yxatlashingiz mumkin, ularni vergul bilan bo'shliqsiz ajratib, ularni kvadrat qavsga qo'ying, masalan: ogohlantirish tcp har qanday< 80 \ (content: "|00 05 A4 6F 2E|"; msg : "Test Alert";)
Ushbu ko'rsatma har qanday manzildan kelib tushadigan, 80-portdagi 192.168.1.1, 192.168.1.5 va 192.168.1.10 manzillari bo'lgan mashinalarga yo'naltirilgan trafikka yo'naltirilgan. Agar bu sizning veb-serverlaringiz bo'lsa, yuqoridagi qoida u erga boradigan trafikni qidiradi. tarkib bo'limida ko'rsatilgan o'n oltinchi ma'lumotlarni o'z ichiga oladi.
Snort qoidasining ikkinchi qismi aniqlangan trafikning qo'shimcha tafsilotlarini ko'rsatadigan variantlardir. Siz TCP / IP sarlavhasidagi maydonlar to'plami bo'yicha (Network Analyzers-dagi tavsiflarga qarang) yoki paketning foydali yukidan qidirishingiz mumkin. Har bir variantdan keyin tirnoq va kerakli qiymat qo'shilishi kerak. Siz ularni vergul bilan ajratib bir nechta variantni qo'shishingiz mumkin. Quyidagi variantlar mavjud.

msg	Signalning matnli tavsifini beradi
logto	Standart chiqish fayli o'rniga foydalanuvchi tomonidan belgilangan faylga paket yozadi
ttl	IP sarlavhasidagi TTL maydonining qiymatini tekshiradi
tos	IP sarlavhasidagi TOS maydonining qiymatini tekshiradi
id	Maydonning qiymatini taqqoslaydi fragment identifikatori belgilangan qiymatga ega bo'lgan IP sarlavhasida
ipoption	IP-parametr maydonlarini ma'lum kodlar bilan izlaydi
fragbits	IP sarlavhasida parchalanish bitlarini tekshiradi
o'lchamsiz	Paketning foydali yuk hajmini belgilangan qiymat bilan taqqoslaydi
bayroqlar	TCP bayroqlarini aniq qiymatlar bilan tekshiradi
seq	TCP tartib raqami maydonini ma'lum bir qiymat bilan taqqoslaydi
ak	TCP tasdiqlash maydonini ma'lum bir qiymat bilan tekshiradi
itype	ICMP tipidagi maydonni ma'lum bir qiymat bilan tekshiradi
icode	ICMP kod maydonini ma'lum bir qiymat bilan tekshiradi
icmp_id	ECHO ID ICMP maydonini belgilangan qiymat bilan tekshiradi.
ijmp_seq	ECHO ICMP tartib raqamini ma'lum bir qiymat bilan tekshiradi
tarkib	Paketning foydali yukida ma'lum bir naqshni izlaydi
tarkib ro'yxati	Paketning foydali yukida ma'lum bir naqsh to'plamini izlaydi
ofset	Tarkib opsiyasi uchun modifikator. Naqshlarni moslashtirishni boshlash uchun ofsetni o'rnatadi
chuqurlik	Tarkib opsiyasi uchun modifikator. Naqshlarni moslashtirish uchun maksimal qidirish chuqurligini belgilaydi
nokase	Oldingi tarkib zanjirini taqqoslaydi, harfga sezgir emas
sessiya	Muayyan sessiya uchun dastur darajasi ma'lumotlarini ko'rsatish
rpc	Muayyan dastur / protsedura qo'ng'iroqlarini aniqlash uchun RPC xizmatlarini kuzatib boradi
resp	Faol javob. Ulanishni yopadi (masalan, uni buzish)
reaktsiya berish	Faol javob. Dasturlashtirilgan xatti-harakatlar bilan javob beradi (masalan, ba'zi veb-saytlarni blokirovka qilish)
ma'lumotnoma	Tashqi hujum havolasi identifikatorlari
sid	Snort qoida identifikatori
rev	Qoida versiyasi raqami
to'qnashuv	Qoidalar tasnifi identifikatori
ustuvorlik	Qoidalarning zo'ravonlik identifikatori
urikontent	Paketning URI qismidagi naqshga mos kelish
yorliq	Uchun qo'shimcha harakatlar kirish qoidalar uchun
ip_proto	IP sarlavhasidagi protokol qiymati
bir xil	Manba va manzil IP-manzillari teng emasligini aniqlaydi
fuqaroligi yo'q	Oqim holatidan qat'iy nazar qo'llaniladi
regex	Metaxarakterlardan foydalangan holda naqshlarni moslashtirish
bayt_test	Raqamli taqqoslash
masofa	Paketdagi belgilangan bayt sonini o'tkazib yuborish uchun nisbiy naqshni mos keltirishga majbur qiladi
bayt_test	Raqamli naqshlarni moslashtirish
bayt_jump	Raqamli moslashtirish va ofset tuzatish

Har bir qoida variantlari haqida ko'proq ma'lumot olish uchun onlayn yordamga qarang. Quyida ushbu parametrlar yordamida signal jurnallarida paydo bo'ladigan yorliqli maxsus Snort msg qoidalarini yaratish uchun qanday foydalanish mumkinligi haqida bir nechta misollar keltirilgan. Haqiqat shundaki, biz har qanday portga har qanday trafikni qiziqtiramiz. Tashqi dunyodan buxgalteriya serverlariga har qanday kirish qayd etiladi, chunki ushbu serverlarga tashqi trafik zararli deb hisoblanishi kerak.

Download 1,62 Mb.

Do'stlaringiz bilan baham:

1 ... 5 6 7 8 9 10 11 12 ... 20