एक सेवा IPS के रूप में SNORT

परिचय।

SNORT के बारे में बहुत कुछ कहा गया है, लेकिन ज्यादातर लेखों में हम नेटवर्क की कुल निगरानी के साधन के रूप में SNORT के बारे में बात कर रहे हैं, जो नेटवर्क इंटरफ़ेस से सभी डेटा एकत्र करता है। इस लेख में मैं आपको बताऊंगा कि एक डिज़ाइन को कैसे इकट्ठा करना है जिसमें SNORT in IPS मोड इंटरफ़ेस पर सभी ट्रैफ़िक की निगरानी नहीं करता है, लेकिन केवल ट्रैफ़िक जिसे iptables के नियमों का उपयोग करके वर्णित किया जा सकता है। मैं नियम सेटिंग्स पर स्पर्श नहीं करूंगा, यह विशेष रूप से होगा कि नंगे सिस्टम पर IPS मोड में काम करने के लिए SNORT को कैसे इकट्ठा किया जाए और इसके द्वारा अमूर्त सेवा सुरक्षा कैसे प्राप्त की जाए। एसएनओआरटी की विधानसभा और लॉन्च का भी वर्णन किया जाएगा।

यह कैसे काम करता है?

SNORT में प्रवेश करने के बाद, पैकेट क्रमिक रूप से डिकोडर, प्रीप्रोसेसर के माध्यम से गुजरता है, और उसके बाद ही यह डिटेक्टर में प्रवेश करता है, जो नियमों को लागू करना शुरू करता है। डिकोडर्स का कार्य डेटा लिंक लेयर प्रोटोकॉल (ईथरनेट, 802.11, टोकन रिंग ...) से नेटवर्क और ट्रांसपोर्ट लेयर डेटा (आईपी, टीसीपी, यूडीपी) को खींचने के लिए उबलता है।



प्रीप्रोसेसरों का कार्य नियमों को लागू करने की प्रक्रिया के लिए परिवहन और नेटवर्क परतों के प्रोटोकॉल से डेटा तैयार करना है। हमारे मामले के लिए, हम टीसीपी के साथ काम करने के लिए एक प्रीप्रोसेसर का उपयोग करेंगे, सामान्य रूप से हल करने वाले कार्यों की सूची इस प्रकार है:

• स्थिति निगरानी (प्रोटोकॉल अनुपालन निगरानी)
• सत्र विधानसभा (कई सत्र पैकेट से डेटा का संयोजन)
• प्रोटोकॉल का सामान्यीकरण (मक्खी पर पैकेट हेडर के संपादन के साथ एक बल्कि फिसलन सुविधा)

प्रीप्रोसेसरों का उचित सेटअप सिस्टम प्रदर्शन को काफी बढ़ा सकता है और डिटेक्टर में प्रवेश करने वाले कचरा डेटा की मात्रा को कम कर सकता है। इसके अलावा, वास्तुकला के कारण, स्व-लिखित प्रीप्रोसेसर को SNORT से जोड़ना अपेक्षाकृत आसान है।

परिणामस्वरूप, डिटेक्टर को भेजे जाने से पहले "सुपरपैकेट्स" बनते हैं, जिसके लिए नियम लागू होने लगते हैं। नियम लागू करने की प्रक्रिया नियम में परिभाषित हस्ताक्षरों के "सुपरपैकेट" में खोज करने के लिए नीचे आती है। नियमों में यातायात का विवरण, वांछित हस्ताक्षर, खतरे का विवरण और खोज की प्रतिक्रिया का वर्णन शामिल है।

SNORT का संकलन।

नवीनतम Ubuntu 11.04 डाउनलोड करें। स्थापना को 32-बिट सिस्टम के लिए वर्णित किया गया है। आप की जरूरत है सब कुछ डाउनलोड करें:

daq-0.5.tar.gz
libdnet-1.11.tar.gz
libnetfilter_queue-1.0.0.tar
libnfnetlink-1.0.0.tar
libpcap-1.1.1.tar.gz
pcre-8.12.zip
snort-2.9.0.5.tar.gz
snortrules-snapshot-2903.tar.gz

आवश्यक बैग स्थापित करें:

apt-get install bison flex gcc g++ zlib1g-dev

हम निम्न क्रम में स्रोत से डाउनलोड किए गए सॉफ़्टवेयर को कॉन्फ़िगर और इंस्टॉल करते हैं:

pcre-8.12.zip
libpcap-1.1.1.tar.gz
libdnet-1.11.tar.gz
libnfnetlink-1.0.0.tar
libnetfilter_queue-1.0.0.tar
daq-0.5.tar.gz

कॉन्फ़िगर स्क्रिप्ट के लिए, इंस्टॉलेशन निर्देशिकाओं को अप्रिय आश्चर्य से बचने के लिए मजबूर करना बेहतर है

./configure --libdir=/usr/lib --includedir=/usr/include

अगर, डाॅक को कॉन्फ़िगर करते समय, हम लाइन "बिल्ड एनएफक्यू डीएक्यू मॉड्यूल ...: हां" और समस्याओं के बिना संकलित सब कुछ देखते हैं, तो हम सही रास्ते पर हैं। अब पूरी बात की कुंजी SNORT बिल्ड है:

./configure --libdir=/usr/lib --includedir=/usr/include --enable-ipv6 --enable-gre --enable-targetbased --enable-decoder-preprocessor-rules --enable-active-response --enable-normalizer --enable-reload --enable-react --enable-zlib

-enable-ipv6 - IP v6 समर्थन (अचानक कप्तान के सभी!)।
--enable-gre - जीआरई इनकैप्सुलेशन के लिए समर्थन।
-योग्य-लक्षित- खंडित पैकेट एकत्र करने के लिए समर्थन।
-योग्य-डिकोडर-प्रीप्रोसेसर-नियम - प्रीप्रोसेसर और डिकोडर काम करने पर ट्रैफ़िक में पाई गई विसंगतियों का जवाब देने के लिए नियमों का समर्थन करते हैं।
-योग्य-सक्रिय-प्रतिक्रिया - एक नियम शुरू होने पर एक सत्र में एक पैकेज शुरू करने के लिए समर्थन।
-enable-normalizer - प्रोटोकॉल normalizer समर्थन।
-enable-reload - SNORT को रिबूट किए बिना नियमों को लोड / अनलोड करने की क्षमता।
एक नियम के ट्रिगर होने पर तत्काल सत्र समाप्ति (RST) के लिए --enable-react - समर्थन।
--able-zlib - संपीड़ित यातायात के प्रसंस्करण के लिए समर्थन।

अगला बना; स्थापित करें । SNORT स्थापित है।

एक लड़ाकू लॉन्च की स्थापना।

एक ताज़ा डाउनलोड किया गया स्नॉर्ट कॉन्फ़िगर एक अनुभवहीन उपयोगकर्ता पर भारी प्रभाव डालता है, लेकिन यदि आप इसकी संरचना को समझते हैं, तो इसे समझना आसान है। सबसे छोटे विन्यास का एक संक्षिप्त संस्करण जो सामान्य रूप से हमारी समस्या को हल करता है:

# 1:
#
var HOME_NET any
var RULE_PATH ../rules
# 2:
config disable_decode_alerts
……
# 3:
#
config pcre_match_limit: 3500
……
# 5:
#
# , ,,
preprocessor normalize_ip4
….
#
preprocessor frag3_global: max_frags 65536
…
#
preprocessor stream5_global: max_tcp 8192, track_tcp yes, track_udp ….
…
# 6:
include classification.config
…..
# 7:
include $RULE_PATH/test.rules

सादगी के लिए, हमारे पास test.rules फ़ाइल में केवल एक नियम होगा:
reject tcp any any -> any any (msg:"Test pattern for snort abc123"; content:"abc123"; classtype:shellcode-detect; sid:310; rev:1;)
यह नियम कहता है कि अगर आने वाले tcp पैकेट में abc123 सबस्ट्रिंग पाया जाता है, तो RST को तुरंत स्रोत पर भेजा जाएगा और सत्र बाधित हो जाएगा। एक खतरनाक पैकेट आईपीएस से परे सिस्टम में नहीं मिलेगा। भागो भागो:

snort -Q --daq nfq --daq-var queue=2 -c /home/ubuntu/Downloads/snort/etc/snort.conf -l /var/log/snort -A full

-Q - IPS मोड में काम करते हैं
--डा़क - पैकेज स्रोत
-daq-var - पैकेज स्रोत विकल्प
-c - config के लिए पथ
-l - लॉग के लिए पथ
एक पूर्ण - विस्तृत लॉग (हमलों और यातायात डंप का वर्णन)
-D - डेमॉन मोड में काम (उपयोग जब सब कुछ डीबग किया जाता है)

यदि लॉन्च त्रुटियों के साथ बंद हो जाता है, तो आपको दुखी नहीं होना चाहिए - सबसे अधिक संभावना है कि आपको कॉन्फ़िगरेशन में फ़ाइल पथ को सही करने की आवश्यकता है।

एक कतार बनाएँ।

सिस्टम के पैकेट फ़िल्टर को प्राप्त पैकेट को कर्नेल स्तर से उपयोगकर्ता स्तर पर स्थानांतरित करने के लिए कॉन्फ़िगर किया जा सकता है, जहां उपयोगकर्ता कार्यक्रम इसे संसाधित करेगा और इसे वापस कर्नेल स्तर पर स्थानांतरित कर देगा, हमारे मामले में, यह कार्यक्रम SNORT है। चूंकि हमने क्रमांकित कतार (NFQUEUE) के साथ काम करने के लिए SNORT शुरू किया है, हमें इस कतार में फ़िल्टर्ड ट्रैफ़िक डालने की आवश्यकता है:
iptables -t nat -एक PREROUTING -p tcp --dport 8080 -j NFQUEUE -queue-num 2

PREROUTING श्रृंखला को क्यों चुना गया?

Iptables मॉडल में, किसी भी रूटिंग नियम को लागू करने से पहले एक पैकेट PREROUTING बेस कतार में प्रवेश करता है। इस स्तर पर SNORT को एक पैकेट भेजना सुविधाजनक है क्योंकि हम या तो इसे स्थानीय रूप से संसाधित कर सकते हैं या इसे आगे अग्रेषित कर सकते हैं, उदाहरण के लिए, NAT का उपयोग करके। गिने हुए कतारों का उपयोग करने का लाभ यह है कि आप कई कतारें बना सकते हैं और प्रत्येक कतार के ट्रैफ़िक को फ़िल्टर किए गए ट्रैफ़िक के अनुरूप बनाए गए नियमों के एक सेट से शुरू कर सकते हैं। इस दृष्टिकोण का एक गंभीर दोष यह है कि SNORT क्रैश की स्थिति में, संरक्षित सेवा अनुपलब्ध हो जाती है, क्योंकि उपयोगकर्ता मोड से डेटा को कर्नेल में स्थानांतरित करने के लिए कोई नहीं है। SNORT शुरू करने और एक कतार बनाने के बाद, आपको तुरंत भेजकर ऑपरेशन की जांच करनी चाहिए, उदाहरण के लिए netcat, नियम से हस्ताक्षर, abc123, कतार में। यदि सब कुछ सही ढंग से किया गया था, तो कनेक्शन तुरंत काट दिया जाएगा।

की निगरानी करना।

वर्णित मापदंडों के साथ चल रहा है, SNORT प्रत्येक ज्ञात खतरे के लिए एक फ़ाइल लिखेगा (उसी तरह यह डेटाबेस को लिख सकता है या sslog को भेज सकता है):

[**] [1:310:1] Test pattern for snort abc123 [**]
[Classification: Executable Code was Detected] [Priority: 1]
01/19-12:03:12.155213136 172.16.249.1:56473 -> 172.16.249.130:8080
TCP TTL:64 TOS:0x0 ID:1241 IpLen:20 DgmLen:59 DF
***AP*** Seq: 0x9510F391 Ack: 0xC40C0E14 Win: 0x8218 TcpLen: 32
TCP Options (3) => NOP NOP TS: 125531844 9470333

और लॉग फ़ाइल में लिखने के लिए सत्र का एक टुकड़ा जिसमें हस्ताक्षर का पता लगाया गया था, यह डिटेक्शन त्रुटियों का पता लगाने के लिए उपयोगी हो सकता है। इस पर, SNORT का कार्य समाप्त होता है और "SNORT लॉग विश्लेषण प्रणाली" चलन में आती है। वास्तव में, ये मनहूसियत की अलग-अलग डिग्री की लिपियों के सेट हैं, जिनसे, कुछ मामलों में, दिल तोड़ने वाली "वेब इंटरफ़ेस" (आधार, एसीआईडी ​​...) जुड़ी हुई है। उनके मुख्य नुकसान डीबीएमएस के साथ लचीला डेटा विश्लेषण और अक्षम कार्य करने में असमर्थता है, जिसके परिणामस्वरूप बड़ी मात्रा में डेटा के साथ काम करने में असमर्थता होती है। मेरे अनुभव में, एकमात्र उपाय जो स्नॉर्ट लॉग के साथ काम करने योग्य बनाता है, वह स्प्लंक है। सामान्य तौर पर, स्प्लंक एक लॉग प्रबंधन प्रणाली है जो उन्हें सहेजती है, अनुक्रमित करती है और परिणामस्वरूप डेटाबेस के साथ काम करने के लिए एक सुविधाजनक इंटरफ़ेस सुरक्षित करती है। यह मालिकाना सॉफ्टवेयर है, जो कि शेयरवेयर (प्रति दिन अनुक्रमित डेटा की मात्रा 500 एमबी से अधिक नहीं है, जो स्नॉर्ट के लिए पर्याप्त से अधिक है)। प्रणाली प्रबंधन की सुविधा और बड़ी मात्रा में डेटा के साथ काम करने की क्षमता को जोड़ती है, और सबसे महत्वपूर्ण बात: इस प्रणाली के लिए एक प्लग-इन विशेष रूप से SNORT लॉग के साथ काम करने के लिए सिलवाया गया है। यहाँ स्प्लंक डाउनलोड करें

स्प्लंक स्थापित करें:
dpkg -i splunk-4.2.1-98164-linux-2.6-intel.deb
हम लॉन्च करते हैं:
/opt/splunk/bin/splunk start

हम वेब-फेस पर जाते हैं, प्लगइन खोजते हैं और इंस्टॉल करते हैं:


अगला, डेटा स्रोत - फ़ाइल जोड़ें। वहां सब कुछ सहज है और एकमात्र सूक्ष्म बिंदु यह है कि स्रोत प्रकार को मैन्युअल रूप से सेट किया जाना चाहिए: snort_alert_full । जब सब कुछ तैयार हो जाता है, तो हम एक अलर्ट उत्पन्न करते हैं (netcat के माध्यम से हम संरक्षित पोर्ट पर abc123 भेजते हैं)। और हम स्पंक में देखते हैं:



बाईं ओर स्थित स्तंभ उस डेटा को दिखाता है जिसे पार्सर ने पहचाना और जिस पर आने वाले डेटा के लिए अनुक्रमणिकाएँ बनी हैं। इन आंकड़ों के आधार पर, आप बिल्ट-इन क्वेरी भाषा का उपयोग करके विश्लेषण कर सकते हैं, आप ग्राफ़ बना सकते हैं, आप मानचित्र पर स्रोतों को प्रदर्शित कर सकते हैं और बहुत कुछ, बहुत अधिक।



इसके अलावा, निर्माता की वेबसाइट पर अपना खुद का प्लग-इन बनाने की प्रक्रिया का वर्णन किया गया है, जो आपको अपना खुद का प्लग-इन बनाने की अनुमति देता है, जिसे एक विशिष्ट कार्य के लिए तेज किया जाएगा।

निष्कर्ष।

उत्पादक में खर्राटे लेने शुरू करने से पहले, ताकि दर्दनाक दर्द न हो, आपको यह करना चाहिए:

• नियमों के लिए एक संस्करण नियंत्रण प्रणाली बनाएं और नियमों को तीसरे पक्ष के मेजबान (SVN ठीक है) पर संग्रहीत करें।
• एक आपातकालीन संचालन योजना विकसित करें (यदि स्नोट गिर गया है और ट्रैफ़िक नहीं जाता है)।
• रिकवरी योजना डेटा हानि के साथ स्नॉर्ट के साथ हार्डवेयर का टुकड़ा।
• Abc123 के ऊपर वर्णित प्रकार का एक परीक्षण नियम बनाएं, जिसमें किसी भी बदलाव के बाद हर बार स्नॉर्ट के संचालन की जांच करनी चाहिए।

मुझे सवालों के जवाब देने में खुशी होगी।