2.3.6 Создание собственных правил Snort

1. Создайте в папке C:\Snort\rules файл MyRule.rules

2. Откройте его с помощью любого текстового редактора и запишете свое правило по описанному выше алгоритму, к примеру

alert icmp any any -> 192.168.1.36 any (msg: "Да это же ping!";sid:1000001;)

Это правило ждёт ICMP-пакеты с любого узла, направленные на маршрутизатор (в нашем случае 192.168.1.1), и при появлении таковых выводит сообщение "Да это же ping!"

3. Сохраните изменения в файле и откройте с помощью текстового редактора C:\Snort\etc\snort.config, найдите в нем строчку

# site specific rules

4. Допишите после этой строчки следующее

include $RULE_PATH/MyRule.rules

5. В командой строке выполните

snort –c C:\Snort\etc\snort.conf –l C:\Snort\log

После этого запуститься режим обнаружения сетевых вторжений. Завершается он аналогично первым двум режимам.

6. Результаты будут записаны в файл C:\Snort\log\alert.ids (см. рис. 15а).

Рис.15а. Результаты создания правил Snort

2.3.7 Написание контекстных правил (подключение препроцессоров)

Контекстная обработка пакетов осуществляется специальными модулями snort, которые имеют название препроцессоры (preprocessors). Специфика функционирования препроцессоров заключается, прежде всего, в том, что они имеют возможность запоминать предыдущий трафик (в определенном аспекте и объеме). Другой важной особенностью препроцессоров является возможность модифицировать данные, которые поступают на модуль бесконтекстного анализа пакетов (например, выполнять дефрагментацию пакетов). Каждое контекстное правило, в сущности, является директивой подключения того или иного препроцессора. Общий формат этих директив:

preprocessor <name>: <options>

где name — имя препроцессора.

Формат options для каждого препроцессора определяется отдельно

2.3.8 Подключение препроцессора Portscan

Препроцессор Portscan обнаруживает и регистрирует сеансы сканирования портов (см. рис. 15). TCP-сканирование (см. рис. 16) с полным или неполным установлениям соединений и UDP-сканирования (см. рис. 17) определяются по критерию, который можно сформулировать как “поступление с одного узла попыток подключения к n или более портов объекта защиты за T секунд”. Параметры n и T задаются в секции options директивы препроцессора Portscan (см. рис. 18). TCP stealth-сканирования определяется по поступлению хотя бы одного TCP-пакета соответствующего формата. Формат директивы:

preprocessor portscan: <monitor network> <number of ports> <detection period> <file path>

Где monitor network (см. рис.19)– это IP-адрес сети, которая рассматривается как возможный объект сканирования, number of ports – указанный выше параметр n, detection period – указанный выше параметр T, file path – имя файла для регистрации. Пример (см. рис. 20):

preprocessor portscan: 192.168.1.0/24 5 7 log /portscan.log

Рис. 15б. Результат сканирования портов

Рис. 16. Результаты теста на безопасность

Рис. 17. Результаты теста на безопасность

Рис. 18. Подключение теста на безопасность при включенных внешних интернет соединениях

Рис. 19. Результат теста на безопасность

Рис. 20. Результат сканирования портов после включения