Главная » Статьи » Защита информации


Обнаружение сетевых атак. Наблюдение в реальном времени. Snort GUI for Lamerz

Обнаружение сетевых атак. Наблюдение в реальном режиме времени

Решающим моментом анализа IDS-событий является возможность временного сопоставления (корреляции) всех данных аудита из различных источников для определения точного источника опасности и принятия мер по ее предотвращению. Сюда может относиться все: от простого поиска в БД схожих сигналов тревоги до просмотра обмена пакетов в TCP-потоке.

Sguil (Snort GUI for Lamerz)

Здесь вам поможет Sguil (http://sguil.sourceforge.net) (сокращение от Snort GUI for Lamerz). Удивительно, но Sguil произносится как «эс-гуил» (созвучно «эс-кью-эл»). Sguil — это графическая консоль анализа. Она объединяет в себе мощь таких средств, как Ethereal (http://www.ethereal.com), TcpFlow (http:// www.circlemud.org/~jelson/software/tcpflow/) и препроцессоры сканирования портов и декодирования TCP-потоков. Это позволяет свести воедино все данные из этих источников. Sguil использует модель «клиент — сервер» и состоит из трех частей: надстройки для Barnyard (op_guil), сервера (sguild) и клиента (sguil.tk).

Агенты устанавливаются на каждом датчике вашей NDIS, используемом для возврата сведений на sguil-сервер. Сервер занимается сбором информации и определением временного соотношения всех сведений от всех агентов-датчиков, а также обработкой информации и идентификацией запросов от GUI-клиентов. Для начала необходимо загрузить с сайта проекта дистрибутив Sguil и распаковать его. Будет создан каталог, имя которого состоит из наименования и версии пакета (например, sguil-О.З.О). Первым шагом по настройке Sguil является создание БД MySQL для хранения информации. Кроме того, необходимо создать учетную запись пользователя, с помощью которой можно обращаться к этой БД.

Поскольку датчиков наблюдения еще нет, щелкните на кнопке Exit (Выход). Необходимые обновления можно найти в подкаталоге sensor/snort_mods/2_0/ дистрибутива Sguil. Теперь перейдите в каталог, содержащий исходный код Snort, перейдите в подкаталог src/preprocessors и выполните обновление с помощью spp_portscan.c и spp_stream4.c.

Первая строка включает препроцессор portscan и заставляет его запускать сигнал тревоги «сканирование портов», если будет обнаружена попытка одного узла подключиться к четырем различным портам в течение трехсекундного интервала. Свой протокол препроцессор сканирования портов хранит в /var/log/snort/portscans. Последнее поле в строке — наименование датчика.

Вторая строка активизирует препроцессор stream4, включая в нем обнаружение скрытого сканирования портов, и указывает не генерировать сигнал тревоги при взаимном наложении ТСР-дейтаграмм. Здесь также указывается место хранения протокола этого препроцессора. Кроме того, в Snort необходимо настроить единый (унифицированный) выходной формат, поскольку для обработки протоколов сигналов тревоги и протоко- лов событий необходимо использовать Barnyard.

Далее создайте элемент в crontab для входящего в комплект Sguil сценария log_ packets.sh. Он (сценарий) запускает единственный экземпляр Snort для протоколирования пакетов. Эта строчка в crontab будет каждый час повторно запускать экземпляр Snort: 00 0-23/1 * * * /usr/local/bin/log_packets.sh restart Придется изменить переменные в начале сценария в соответствии с вашими потребностями. Эти переменные указывают, где найти двоичный файл Snort (SNORT_ PATH), где размещать протокол пакетов (LOG_DIR), какой сетевой интерфейс анализировать (INTERFACE), а также задают параметры командной строки (OPTIONS). Обратите особое внимание на переменную OPTIONS. В ней можно указать, от имени каких пользователей или групп будет запускаться Snort; по умолчанию приложение работать не будет, пока не будут созданы пользователь Sguil и группа. Кроме того, установив переменную FILTER в значение BPF, можно указать, какой трафик не протоколируется (например, tcpdump-style).

Установка и настройка Barnyard

После этого необходимо скомпилировать и установить Barnyard, но запустить лишь этап конфигурирования. Выполните обновление с помощью надстройки вывода op_sguil, поставляемой вместе с Sguil. Для этого скопируйте sensor/ bamyard_mods/op_sguil.* в каталог output-plugins в дереве исходного кода Barnyard: $ cd ~/barnyard-0Л.О/src/output-plugins $ ср -/sguil-0.3.0/sensor/barnyard_mods/op_sguiI.* . Теперь измените Makefile этого каталога, добавив op_sguil .с и op_sguil .h в пере- менную 1 ibop_a_SOURCES и op_sguil'.o в переменную libop_a_OBJECTS.

Перейдем к корректировке файла op_plugbase.c, в котором необходимо найти строку #include "op_acid_db.h" Ниже нее добавьте еще одну строку, так чтобы получилось: #inc1ude "op_acid_db.h" #include "op_sguil.h" Теперь найдите строку AcidDbOpInit( ); и добавьте под ней еще одну строку, чтобы они выглядели так: AcidDbOpIniK ): SguilOpInitC ); Теперь запустите make из текущего каталога; после завершения перейдите в основной каталог исходного дистрибутива и выполните команду make install.

Для настройки Barnyard на использование надстройки вывода Sguil добавьте в barnyard.conf подобную строчку: output sguil: mysql. sensor_id 0. database SGUIL, server localhost, user sguil, sguilpass, sguildjiost localhost, sguild_port 7736 Теперь можно запустить Barnyard как обычно. После этого необходимо настроить сценарий агента датчика (sensor_agent.tcl), который можно найти в каталоге sensor дистрибутива. Перед запуском этого сценария необходимо подстроить несколько переменных под конкретные условия: set SERVERJOST localhost set SERVER_PORT 7736 set HOSTNAME gw-extO set PORTSCAN_DIR /var/log/snort/portscans set SSN_DIR /var/log/snort/ssnjogs set WATCHJHR /var/log/snort. Переменные PORTSCAN_DIR и SSN_DIR должны указывать на каталоги, в которые помещаются протоколы препроцессоров portscan и stream4.

Настройка xscriptd

Теперь необходимо лишь настроить xscriptd на той системе, на которой установлен sguild. Этот сценарий отвечает за сбор пакетов, поступающих от каждого датчика, извлечение запрашиваемой информации, а затем отправку ее в GUI клиента. Перед его запуском необходимо также скорректировать некоторые переменные: set LOCALSENSOR 1 set LOCAL_LOG_DIR /var/log/snort/archive set REMOTE_LOG_DIR /var/log/snort/dailylogs При запуске xscriptd на том же узле, на котором находится датчик, установите LOCALSENSOR в 1, в противном случае — в 0. Переменная LOCAL_LOG_DIR определяет, где xscriptd будет архивировать данные, полученные после опроса датчика, REMOTE_ LOG_DIR определяет, где на удаленном узле xscriptd будет искать пакеты. При установке xscriptd на узел, на котором нет агента датчика, необходимо настроить ключи SSH-клиента, для того чтобы он мог получать данные от датчиков. Кроме того, на узле, на котором располагается xscriptd, должны быть установлены tcpflow (http://www.circlemud.org/~jelson/software/tcpflow/) и pOf (http:// www.stearns.org/pOf/).

После того как все настроено, запустите sguild и xscriptd с помощью подобных команд: # sguild -0 /usr/l.ib/tls 1.4/1 ibt 1 s 1.4.so # xscriptd -0 /usr/lib/tlsl.4/libtlsl.4.so Если SSL не используется, то -0 /usr/1 ib/tlsl.4/1 ibtlsi.4.so в представленных командах можно опустить. В противном случае аргумент -0 должен точно указывать местонахождение библиотеки libtls в системе. Можно отметить, что подготовка Sguil к запуску является непростой задачей, но результат того стоит. После того как все будет запущено, вы получите прекрасную возможность четко представлять, что происходит в сети. Sguil одновременно выводит данные из нескольких источников, давая полное представление о том, что невозможно увидеть лишь просматривая протоколы NIDS.

Категория: Защита информации | Добавил: george27 (08.10.2014)
Просмотров: 1010 | Рейтинг: 4.0/1
Всего комментариев: 0
Имя *:
Email *:
Код *:

Последнее в Блоге

Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?Как выбрать ноутбук? На что обратить внимание при выборе ноутбука?
Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14Компактный ноутбук от Lenovo бюджетной серии IdeaPad 100-14
Обзор игрового ноутбука Acer Predator 17XОбзор игрового ноутбука Acer Predator 17X
Аркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой WantedАркадный симулятор Smashy Road: теперь и Windows может похвастаться игрой Wanted