Snort – tworzenie reguł

Podstawy tworzenia reguł



jedna reguła powinna zajmować jeden

wiersz



jeżeli reguła jest zbyt duża, można ją

podzielić na kilka wierszy poprzez użycie

znaku „\”

Podstawy tworzenia reguł

podział reguły na wiersze

Podstawy tworzenia reguł

nagłówek:



akcja



protokół



adresy IP



numery portów

parametry:



sygnatury



parametry protokołów



wiele innych



reguły składają się z dwóch logicznych

części:

Podstawy tworzenia reguł

nagłówek

reguły

parametry

reguły

Nagłówek reguły

Nagłówek reguły

akcja protokół adres_IP port kierunek adres_IP port

Nagłówek reguły



Akcja:



log

- zapisz pakiet



alert

- podnieś alarm i zapisz pakiet



pass

- zignoruj pakiet



activate

- podnieś alarm i uruchom inną regułę dynamiczną



dynamic

- reguła dynamiczna, aktywowana przez inne reguły

Nagłówek reguły



Przykłady:

Nagłówek reguły



Przykłady:

Nagłówek reguły



Protokół:



tcp



udp



icmp



ip

Nagłówek reguły



Przykłady

Nagłówek reguły



Adres_IP:



any

- dowolny adres sieciowy



x.x.x.x/y

- adres sieci lub hosta



[x.x.x.x/y,x.x.x.x/y,...]

- kilka adresów sieci lub hostów



!

adresy

- wszystkie adresy z wyjątkiem wskazanych

Nagłówek reguły



Przykłady

Nagłówek reguły



Port:



any

- dowolny adres sieciowy



port

- określony numer portu, np. 80



port

:

port

- zakres portów, („1:1024”, „:1024”, „600:”)



!port

lub

!zakres

- wszystkie porty spoza zakresu

Nagłówek reguły



Przykłady

Nagłówek reguły



Kierunek:



->

pakiety wysyłane z hosta źródłowego na

docelowy



<>

wszystkie pakiety

Nagłówek reguły



Przykłady

Parametry reguły

Parametry reguły



Składnia:

(parametr[: "wartość"]; ...)

Parametry reguły



Rodzaje parametrów:



ogólne



sprawdzające zawartość pakietów



sprawdzające parametry protokołu IP



sprawdzające parametry protokołu TCP



sprawdzające parametry protokołu ICMP



reagujące na próby naruszeń bezpieczeństwa



inne, specyficzne dla preprocesorów i protokołów

Parametry reguły



Wybrane parametry



msg: "tekst alarmu"

komunikat zapisywany razem z pakietem lub

alarmem



content: [!] "tekst"

zawartość pakietu; tekst można wprowadzać w

formie ASCII lub w formie HEX: "|0d0a c8af|"



nocase

przeszukiwanie bez względu na wielkość liter

Parametry reguły



Przykłady

Parametry reguły



Przykłady

Parametry reguły



Wybrane parametry c.d.:



flags: wartość

flagi pakietu TCP:

S - SYN
A - ACK
R - RST
P - PSH
U - URG
F - FIN

1 - Reserver bit 1
2 - Reserver bit 2
0 - żadnych flag
+ ALL - wszystkie
* ANY - dowolna flaga
! NOT flaga - brak flagi

Parametry reguły



Przykłady

Parametry reguły



Przykłady

Parametry reguły



Wybrane parametry:



resp: wartość[, wartość ...]

zezwala na przerywanie połączeń (opcja

FlexResponse musi być włączona podczas

kompilacji):

rst_send - wysyła pakiet TCP-RST do hosta źródł.

rst_rcv - wysyła pakiet TCP-RST do hosta docel.

rst_all - wysyła pakiet TCP-RST do obu hostów

icmp_net - wysyła pakiet ICMP-NET-UNREACH

icmp_host - wysyła pakiet ICMP-HOST-UNREACH

icmp_port - wysyła pakiet ICMP-PORT-UNREACH

icmp_all - wysyła wszystkie powyższe pakiety

Parametry reguły



Przykłady

Parametry reguły



Wybrane opcje c.d.:



tag: typ, licznik, tryb, [kierunek]

zezwala na logowanie większej ilości pakietów w

przypadku wykrycia naruszenia bezpieczeństwa

Wartości pola typ:

session - loguj tylko pakiety z danej sesji

host - loguj wszystkie pakiety od danego hosta

Wartości pola tryb:

packets - pole licznik wskazuje liczbę pakietów

seconds - pole licznik wskazuje czas

Parametry reguły



Przykłady

Parametry reguły



Przykłady

Parametry reguły



Wybrane opcje c.d.:



reference: id_system, id

pozwala na umieszczenie odnośników URL w logu

alarmów



classtype: wartość

pozwala sklasyfikować typ ataku

(classification.config)



priority: liczba

pozwala określić poziom zagrożenia

Parametry reguły



Przykłady

Dodatkowe dyrektywy

Dodatkowe dyrektywy



include

nazwa_pliku

pozwala na włączanie plików

zawierających reguły SNORT

Dodatkowe dyrektywy



var

zmienna wartość

stosowanie zmiennych upraszcza

tworzenie reguł:

Dodatkowe dyrektywy



config

dyrektywa[: wartość]

dyrektywy konfiguracyjne

Dodatkowe dyrektywy



Pełna lista dyrektyw oraz parametrów

reguł znajduje się w dołączonej do

SNORT dokumentacji

http://www.snort.org/docs/

Tworzenie własnych reguł:

UNIX/Linux/*BSD

Tworzenie własnych reguł



Przygotowanie środowiska

Tworzenie własnych reguł



snort.conf



my.rules

Tworzenie własnych reguł



Uruchamianie snort

Tworzenie własnych reguł:

MS Windows

Tworzenie własnych reguł



Przygotowanie środowiska

Tworzenie własnych reguł



snort.conf



my.rules

Tworzenie własnych reguł



Uruchamianie snort

Tworzenie własnych reguł:

przykłady

Tworzenie własnych reguł



Przykład 1:

Odnotowanie użycia programu finger

Tworzenie własnych reguł



Przykład 2:

Wykrywanie prób dostępu do serwera

WWW na port inny niż 80/tcp

Tworzenie własnych reguł



Przykład 3:

Wykrywanie prób dostępu do powłoki

(cmd.exe, /bin/sh)

Pytania?