SNORT RULES

Snort pravila potrebujemo za zaznavanje varnostnih lukenj, vdorov, virusnih okužb… Na podlagi napisanega pravila Snort sproži alarm dogodka. Na voljo imate več vrst pravil:

-Snort Community Rules ( so skupek pravil, ki jih piše javnost in so prosto dostopna vsem uporabnikom)

-Sourcefire VRT Certified Rules ( pravila so testirana in potrjena z strani članov Sourcefire Vulnerability Researche Team (VRT). Za prenos teh pravil potrebujete Oinkcode. Pridobite jo tako, da se registrirate na Sourcefire spletn strani.)

-pravila, ki jih napišemo sami (svoja pravila pišemo v datoteko “local.rules”, ki je rezervirana prav za taka pravila. Nahaja se v “/etc/snort/rules/local.rules”)

Zelo osnoven in površinski prikaz pravila:

1.) Kako Snort ve kje ima shranjena pravila?

Snort ima vse nastavitve shranjene v datoteki “/etc/snort/snort.conf”. Za definiranje lokacije “rules” uporablja spremenljivko “var RULE_PATH”.

2.) Za začetek poiščimo lokacijo pravil. Nahajajo se v direktoriju “/etc/snort/rules”. Z ukazom “ls /etc/snort/rules/” vidimo vrste pravil.

Kot lahko vidimo imamo več vrst pravil (chat.rules, backdoor.rules…). Kot že samo ime pove npr. “chat”, da so v tej datoteka pravila za zaznavo raznih IRC, Facebook chat, Gmail chat…aplikacij)

3. Primer vsebine “chat.rules”. Vsebino lahko pogledamo z ukazom “more chat.rules”, “less chat.rules”, “vi chat.rules”…

4. Sedaj bomo napisali svoje prvo pravilo. Kot smo že omenili se lastna pravila pišejo v datoteko /etc/snort/rules/local.rules”.

Naše preprosto pravilo bo javljajo alarme v primeru, če uporabnik išče vsebino “Porn”.

Opis pravila:

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:”porn”; content:”porn”; classtype:policy-violation; sid:100001;)

-alert ( pošlji alarmno sporočilo, če vsebina paketa ustreza pravilu)

– tcp (vrsta protokola)

-$HOME_NET (lokalno omrežje,ki ga varujemo)

– any ( pravilo velja za vse porte)

–   -> (pravilo velja za pakete, ki gredo iz domačega omrežja ven)

– $EXTERNAL_NET (internet omrežje)

– any (pravilo velja za vse “destination” porte)

– msg:”Porn” ( sporočilo v primeru alarma)

– content:”porn”; ( beseda, ki jo iščemo v paketu)

– classtype:policy-vioaltion; (ta alarm spada v kategorijo policy-vioaltion)

– sid (identifkacijska številka alarma)

5. Sedaj ko imamo pravilo napisano poženemo Snorta z ukazom: “snort -v -i eth0 -c /etc/snort/snort.conf”

Za test pravila v spletni brskalnik vpišite besedo “porn” in kliknite najdi. Sedaj lahko preverimo ali se je alarm sprožil. To storimo tako, da odpremo “http://localhost/acidbase”.

Naše pravilo deluje. Če želimo videti podrobnosti kliknemo nanj.

Če želite pravilo onemogočiti na začetek dodate “#”, kar pomeni, da smo pravilo skomentirali.

Toliko o pisanju osnovnih pravil…

4 Responses to Snort rules

  • Heya great blog! Does running a blog such as this take a
    large amount of work? I have no knowledge of
    computer programming but I was hoping to start my own blog in the near future.
    Anyway, if you have any suggestions or tips for new blog owners please share.

    I understand this is off subject nevertheless I just wanted to ask.
    Kudos!

  • Pretty section of content. I just stumbled upon your site and in accession capital
    to assert that I get actually enjoyed account your blog posts.
    Anyway I will be subscribing to your feeds
    and even I achievement you access consistently rapidly.

Leave a Reply

Your email address will not be published. Required fields are marked *

VNESITE ŠTEVILO V PRAZNO POLJE !!! *

Internetna zaščita

Copyright © 2013. All Rights Reserved.