Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux
Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.
Algunas de las características deseables para un IDS son:
- Deben estar continuamente en ejecución con un mínimo de supervisión.
- Se deben recuperar de las posibles caídas o problemas con la red.
- Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.
- Debe utilizar los mínimos recursos posibles.
- Debe estar configurado acorde con la política de seguridad seguida por la organización.
- Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.
Los IDS suelen disponer de una base de datos de “firmas” de ataques conocidos.
Project = Snort++
Binary = snort
Version = 3.0.0-a1
Novedades
- Diseño fácil de usar
- Queríamos que sea lo más fácil posible para que la gente aprenda y ejecutar Snort - eso significa que la memoria no más de configuración, los puertos, los argumentos, etc.
- Construido en Documentación
- Built-in de configuración
- Error y apoyo error Multi
- Verificación de la configuración en el arranque (no más tener que ejecutar "-T" para el modo de prueba)
- Más sencillo lenguaje de reglas
- Estamos haciendo que sea más sencillo para escribir reglas.
- tampones Sticky
- Tampones HTTP personalizado
- Auto-Detección de todos los protocolos
- De línea de comandos Shell
- Seguro a localhost
- Permite a alguien para volver a cargar una configuración
- Le permite pausar y reanudar la detección
- Multiproceso y de varios núcleos
- Todo el nuevo diseño para multithreading, manteniendo una única configuración persistente para muchos hilos.
Descargas
Hay dos versiones disponibles, uno para autotools y el otro para cmake:snort-3.0.0-a1-130-auto.tar.gz snort-3.0.0-a1-130-cmake.tar.gz
Instalando Snort
export my_path=/path/to/snorty
tar zxf snort-tarball
cd snort-3.0.0*
Then do one of the following:
- con autotools
./configure --prefix=$my_path
make -j 8 install
- Con cmake y make, run configure_cmake.sh.
./configure_cmake.sh --prefix=$my_path
cd build
make -j 8 install
Notas:
- If you can do src/snort -V you built successfully.
- If you are familiar with cmake, you can run cmake/ccmake instead of configure_cmake.sh.
- cmake --help will list any available generators, such as Xcode. Feel free to use one, however help with those will be provided in a later post.
SNORT en funcionamiento
Entorno:
export LUA_PATH=$my_path/include/snort/lua/\?.lua\;\;
export SNORT_LUA_PATH=$my_path/etc/snort
- Snort++ proporciona mucha ayuda desde la línea de comandos. Ejemplos:
$my_path/bin/snort --help
$my_path/bin/snort --help-module suppress
$my_path/bin/snort --help-config | grep thread
- Examinnar un dump de pcap:
$my_path/bin/snort -r pcap
$my_path/bin/snort -K text -d -e -q -r pcap
- Verificar la configuración, con o sin reglas:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules
- Run IDS mode. In the following, replace a.pcap with your favorite. pcaps/ is a directory with one or more *.pcap files:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
-r a.pcap -A alert_test -n 100000
- Let's suppress 1:2123. We could edit the conf or just do this:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
-r a.pcap -A alert_test -n 100000 --lua "suppress = { { gid = 1, sid = 2123 } }"
- Go whole hog on a directory with multiple packet threads:
$my_path/bin/snort -c $my_path/etc/snort/snort.lua -R $my_path/etc/snort/sample.rules \
--pcap-filter \*.pcap --pcap-dir pcaps/ -A alert_fast --max-packet-threads 8
Documentación
$my_path/share/doc/snort/snort_manual.pdf
$my_path/share/doc/snort/snort_manual.html
$my_path/share/doc/snort/snort_manual/index.html
It does not yet have much on the how and why, but it does have all the currently available configuration, etc. Some key changes to rules:
- you must use comma separated content sub options like this: content:"foo", nocase;
- buffer selectors must appear before the content and remain in effect until changed
- pcre buffer selectors were deleted
- check the manual for more on Snort++ vs Snort
- check the manual reference section to understand how parameters are defined, etc.
- snort2lua, a tool to convert Snort 2.X conf and rules to the new form
- a new HTTP inspector, new_http_inspect - incomplete but off to a good start
- a binder, for mapping configuration to traffic
- a wizard for port-independent configuration
- improved rule parsing - arbitrary whitespace, C style comments, #begin/#end comments
- local and remote command line shell
Dependencias
- autotools or cmake to build from source
- g++ >= 4.8 or other C++11 compiler
- daq from http://www.snort.org for packet IO
- dnet from http://code.google.com/p/libdnet/ for network utility functions
- LuaJIT from http://luajit.org for configuration and scripting
- pcap from http://www.tcpdump.org for tcpdump style logging
- pcre from http://www.pcre.org for regular expression pattern matching
- zlib from http://www.zlib.net for decompression
- pkgconfig from http://www.freedesktop.org to build the example plugins
COMANDOS DE SNORT
Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes funcionalidades:- -A Set alert mode: fast, full, console, or none //(alert file alerts only)//
- -b Log packets in tcpdump format //(much faster!)//
- -c
Use Rules File - -C Print out payloads with character data only //(no hex)//
- -d Dump the Application Layer
- -e Display the second layer header info
- -E Log alert messages to NT Eventlog. //(Win32 only)//
- -f Turn off fflush() calls after binary log writes
- -F
Read BPF filters from file - -h
Home network = - -i
Listen on interface - -I Add Interface name to alert output
- -k
Checksum mode //(all,noip,notcp,noudp,noicmp,none)// - -l
Log to directory - -L
Log to this tcpdump file - -n
Exit after receiving packets - -N Turn off logging (alerts still work)
- -o Change the rule testing order to Pass|Alert|Log
- -O Obfuscate the logged IP addresses
- -p Disable promiscuous mode sniffing
- -P
Set explicit snaplen of packet //(default: 1514)// - -q Quiet. Don't show banner and status report
- -r
Read and process tcpdump file - -R
Include 'id' in snort_intf .pid file name - -s Log alert messages to syslog
- -S
Set rules file variable n equal to value v - -T Test and report on the current Snort configuration
- -U Use UTC for timestamps
- -v Be verbose
- -V Show version number
- -W Lists available interfaces. //(Win32 only)//
- -w Dump 802.11 management and control frames
- -X Dump the raw packet data starting at the link layer
- -y Include year in timestamp in the alert and log files
- -z Set assurance mode, match on established sesions //(for TCP)//
No hay comentarios:
Publicar un comentario