IDS

IDS: Snort pierwsze uruchomienie

2010-08-06T02:34:00.000-07:00

IDS: Darmowy IDS -- Snort Instalacja

2010-08-06T02:33:00.000-07:00

Snort pierwsze uruchomienie

2010-08-06T02:21:00.000-07:00

Snort jest tak naprawdę prostym w obsłudze narzędziem zawierającym jednak wiele opcji w dostępnych w linii poleceń.
Snort może być skonfigurowany do pracy w 3 trybach:
-sniffera(Sniffer mode)
-rejestratora pakietów(Packet logger mode)
-NIDS (Network Intrusion Detection System) – Sieciowy system wykrywania włamań
-Inline mode

Tryb Sniffera

Wyświetlanie nagłówków pakietów Tcp na konsoli
snort –v

Wyświetlanie nagłówków pakietów IP i nagłówków TCP/UDP/ICMP
snort –vd

Aby dodatkowo wyświetlić nagłówki warsty łącza danych implikujemy –e
snort –vde

KOMENTARZ
Nie ma znaczenia jak zapisujemy przełączniki ,czyli
snort –vd oznacza to samo co ./snort –v –d

Tryb rejestratora pakietów
Jeśli chcemy zapisać pakiety na dysku wpisujemy

snort –dev –l
Np snort –dev –l /home/adam/logi

Z tym, że określony katalog musi istnieć inaczej snort zwróci błąd
Snort działając w tym trybie gromadzi logi w hierarchi katalogów w oparciu o adres ip jednego z komputerów w datagramie.

Przełącznik –h umożliwia nam określenie jakie adresy będą logowane podczas pracy snorta
Tzn. jaki jest adres naszej sieci.
snort -dev -l ./log -h 192.168.1.0/24

Dane przełapane przez snorta mają zostać zapisane do katalogu log. Logujemy pakiety dotyczące sieci klasy C 192.168.1.0 . Wszystkie przychodzące pakiety będą zapisywane w podkatalogach katalogu log z nazwami katalogów opartych o adres hosta zdalnego(nie 192.168.1.0
Jeśli natomiast źródło i miejsce przeznaczenia mają adres mieszczący się w adresie danej
Sieci to dane są rejestrowane w katalogu z nazwą w oparciu o wyższą z dwóch numerów portów lub w przypadku identycznych adresów portów decyduje adres źródłowy.

Logowanie w trybie binarnym w celu późniejszej analizy pakietów. Jest to Format zapisu tcpdump do jednego pliku binarnego w katalogu log

snort -l ./log –b

Jeśli w przyszłości chcemy odczytać zawartość logów z postaci binarnej tcpdump
Możemy wykorzystać przełącznik –r

snort -dv -r packet.log

Możemy również wykorzystać filtr BPF aby określić jakie pakiety chcemy przeglądać
I tak np. dla pakietów ICMP

snort -dvr packet.log icmp

Te w sumie podstawowe sposoby uruchomienia naszego systemu wykrywania włamań
dają nam już dość duże możliwości w konfiguracji snorta i ochrony naszej sieci.

Darmowy IDS -- Snort Instalacja

2010-08-06T02:02:00.000-07:00

Najtańszym sposobem stworzenia w naszej sieci
systemu wykrywania ataków będzie zainstalowanie
darmowego oprogramowania IDS
Wybór pada na Snorta z tegoż względu iż posiada
on bazę ciągle aktualizowanych reguł, które możemy
sami pobierać i wybierać, które chcemy używać.
Ewentualnie możemy tworzyć własne reguły.

Instalacja w systemie Ubuntu jest banalnie prosta
wystarczy wpisać
# sudo apt-get install snort

i mamy właściwie gotowy system IDS no oczywiście w wersji podstawowej
podczas będziemy musieli wybrać interfejs wykorzystywany przez usługę snorta
domyślnie eth0

Po zakończeniu instalacji możemy edytować plik konfiguracyjny

snorta.

#nano /etc/snort/snort.conf

Zwróć uwagę na :
var HOME_NET -- adres naszej sieci --
var DNS_SERVERS -- adres Dns w naszej sieci --
var DNS_SERVERS -- dns naszej sieci --
var SMTP_SERVERS -- serwer pocztowy --
var HTTP_SERVERS -- serwer http --
var SQL_SERVERS -- serwer bazy danych --
var RULE_PATH -- folder z modułami snorta --
include -- nazwa modułu --
dynamicpreprocessor directory --folder z bibliotekami--

możemy je oczywiście w każdej chwili zmienić.

Gdzie najlepiej umieścić nasz system IDS

2010-08-03T13:39:00.000-07:00

Jeśli chcemy żeby cały ruch był sprawdzany przez IDS’a musimy go wpiąć czy to w hub
razem z innymi interesujący nas maszynami. Możemy również wpiąć go w port mirroring
lub wykorzystać specjalnie TAP’y.
Właściwie można go wpinać jak zwykłego sniffera, bo przecież nim równeż jest.

O Snifferach napisze w innym moim poście :)

Krótko o atakach. Przemyślenia.

2010-08-03T13:35:00.001-07:00

Większość sensownych ataków w sieci zaczyna się od skanowania Jej w celu znalezienia
Otwartych portów w systemach i stwierdzenia jakie są na nich zainstalowane usługi.
Skanowanie sieci jest legalne bez konsekwencji dopóki dane nie zostaną użyte do kradzieży,
przechwytywania danych, poczty itp. Gdy nasz komputer jest skanowany to nie musi
świadczyć o zagrożeniu, ponieważ niektóre hosty ciągle skanują sprawdzając czy nie ma
jakichś wirusów na komputerach czy usług.

W naszej sieci ktoś ciągle skanuje.
(Ale czy na pewno wie że skanuje ? Zainfekowane komputery często skanują sieć w celu
znalezienia innych dziur(korzystając z własnej bazy dziur)
Rozwiązaniem może być zainstalowanie dodatkowego modułu w iptables, które będzie
pokazywać mu całkowicie inne porty jako otwarte a ukrywać te które są naprawde otwarte.
Napastnik poszukuje wtedy często błędów w aplikacjach rzekomo zainstalowanych na naszej
maszynie podczas gdy naprawde zainstalowane usługi pracują bezpiecznie.

Po co nam IDS ?

2010-08-03T13:34:00.000-07:00

W sieci nawet niewielkiej może być przesyłana duża ilość pakietów.
Samo logowanie wiąże nas z wieloma problemami często natury technicznej
Można sobie wyobrazić sieć w której ruch utrzymuje się na poziomie 2 MB/s.
Co przez 1 minutę daje nam 120 MB, głównym problemem z tym związanym jest brak
nośników dających nam możliwość zrzucania tak dużych ilości danych, co więcej duża ilość
logów uniemożliwia ich przeglądanie.
IDS mają wbudowane możliwość detekcji ataków lub potencjalnych ataków i wysyłaniu
informacji o tym do administratora oraz zapisywaniu ich w plikach

Co to jest IDS?

2010-08-03T13:31:00.000-07:00

IDS(INTRUSION DETECTION SYSTEM) - Jest to system wykrywania włamań.

Zadaniem takiego systemu jest wykrywanie w sieci ataków lub potencjalnych ataków czy
innych zagrożeń.
Wyróżnia się trzy główne rodzaje systemów IDS które rozróżnia ich lokalizacja w sieci:

Hostowe – HOST IDS – instalowane na każdej maszynie w sieci.
Sieciowe – NETWORK IDS – potrzebują dużej mocy obliczeniowej ponieważ przetwarzają
cały ruch w sieci.
Hybrydowe – NETWORK NODE IDS – wykożystuja HOST IDS’y do sprawdzania stanu
ruchu w sieci. Pracuje lokalnie.

Przykłady:

Komercyjne IDS:
    IBM ISS Proventia (NIDS), Site Protector
    Juniper IDP
    3COM Tipping Point, Proventia Server (HIDS),
    DefenseWall HIPS
    Safe'n'Sec Pro

Darmowe IDS:
    Snort (NIDS)
    GesWall
    Bro IDS (NIDS)
    OSSEC (HIDS)