snort: intrusio detekzio sistema

txaparrotan 1456153267024 Txaparrotan | 2006-05-20 00:38

http://www.diariolinux.com/tiki-read_article.php?articleId=7216tik egokituta.
Snortek gure makinan segurtasun informatikoa arriskutan jar dezaken ekintzak monitorizatzen ditu. Horretarako portuak eskaneatzen ditu, birusak detektatu, troianoak, sql-injection, web-cgi, protokolotan akatsak, segurtasun hutsuneak...
Ikuskaritza lanak egiten ditu, eta gero aztertuko dugun snort-report bidez, atake posibleen arrastroa jarrai genezake, eta segurtasun politikak ezarri...
Beti bezala, kontsolatik:

sudo apt-get install snort snort-doc oinkmaster
http://www.snort.org/ helbidean erregistratu dohain, eta logeatu ondoren, kontuaren ezarpenetan oink-kodea eskuratu.

/etc/oinkmaster.conf fitxategian editatu url'a:
# -------------------------
# Location of rules archive
# -------------------------
# NOTE: this might need to be changed based on the Snort version
# you are running. This configuration files uses Snort 2.2.x
url = http://www.snort.org/pub-bin/oinkmaster.cgi/[oink-kodea]/snortrules-snapshot-[2.3].tar.gz
Gure kasuan snort-en bertsioa 2.3.3 da.

Snorten arauak oinkmaster-en bitartez eguneratu:
sudo oinkmaster -o /etc/snort/rules/ -q 2>&1
Gero, /etc/snort/rules fitxategian sartu, eta bukaera aldea deskomentatu (edo komentatu) interesatzen zaizikigun arau tipoak:
include $RULE_PATH/local.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/scan.rules

include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-php.rules

include $RULE_PATH/sql.rules
include $RULE_PATH/x11.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/mysql.rules

include $RULE_PATH/smtp.rules
include $RULE_PATH/pop3.rules

include $RULE_PATH/web-attacks.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/policy.rules
include $RULE_PATH/icmp-info.rules
include $RULE_PATH/virus.rules
..........

Eta azkenik, crontab bidez arauen eguneraketa automatizatu:
# Eguneroko eguneraketa 8:00tan
00 8 * * * root TMP=`mktemp /tmp/oinkmaster.XXXXXXXX` && \
(/usr/local/bin/oinkmaster -o /etc/snort/rules/ -q > $TMP 2>&1; \
if [ -s $TMP ]; then mail -s "Snort arauen eguneraketa" root@localhost < $TMP;\
fi; rm $TMP)



Blockit aplikazioaren bitartez (http://www.teknofx.com/) snortek sortutako alertak aztertzen dira eta horien arabera suhesiaren portuak blokeatu, automatikoki.
Aipatu orritik blockit-1.4.2.tar.gz fitxategia jeitsi, destrinkotu (tar xvz blockit-1.4.2.tar.gz) eta sortutako katalogoan sudo sh install.sh.
Bertan mysql esukarria eskaintzen da.


Leave a Comment: