Configura Snort ID e crea regole | Linuxiano.it
Privacy Policy

Configura Snort ID e crea regole

Configura Snort ID e crea regole

Snort è un sistema Intrusion Detection open source che puoi usare sui tuoi sistemi Linux. Questo tutorial tratterà la configurazione di base di Snort IDS e ti insegnerà come creare regole per rilevare diversi tipi d’ attività sul sistema

Snort è un software libero per l’analisi dei pacchetti all’interno di una rete. Nel campo della sicurezza informatica è molto utilizzato come Intrusion detection system.

È distribuito sotto licenza libera GNU General Public License.

Per questo tutorial la rete che useremo è: 10.0.0.0/24. Modifica il tuo file /etc/snort/snort.conf e sostituisci ‘any‘ accanto a $ HOME_NET con le informazioni di rete come mostrato nella schermata di esempio riportata di seguito:In alternativa puoi anche definire specifici indirizzi IP da monitorare separati da una virgola tra [] come mostrato nella seguente questa schermata:

snort-id-crea-regole

Ora iniziamo ed eseguiamo questo comando sulla riga di comando:

Terminale
  • snort -d -l /var/log/snort/ -h 10.0.0.0/24 -A console -c /etc/snort/snort.conf

snort-id-crea-regole

Legenda:

  • d = dice snort mostra la data
  • l = determina la directory logs
  • h = specifica la rete da monitorare
  • A = indica snort stampare avvisi nella console
  • c = specifica Snort il file di configurazione

Consente di avviare una scansione veloce da un dispositivo diverso utilizzando nmap:

snort-id-crea-regole

E vediamo cosa succede nella console di snort:

snort-id-crea-regole

Snort ha rilevato la scansione, ora, anche da un altro dispositivo, consentendo di attaccare con DoS usando hping3

Terminale
  • hping3 -c 10000 -d 120 -S -w 64 -p 21 –flood –rand-source 10.0.0.3

Il dispositivo che visualizza Snort sta rilevando un cattivo traffico come mostrato qui:

snort-id-crea-regole

Poiché abbiamo richiesto a Snort di salvare i registri, possiamo leggerli eseguendo:

Terminale
  • snort -r

Introduzione alle regole Snort

La modalità NIDS di Snort funziona in base alle regole specificate nel file /etc/snort/snort.conf.

All’interno del file snort.conf possiamo trovare regole commentate e non commentate.

Il percorso delle regole normalmente è /etc/snort/rules, dove possiamo trovare i file delle regole:

snort-id-crea-regole

Vediamo le regole contro i backdoor

Ci sono diverse regole per prevenire gli attacchi backdoor, sorprendentemente c’è una regola contro NetBus, un cavallo di Troia che è diventato popolare un paio di decenni fa, permettendo di guardarlo vi spiegherò le sue parti e come funziona:

alert tcp $HOME_NET 20034 -> $EXTERNAL_NET any (msg:”BACKDOOR NetBus Pro 2.0 connection
established”; flow:from_server,established;
flowbits:isset,backdoor.netbus_2.connect; content:”BN|10 00 02 00|”; depth:6; content:”|
05 00|”; depth:2; offset:8; classtype:misc-activity; sid:115; rev:9;)

Questa regola indica allo snort di allertare sulle connessioni TCP sulla porta 20034 che trasmette a qualsiasi sorgente in una rete esterna.

 

-> = specifica la direzione del traffico, in questo caso dalla nostra rete protetta a quella esterna:

  • msg = indica all’avviso di includere un messaggio specifico durante la visualizzazione di
  • content = cerca il contenuto specifico all’interno del pacchetto. Può includere testo se tra ” o dati binari se tra |
  • depth = Analysis intensity, nella regola sopra vediamo due diversi parametri per due contenuti diversi
  • offset = dice Snort il byte di partenza di ogni pacchetto per avviare la ricerca del contenuto
  • classtype = indica quale tipo di attacco Snort sta avvisando su

sid: 115 = identificatore della regola

Creazione della nostra regola

Ora creeremo una nuova regola per informare sulle connessioni SSH in arrivo. Apri /etc/snort/rules/yourrule.rules, e all’interno incolla il seguente testo:

alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:”SSH incoming”;
flow:stateless; flags:S+; sid:100006927; rev:1;)

Stiamo dicendo a Snort di avvisare su ogni connessione TCP da qualsiasi fonte esterna alla nostra porta ssh (in questo caso la porta predefinita) incluso il messaggio di testo ‘SSH INCOMING‘, dove stateless ordina a Snort di ignorare lo stato della connessione.

ssh al tuo dispositivo da un altro dispositivo.

Con questa lezione spero che tu sappia come creare regole di base e usarle per rilevare attività su un sistema. Vedi anche un tutorial su Come installare Snort e iniziare ad usarlo e lo stesso tutorial disponibile in spagnolo è disponibile su Linux.lat.

Questa regola indica allo snort di allertare sulle connessioni TCP sulla porta 20034 che trasmette a qualsiasi sorgente in una rete esterna.

Articoli simili

Snort analisi dei pacchetti all’interno di una rete

Se avete consigli o domande non esitate a scrivermi