Описание и изучение IDS приложения Snort

Размещено на http://www.allbest.ru/

Введение

Основная цель данной работы заключается в описании и изучении популярного IDS приложения Snort. Snort является крупным проектом с открытым исходным кодом, который используется многими сетевыми администраторами для фиксирования вредоносных сигнатур и оповещения о атаке на сеть. Snort перехватывает от сетевых интерфейсов весь трафик, проверяя пакеты на наличие подозрительных запросов, попыток вторжения.

Основным его плюсом является доступность, и возможность редактировать его работу под свою конкретную рабочую сеть. Программа предназначена для работы как в малых, так и больших организациях. Так же не маловажна возможность редактирования собственных уникальных правил исходя из требований безопасности конкретной организации (например, запрет на доступ персонала к социальным сетям).

Из минусов можно выделить неудобность настройки и установки на некоторых ОС (например, Windows), отсутствие единого достаточно полного и подробного описания настройки и разработки собственного набора правил.

Также, очень тяжело отсечь ложные тревоги, так как не редко на разных предприятиях разные ограничения, и требуется достаточно тонкая настройка правил. Множество режимов запуска приложения с помощью ключей чувствительных к регистру очень сложно запоминаемы и могут привести к ошибочному выводу.

Основная задача этой работы состоит в том, что бы разобраться с функциональными особенностями работы IDS Snort, проверить работу приложения производя на него разного рода сетевые атаки. Выяснить есть ли аналогичные IDS в более удобном формате. Как Snort взаимодействует с базами данных. Разработать несколько уникальных правил и проверить их на работоспособность.

1. Установка и настройка IDS Snort

Данный режим используется для фиксирования подозрительных и вредных пакетов, с последующим занесением в лог Snort'а. Отличительная особенность данного режима заключается в добавлении ключа -с , который определяет путь до конфигурационного файла Snort. В этом файле содержится самая важная и нужная информация, которая используется для редактирования работы приложения. Там указываются адреса сети, которую следует протоколировать и искать вторжения, подключаемые порты, разрешенные файлы правил пути к базам данных куда можно будет заносить данные работы Snort. Так же многочисленные тонкие настройки конфигурации.

snort -de -l /snort/log -h 192.168.1.0/24 -c /snort/etc/snort.conf

мы запустим Snort в режиме обнаружения вторжений с использованием подразумеваемого конфигурационного файла snort.conf.

1.5 Режимы сигнализации Snort

При протоколировании пакетов, вызывающих сигналы тревоги, необходимо выбрать подходящий уровень детализации и формат "тревожных" данных. В табл. 2 перечислены опции, которые можно задавать в командной строке после ключа -A.

Таблица 1.2. Опции режима сигнализации Snort

Эти опции следует конфигурировать во время компиляции при помощи ключей инструкции configure. К примеру, попробуем прописать создание файла в который будут заноситься враждебные пакеты или подозрительные. В файле конфигурации создадим строку в месте где прописывается "Step 6 : Output", и дописываем строчку "output alert_fast : alert.ids", сохраняем и запускаем в режиме обнаружения или сигнализации, в папке \snort\log\alert.ids теперь будут записываться данные о подозрительных пакетах. Можно также вписать ключ "-A console " тогда подозрительные пакеты будут дублироваться в консоли, так сказать нагляднее продемонстрированы администратору. Информация о режимах работы Snort предоставлена на сайте: http://www.uchi-it.ru/2/1/7.html.

1.6 Взаимодействие с БД и Mysql

Snort напрямую поддерживает четыре вида вывода в базу даных посредством своих модулей вывода. К числу поддерживаемых форматов принадлежат MySQL, PostgreSQL, Oracle и unixODBC. Это должно удовлетворить потребности большинства пользователей баз данных. И, естественно, если база данных не поддерживается, можно взяться за проект по написанию нужного модуля расширения. Модуль вывода в базу данных требует как параметров времени компиляции, так и настроек в конфигурационном файле.

2. Причины ложных срабатываний и способы их устранения. Формирование правил

2.1 Типичные причины ложных срабатываний

Работа системы мониторинга сети

Многие организации используют системы мониторинга сети, такие как HP OpenView или WhatsUp Gold, чтобы следить за системами в своей сети. Они характеризуются высокой сетевой активностью опроса и обнаружения. Для опроса состояния эти системы обычно применяют SNMP или аналогичный протокол, но они могут также использовать эхо-тестирование и другие, более назойливые проверки. По умолчанию большинство систем обнаружения вторжений рассматривают эту активность как вредоносную или, по крайней мере, подозрительную. В большой сети мониторинг может порождать тысячи сигналов тревоги в час, если система обнаружения вторжений настроена для отслеживания такой деятельности. Этого можно избежать, игнорируя активность с участием IP-адреса системы мониторинга. Можно также исключить из базы данных соответствующие сигналы тревоги, если их отслеживание не представляет для вас особой важности.

Пользовательская активность

В различных организациях, различные требования к ограничениям работников. По умолчанию передача мгновенными сообщениями, одноранговое разделение файлов будет сигнализироваться как атака на сеть. Поэтому можно убрать либо наоборот ожесточить подобную политику безопасности на конкретные хосты сети организации, в зависимости от требований политики безопасности. Можно просто заносить в журнал сообщения о подобной активности для того что бы узнать насколько сильно эти разрешения влияют на полосу пропускания и на безопасность сети в целом.

2.2 Поведение, напоминающее "троянскую" программу или "червя"

Вирусы и вирусоподобные программы и программное обеспечение ("черви ", "Троянские кони" и подобные программы), нередко используют сетевые интерфейсы и другие средства, для получения доступа и совершения каких либо вредоносных действий (получение доступа к управлению, изменению, удалению, копированию информацией атакуемого пользователя). Подобную активность помогают пресечь IDS системы, однако подобные сигнатуры могут содержать и обычные безвредные приложения, и поэтому следует отслеживать источники сигнатур для более точного установления вредным ли является пакет или нет. Это поможет избежать чрезмерного количества ложных срабатываний.

Длинные базовые цепочки аутентификации

Подобные сигналы содержать очень большие длинные строки входа WEB, некоторые программы для выявления уязвимостей используют такой метод для переполнения буфера и получения несанкционированного доступа. Однако сейчас некоторые сайты сами набивают в поле множество информации тем самым сбивая столку IDS и заставляя ее фиксировать вредоносную сигнатуру.

Аутентификационная активность базы данных

Некоторые сетевые системы обнаружения вторжений следят за деятельностью по администрированию баз данных. Теоретически в производственных базах данных не должно наблюдаться высокой административной активности, а ее наличие может служить признаком того, что некто пытается произвести какие либо действия. Однако во многих базах данных использование идет параллельно с разработкой, отсюда и большой объем администрирования. Эта деятельность, хотя и вполне законная, будет порождать множество сигналов тревоги. Если ваша база данных находится в состоянии непрерывного развития, то вам, вероятно, следует отключить эти сигналы, по крайней мере, пока база не стабилизируется и не перейдет в режим производственной эксплуатации.

Существует много других причин ложных срабатываний, зависящих от конфигурации сети и уровня активности. Если не уделять достаточно внимания и не потрудиться организовать достаточно подробный и полный набор правил, то проблема ложного срабатывания сделает систему обнаружения вторжений если не бесполезной, то очень не эффективной. Настройка должна происходить исходя из знания требования безопасности в организации и сети, объема сети, доступа в интернет и многих других факторов которые необходимо учитывать при этом.

2.3 Примеры сигнатур сетевых систем обнаружения вторжений

snort операционный сетевой вторжение

Основной принцип по которому действуют сетевые IDS это проверка сигнатур и сравнение их с известными, если произошло совпадение значит сигнатура определяется как подозрительная. Как пример можно рассмотреть атаку которая четко будет идентифицироваться IDS -это атака cmd.exe направленная против Информационного сервера Интернет -Web сервера корпорации Microsoft. Эта атака применяется Интернет - "червями" и вирусами, такими как Nimda и Code Red. Атакующий "червь" или человек пытается выполнить в каталоге с правом на запись копию программы cmd.exe - командного интерпретатора Windows, используя переполнение буфера в модуле IIS, называемом Internet Server API (ISAPI). В случае успеха хакер или червь получает доступ к командной строке на этой машине и может произвести значительные разрушения. Однако команда для копирования этого файла является очевидной, и нет причины для ее легального выполнения пользователями через сеть с помощью IIS. Поэтому, если вы видите подобную активность, то весьма вероятно, что это попытка вторжения. Проверяя полезную нагрузку пакета и разыскивая слова cmd.exe, сетевая система обнаружения вторжений может идентифицировать данную атаку. На листинге показан один из таких пакетов. Шестнадцатеричное представление содержимого находится слева, а перевод в текст - справа.

length = 55

000 : 47 45 54 20 2F 73 63 72 69 70 74 73 2F 2E 2E 25 GET / scripts/..%

010 : 35 63 25 35 63 2E 2E 2F 77 69 6E 6E 74 2F 73 79 5c%5c../winnt/sy

020 : 73 74 65 6D 33 32 2F 63 6D 64 2E 65 78 65 3F 2F stem32/cmd.exe?/

030 : 63 2B 64 69 72 0D 0A c+dir..

2.4 Синтаксис формирования правил в Snort

Перед тем как начать писать правила для отслеживания трафика, следует научиться правильно их составлять и ознакомиться с синтаксическими особенностями. Лучше всего будет разобрать как формируется правило на примере.

alert tcp any any>192.168.0.0/24 80

(content:"|11 01 b6 a2|"; msg:"example rule";)

Alert - генерировать сигнал с использованием выбранного метода и записать информацию о пакеты в журнальный файл;

Tcp - протокол, который следует проверять на наличие условий.

Далее по порядку вводится IP адрес и порт отправителя через стрелочку адрес и порт получателя, то есть кому направлен пакет. В скобочках указываются модули которые следует учитывать при фильтрации пакета. В нашем примере будут помечаться пакеты в которых будет найдено совпадение в 16-ричном коде "00 01 86 a5" , и при совпадении с условиями пакет будет помечаться сообщением "mount access".

Заголовок правила имеет вид

<действие> <протокол> <отправитель> <порт> <направление> <получатель> <порт>

Вообще Snort имеет очень богатый выбор правил, условий, и зарезервированных слов, которые можно использовать в формировании правил, что позволяет достаточно тонко отфильтровать трафик в сети.

Попробуем написать правило, которое может отследить посещение пользователем какой-нибудь социальной сети, например "vkontakte.ru". Для этого откроем любой из файлов папки \snort\rules\ и впишем туда правило

alert tcp any any > any any (msg:"ACCESS in Social web";content:"vkontakte";sid:1;)

Разберем это правило по командам. Это правило гласит что если в пакете передается параметр "vkontakte", то пакет фиксируется как тип alert и заносится в соответствующий файл отчета. Просматривается протокол tcp адреса сетей любые. В отчете такие пакеты будут помечаться сообщением "ACCESS in social web", что говорит нам о попытке доступа в социальную сеть. Теперь администратор при рассмотрения отчетов может подметить откуда и когда происходил выход, на не согласованный политикой безопасности сайт. Так же следует отметить наличие опции "sid1", она требуется для присвоения правилу определенного порядкового номера.

Рис. 2.1. Результат работы правила на vkontakte

Правило не обязательно в себе должно содержать контент какого либо сайта или сетевого приложения. Существуют целые сборники информации о написании правил, для этой сетевой IDS, начиная от возможности ограничения определенных портов, заканчивая проверкой на наличие определенных сегментов в пакете.

Есть один минус подробного и четко сформулированного правила, оно будет сильно нагружать сеть и каждый пакет, соответственно для загруженных крупных локальных сетей это может вызывать некоторые затруднения.

2.5 Написание plug-in для Snort

Для того что бы написать plug -in для Snort потребуется скачать исходный код с официального сайта www.snort.org, затем нужно разархивировать полученный пакет и попасть в каталог \templates , где содержится четыре файла: sp_template.c, sp_template.h, spp_template.c, spp_template.h. Первые два файла используются для составления дополнения, а следующие два файла для препроцессоров. После создания дополнения нужно его интегрировать в Snort, чтобы он использовал его после компиляции. Интеграция состоит из трех шагов.

1)Изменить plugbase.h и вставить строку

#include <sp_template.h>

2)Изменить plugbase.c файл и в функции InitPlugins() добавить название функции после остальных.

3)Открыть файл Makefile.am и добавить имена файлов в список имен в строку "snort_sources". После этого выполняем "Automake".

Аналогичные действия производим для файлов препроцессоров. Если после сделанных изменений Snort заработал и дополнение успешно запущено, следовательно, оно интегрировано.

2.6 Дополнительные утилиты для системы Snort

Analysis Console for Intrusion Databases (ACID) - аналитическая система, предоставляющая Web-интерфейс (используется PHP) для просмотра результатов анализа лог-файлов брандмауэров, NIDS, сетевых диагностирующих программ. Версия 0.9.6. работает в среде всех ОС, поддерживающих PHP (Linux, *BSD, Windows, Solaris). Лицензия - GNU GPL.

Рис. 2.2. Интерфейс программы ACID

Intrusion Detection Exchange Architecture (IDEA) - система распределенного контроля безопасности сети. Текущая версия - 1.0.2. Используя архитектуру клиент-сервер, она связывает множество NIDS-систем, объединяя их данные в информационный базис и обеспечивая анализ в режиме реального времени. IDEA реализована как системонезависимая программа, применяющая технологию Java. Распространяется по лицензии GNU GPL.

Рис. 2.3. Интерфейс программы IDEA

RazorBack - программа, работающая совместно со Snort и обеспечивающая при обнаружении вторжения предупреждение в режиме реального времени. Текущая версия - 1.0.3. Операционные системы: Unix, Windows NT. Лицензия - GNU GPL.

Рис. 2.4. Интерфейс программы RazorBack

SnortConf - графическая оболочка для Snort. Разработанная на основе библиотеки Curses, программа SnortConf предоставляет простой и интуитивно понятный интерфейс - меню по администрированию Snort. Версия - 0.4.2-1. Предназначена для POSIX-совместимых систем (Solaris, *BSD, Linux и т.д.). Лицензия - GNU GPL.

Рис. 2.5. Интерфейс программы SnortConf

IDScenter - графическая оболочка Snort-Win32 (рекомендуется использовать Windows NT4/2000/XP). Текущая версия - 1.1. IDScenter значительно облегчает задачи управления, контроля и мониторинга Snort IDS. Включает функции диагностики конфигурации, поддерживает сигналы тревоги Snort. При определении атаки можно запустить внешнее приложение. Распространяется по лицензии Freeware.

Рис. 2.6. Интерфейс программы IDScenter

IDS Policy Manager - инструмент изменения конфигурации и правил Snort. Легко добавляются новые сигнатуры. Может использовать популярные базы данных сигнатур: CVE, BugTraq, Mcafee. Версия -1.3.1. Операционные системы -Windows 2000/XP. Лицензия - Freeware.

Рис. 2.7. IDS Policy Manager

Информация об утилитах была получена с интернет ресурса: http://www.compdoc.ru/network/local/snort/.

Заключение

Таким образом, исходя из полученных сведений и проделанной работы по изучению одной из IDS системы с открытым исходным кодом Snort, можно сделать вывод что для осуществления правильной работы приложения требуется определенные знания, так как разработка правил осуществляется по уникальному синтаксису. Вообще IDS система Snort является сильным перехватчиком и анализатором, который может оказать помощь в организации безопасности в сети и выявлению уязвимостей.

После проделанной работы по изучению конфигурации, синтаксиса написания правил и режимов работы, следует вывод, что подобной системе требуется более простой и понятный интерфейс, для облегчения изучения и конфигурации программы. Так как Snort является приложением свободным в распространении и его исходный код доступен каждому у кого есть доступ в интернет.

Литература

1. Обнаружение сетевых атак - Snort [Электронный ресурс]. - Режим доступа: URL: http://www.compdoc.ru/network/local/snort/ (дата обращения 25.05.11)

2. Энциклопедия сетевых протоколов [Электронный ресурс]. - Режим доступа: URL: http://www.protocols.ru/ (дата обращения 15.04.11)

3. Атаки на сеть [Электронный ресурс]. - Режим доступа: URL: http://big-bro.info/ataki-na-set/ (дата обращения 22.05.11)

4. Русская группа Snort [Электронный ресурс]. - Режим доступа: URL: http://www.snortgroup.ru/node/25 (дата обращения 27.05.11)

5. Ищейка по имени Snort [Электронный ресурс]. - Режим доступа: URL: http://www.osp.ru/win2000/2004/05/177049/ (дата обращения 29.05.11)

6. Snort установка и минимальная настройка [Электронный ресурс]. - Режим доступа: http://www.kanava.biz.nf/mod/pub/article.php?art=710 (дата обращения 25.05.11)

7. Учи IT [Электронный ресурс] - Режим доступа: URL: http://www.uchi-it.ru/2/1/7.html (дата обращения 10.04.11)

Размещено на Allbest.ru