Professional Documents
Culture Documents
Сэнгэдоржийн Отгонлхагва
Удирдсан: . . . . . . . . . . . . . . . . . . . . . ./Г.Гандэмбэрэл/
Улаанбаатар
2009
Агуулга
1 Зорилго.......................................................................................................................3
2 Халдлага илрүүлэх системийн тухай.......................................................................4
2.1 Халдлага гэж юу вэ?...........................................................................................4
2.1.1 Автомат халдлага. (Viruses, Worms болон SQL Slammer)........................5
2.1.2 Хүнээр удирдуулсан халдлага....................................................................5
2.1.3 Scanning vs Compromise..............................................................................6
2.2 Халдлага илрүүлэх системийн ангилал............................................................6
2.2.1 Хостод суулгахад зориулсан халдлага илрүүлэх систем........................7
2.2.2 Сүлжээнд суулгахад зориулсан халдлага илрүүлэх систем....................7
2.2.3 Төвлөрсөн удирдлагатай халдлага илрүүлэх систем................................8
2.3 Халдлага эсэргүүцэх системийн тухай.............................................................9
2.4 Халдлага эсэргүүцэх системийг сонгох...........................................................9
2.5 Snort...................................................................................................................12
2.6 Snort-ийн ерөнхий ажиллагаа..........................................................................13
2.6.1 Snort-ийг суулгах.......................................................................................13
2.6.2 Snort-ийг тохируулах.................................................................................14
2.6.3 Snort-ийг байрлуулах.................................................................................22
2.7 Цуглуулсан alert дахь шинжилгээ...................................................................23
2.8 Alert дахь шинжилгээний үр дүн....................................................................27
3 Snort-ийг халдлага эсэргүүцэх систем болгон өргөтгөх .....................................29
3.1 Snortsam.............................................................................................................29
3.1.1 Snortsam-ийг суулгах ба түүнд зориулан snort-ийг компайлдах...........31
3.1.2 Snortsam-ийг тохируулах..........................................................................34
3.1.3 Snortsam-ийн ажиллагааг шалгах............................................................35
4 Практик судалгаа.....................................................................................................36
4.1 Hping3-ийг ашиглан хийсэн халдлагыг таслан зогсоох................................38
4.2 Бодит халдлагын үр дүн...................................................................................38
5 Дүгнэлт.....................................................................................................................39
6 Ном зүй.....................................................................................................................40
2
1 Зорилго
3
2 Халдлага илрүүлэх системийн тухай
4
2.1.1 Автомат халдлага. (Viruses, Worms болон SQL Slammer)
5
2.1.3 Scanning vs Compromise
6
2.2.1 Хостод суулгахад зориулсан халдлага илрүүлэх систем
Хостод суулгахад зориулсан халдлага илрүүлэх систем нь тухайн хост
дээр суулгагдаж үйлдлийн системийн
төлвийн өөрчлөлт, файл, өгөгдөл,
процессуудыг нь задлан шинжилж
халдлагыг тодорхойлдог систем. Энэ
халдлага илрүүлэх систем нь тухайн хост
дээрх халдлагыг илрүүлэх боломжийг л
олгодог учраас тодорхой тоног
төхөөрөмжөөс гаднах сүлжээний халдалтыг
илрүүлж чадахгүй. Хостод суулгахад
9
хэрэг билээ. Шаардлагыг ажлын зорилгодоо нийцүүлэн дараах байдлаар
тодорхойлсон:
• Сүлжээний гүйцэтгэлийг удаашруулахгүй байх. Гарцан дээр зөвхөн
байрлаж сүлжээгээр дамжих ачааллыг нарийвчан шинжилсний дараа
л дамжуулдаг бол тухайн сүлжээний гарцан дээрх хурдыг багасгана.
• Чөлөөт болон нээлттэй эх бүхий програм хангамж байх. Энэ нь
халдлага эсэргүүцэх системийг маш бага зардлаар ашиглах боломж
олгоно. Өөрөөр хэлбэл халдлага эсэргүүцэх системийг худалдаж авах
зардал гаргахгүй байх боломж бүрдэнэ.
• Чөлөөт болон нээлттэй эх бүхий үйлдлийн системүүдийг дэмждэг
байх. Нэгэнт л халдлага эсэргүүцэх системийг худалдаж авахгүй байх
учир зардал хэмнэх талаасаа мөн үйлдлийн системийг нь худалдаж
авахгүй байх нь тохиромжтой.
• Сүлжээнд тархсан байдлаар ажиллаж төвлөрсөн удирдлагатай буюу
DIPS байдлаар ажиллах боломжтой байх. Энэ нь систем
администратор тухайн сүлжээг нэг дороос хянахад маш хялбар болгох
сайн шийдэл юм.
• Хөгжүүлэлт сайн хийгддэг байх ёстой. Хөгжүүлэлт сайн хийгддэг
байх нь тухайн халдлага эсэргүүцэх системийг сайн гэж бүрэн дүүрэн
нотлохгүй ч гэсэн нэлээд нөлөөтэй хүчин зүйл мөн. Учир нь халдлага
хийх арга технологиуд маш хурдацтай хөгжиж байгаа учир түүнээс
хамгаалах технологи нь мөн хурдан хөгждөг байх ёстой
10
Snort 1998 2.8.3.2 Repository, Чөлөөт болон Linux, BSD-based HIDS, NIDS, DIDS
rpm, source, нээлттэй эх OSes, Solorais, Mac OS боловч IPS болгон
windows X, HP-UX, IRIX өргөтгөх боломжтой.
installer
Untangle 2003 6.1(2009) boot cd, Чөлөөт болон Windows, Өөртөө HIPS, NIPS
windows нээлттэй эх агуулсан debian суурьт
installer үйлдлийн систем
Gnome - 1.0 Rpm, source Чөлөөт болон Gnome-ийг дэмждэг HIPS
lokkit нээлттэй эх бүх үйлдлийн систем
HLBR 2005 1.6(2008) Rpm, source Чөлөөт болон Linux HIPS
нээлттэй эх
GeSwall 2006 2.8 (2009) windows Чөлөөт Windows HIPS
installer
Winpooch 2004 0.6.6 (2007) windows Чөлөөт болон Windows HIPS
installer нээлттэй эх
Хүснэгт 2.4.а
11
Зөвхөн windows үйлдлийг дэмждэг хостод суулгахад зориулсан халдлага
эсэргүүцэх систем.
6. Winpooch (http://sourceforge.net/projects/winpooch/). Windows үйлдлийн
системд зориулсан, GPLv2 лицензтэй, 2004 оны 11 сарын 11-нд хөгжүүлэлт
нь эхлээд 2007 оны 4 сарын 23-нд winpooch-0.6.6 хувилбар нь гарсан зөвхөн
windows үйлдлийн системийг дэмждэг хостод суулгахад зориулсан халдлага
эсэргүүцэх систем.
Эдгээрээс миний гаргасан шаардлагуудад хамгийн их нийцэж байгаа буюу
хөгжүүлэлт сайн хийгдэж байгаа төвлөрсөн удирдлагатай болгож тохируулах
боломжтой нь snort байсан учир энэ халдлага илрүүлэх системийг сонгож эхлээд
халдлага илрүүлэх систем байдлаар нь ажиллуулаад дараа нь түүнийгээ
халдлагад хариу үйлдэл үзүүлэх дэд хэсгүүдээр өргөтгөн халдлага эсэргүүцэх
систем болгож ашиглахаар болсон.
2.5 Snort
Unix төст системд libpcap буюу windows системд winpcap гэх сүлжээний
траффикийг тодорхой форматтайгаар файлд хадгалдаг application programming
interface ашиглан пакетуудыг барьдаг. Тухайлбал Snort нь packet sniffing горимд
пакетыг уншиж байх үедээ pcap (Packet CAPture library)-ийг ашиглан
ProcessPacket функцийг дуудаж ажиллуулан пакетыг бүтцээр нь задална. Дараа
нь IDS горимонд шилжин уг пакетыг шалгаж үнэлгээ дүгнэлт өгнө. Эцэст нь
packet-логging горимд шилжин гаралтын plug-in-уудыг дуудаж ажиллуулах
замаар alert-уудыг үүсгэдэг.
14
/etc/snort/snort.conf файл байдаг. Энэ файл дотор rule-үүдийг тодорхойлох, гадаад
болон дотоод сүлжээг ялгах, өгөгдлийн сантай холбох, server-үүдийн хаягийг
заах (тухайлбал dns query-ийг alert болгож гаргахгүйн тулд dns server ямар
хаяган дээр байгааг тодорхойлдог) зэрэг үндсэн тохиргоог хийдэг.
Rule нэмэх
Snort нь орж ирсэн пакетыг хөнөөлтэй үйл ажиллагаа явуулах пакет мөн
гэдгийг танихын тулд rule-ийг ашигладаг. Rule-үүдийг хэрхэн тохиромжтой
бичсэнээс халдлага илрүүлэх систем нь халдлагыг оновчтой тодорхойлж alert
гаргах нь хамаарна. Иймд rule-үүдийг зөв сонгох нь чухал байдаг.
Rule-ийг өөрийн системд тохиромжтой байдлаар бичих шаардлагатай
байдаг боловч Snort-ийг хөгжүүлдэг багаас зөвлөмж болгож өөрсдийнх нь
гаргадаг rule-үүдийг албан ёсны сайтандаа үнэгүй татах боломжтойгоор
байрлуулсан байдаг. Гэхдээ тухайн сайтад бүртгэгдээгүй хэрэглэгчид нэмэлт
сайжруулалт хийгддэгүй rule-үүдийг л татах боломжтой, бүртгэгдсэн
хэрэглэгчид нь шинэ гарсан rule-үүдийг 30 хоногийн дараанаас татах боломжтой
болно, бүртгэгдээд төлбөр төлсөн хэрэглэгчид болон хөгжүүлэгчид нь шинэ
rule-ийг гарсан дариуд нь авах боломжтой байдаг. Шинэ rule гарахаараа
бүртгэгдсэн хэрэглэгчдийн и-мэйл хаягаар нь мэдэгддэг.
Өөрийн тодорхойлсон болон татаж авсан rule-үүдийг ашиглахын тулд
snort-ийн үндсэн тохиргооны файлд оруулах шаардлагатай. Өөрөөр хэлбэл snort-
ийн үндсэн тохиргооны файлд rule-ийг тодорхойлж байгаа бичлэгийг нэмэх
эсвэл snort-ийн албан ёсны сайтаас татаж авсан rule-үүд байрлах замыг зааж өгч
include командаар сонгосон rule-үүдийг үндсэн тохиргооны файлд оруулах
шаардлагатай.
Анхны утгаараа snort-ийн үндсэн тохиргооны файлд “var RULE_PATH
/etc/snort/rules” гэсэн байдлаар rule-үүдийн байрлах замыг тодорхойлсон байдаг.
Иймд татаж авсан rule-үүдийг /etc/snort/rules хавтсанд хуулаад үндсэн
тохиргооны файл дээр include командаар оруулснаар тухайн rule-ийг ашиглах
боломжтой болно. Тухайлбал scan хийхийг шалгадаг rule-ийг татаж аваад
/etc/snort/rules хавтсанд хуулсан байлаа гэхэд /etc/snort/snort.conf файлд дараах
15
бичлэгийг нэмэх ёстой.
include $Rule_PATH/scan.rule
, mysql-5.0.51a-1.fc9.i386
Mysql-ийг суулгасний дараа mysql-ээ demon хэлбэрээр ажиллуулах
# service mysqld start
Mysql admin-ий нууц үгийг тохируулах
# mysqladmin -u root password [нууц үг]
Mysql рүү root хэрэглэгчийн эрхээр нэвтрэх
# mysql -u root -p
Snort-д зориулан лог болон alert-ийг хадгалдаг өгөгдлийн сан үүсгэх
mysql> CREATE DATABASE snort;
17
by 'нууц үг';
хост=localхост
http://sourceforge.net/project/showfiles.php?group_id=103348&package_id=128846
&release_id=617636
ADODB: http://phplens.com/lens/dl/adodb453.tgz
Эдгээр нь adodb*.tgz болон base.tar.gz файлууд байх бөгөөд тэдгээрийг
задлаад веб сервер ажиллаж байгаа directory-т хуулна. Тухайлбал дараах
командуудыг ашиглан хуулж болно.
$tar -xvzf ~/adodb453.tgz
$mv ~/adodb453 /var/www/html/adodb
$tar -xvf ~/base-1.4.1.tar.gz
$mv ~/base-php4 /var/www/html/base
Эдгээр php хуудсуудыг apache-гаар ажиллуулахын тулд permision-ийг нь
тохируулна. Гэхдээ энд owner нь apache group нь apache гэж тохируулсан байгаа
нь жишээ бөгөөд аюулгүй байдал талаа анхаарахын тулд apache-ийн default
хэрэглэгч болох apache-г owner нь болгон тохируулахгүй байхыг зөвлөж байна.
Гэхдээ суулгах тухайн вэб сэйтыг суулгахад apache хэрэглэгч нь base-ийн үндсэн
тохиргооны файлд өөрчлөлт хийх учир permission-ийг нь apache хэрэглэгч write
эрхтэй байхаар тохируулсан байх шаардлагатай. Харин суулгасныхаа дараа write
эрхгийг нь болиулах нь зөв хувилбар мөн.
#chown -R apache:apache /var/www/html/base
#chown -R apache:apache /var/www/html/adodb
Base хуудсыг анх ажиллуулахад
“зураг 2.6.2.a”-д үзүүлсэн байдлаар
directory-т бичих эрх байхгүй байна
гэсэн алдаа заах учир base-ийн
direcotory-т нь бичих эрхийг нэмнэ.
Зураг 2.6.2.а
Дараах командаар бичих эрх нэмж
19
болно.
#chmod o+w /var/www/html/base
Permision-ийг зөв тохируулсны дараа 5-н алхам дамжаад base-ийг
ашиглах боломжтой болно.
Нэгдүгээр алхамд “Зураг 2.6.2.б”-д
үзүүлснээр хэлээ тохируулах болон
өгөгдлийн сантайгаа холбогдож
Зураг 2.6.2.б
ажилладаг ADODB-ийн замыг зааж
өгнө.
Хоёрдугаар алхамд “Зураг 2.6.2.в”-д
үзүүлсэн байдлаар өгөгдлийн сангийн
төрөл, нэр, серверийн хаяг, порт,
холбогдох нэр нууц үг зэрэг өмнө
тохируулж байсан тохиргоонуудыг
Зураг 2.6.2.в оруулна.
Зураг 2.6.2.д
хүснэгтүүдийг үүсгэх хэсэг. Тэдгээр хүснэгтүүд нь халдлагад шинжилгээ хийхэд
хэрэглэгдэнэ. “Create BASE AG” товчлуур дээр товшиж тэдгээр хүснэгтүүдийг
үүсгэнэ.
Тавдугаар алхамд “Зураг 2.6.2.е”-д үзүүлснээр үндсэн хуудасруу шилжиж уг
хуудсыг шалгана.
20
Зураг 2.6.2.е
Snort-ийг турших
21
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
2.6.3.aилалтга
Wireless access point ашиглан холбогдсон сүлжээний хувьд
Router
Snort
тухайн access point-оор дамжих пакетыг шинжлэх
Host
22
Router
Switch
Snort
Host
23
Classification Total # Sensor # Signa Source Dest. Add First Last
ture Address ress
unclassified 3532 (16%) 1 32 67 83 2008-11-26 2008-12-03
17:06:5 21:45:20
unclassified 162 (1%) 1 8 16 2 2008-11-26 2008-12-13
15:23:25 15:51:58
misc-activity 16950 (76%) 1 13 312 588 2008-11-26 2008-12-13
14:16:37 17:22:07
bad-unknown 5 (0%) 1 1 1 1 2008-11-26, 2008-11-26,
04:24 04:24
system-call-detect 1 (0%) 1 1 1 1 2008-11-26 2008-11-26
17:01:46 17:01:46
attempted-admin 700 (3%) 1 4 150 2 2008-11-29 2008-12-13
13:07:06 16:56:21
shellcode-detect 467 (2%) 1 7 5 2 2008-11-29 2008-12-13
13:07:06 16:32:11
web-application-activity 134 (1%) 1 6 40 2 2008-11-29 2008-12-13
13:07:06 14:28:12
web-application-attack 13 (0%) 1 2 5 2 2008-11-29 2008-12-11
13:07:17 11:29:15
attempted-recon 48 (0%) 1 4 7 9 2008-12-03 2008-12-12
05:21:51 19:27:26
misc-attack 192 (1%) 1 2 41 2 2008-12-03 2008-12-13
23:48:31 16:56:21
policy-violation 10 (0%) 1 1 2 1 2008-12-12 2008-12-13
15:02:21 17:18:51
successful-recon-limited 1 (0%) 1 1 1 1 2008-12-13 2008-12-13
05:12:10 05:12:10
Хүснэгт 2.7.а
Эдгээр төрлүүдээс 53-н төрлийн signature бүхий alert илэрсэн бөгөөд
тэдгээрээс онцлох хэд signature нь:
• port scan. 136 тохиолдол илэрсэн. Нээлттэй порт байгаа эсгийг шалгадаг.
Эмзэг байдлын тандалт хийж байна. Өөрөөр хэлбэл аль нэг портоор
ажиллаж байгаа application-ий хувилбар, ажиллаж байгаа үйлдлийн
системийн төрөл, халдлага хийх боломжийг шалгана.
• SHELLCODE base64 x86 NOOP. 1655 тохиолдол илэрсэн. X86
architecture-тай процессорт зориулсан assembly хэл дээр бичигдсэн shell
код. “Buffer-overflow” болон “format-strings” аргуудыг ашиглан системд
хэрэглэгчийн командуудыг нэвтрүүлдэг.
• WEB-MISC Chunked-Encoding transfer attempt. 35 тохиолдол илэрсэн.
Веб сервер ажилладаг дурын үйлдлийн систем дээр ажиллах боломжтой.
Веб серверлүү privileged хэрэглэгчийн эрхээр баталгаажаагүй холболт
тогтоох зорилготой. Ихэвчлэн серверийг унагаах зорилгоор хэрэглэдэг.
• SPECIFIC-THREATS Microsoft SPNEGO ASN.1 library heap corruption
24
overflow attempt. 35 тохиолдол илэрсэн. Windows NT 4.0, 2000, xp
үйлдлийн системүүдийн MSASN1.DLL, LSASS.EXE, CRYPT32.DLL
зэрэг сангуудаас биелүүлэх боломжтой кодуудыг биелүүлж тухайн
машины нөөцийг их хэмжээгээр зарцуулах зорилготой. Өөрөөр хэлбэл
ихэвчлэн DoS дайралтын аргад хэрэглэдэг.
• SPECIFIC-THREATS ASN.1 constructed bit string. 35 тохиолдол илэрсэн.
MSASN1.DLL сангийн кодыг биелүүлж heap-based buffer overflow
дайралт хийхэд хэрэглэдэг.
• WEB-MISC WebDAV search access. 32 тохиолдол илэрсэн. IIS 5.0-д
зориулагдсан DoS дайралтыг хэрэгжүүлэхэд ашигладаг.
Attemptedinformationleak
15 67 74 35
Зураг 2.7.б
policy-violation
Information leak
3 9 8 9
Зураг 2.7.в
25
өөр эх хаягнаас). Дараа нь “executablecode was detected” халдлага орж байна.
Зураг 2.7.в
26
Зураг 2.7.г
“Зураг 2.7.г”-д халдлага хийсэн цагийн харьцааг үзүүлсэн. Энд 14 цагт 4080
халдлага хийгдсэн байгаа нь харагдаж байна гэхдээ шөнө хийгдсэн халдлага нь
бага биш байгаа гэдэг нь мөн харагдаж байна.
Зураг 2.7.е
Зураг 2.7.д
27
“Зураг 2.7.б”-д үзүүлснээр attempted administrator privilege gain (1274
тохиолдол), executable code was detected (1623 тохиолдол), access to a potentially
vulnerable web application (297 тохиолдол) халдлагууд хамгийн их байгаа нь
ажилгагдаж байна. Эдгээр нь бүгд зэрэглэл өндөртэй халдлагууд бөгөөд аль нэг
нь амжиллтай болвол тухайн веб сервийн тогтвортой үйл ажиллагаа алдагдах ба
зарим өгөгдлүүдээ эсвэл тохиргоонуудыг дахин сэргээх боломжгүй болж
болзошгүй. Иймд аюулгүй байдлыг зайлшгүй сайжруулах шаардлагатай гэсэн үг
ба гэнтийн ослоос хамгаалах төлөвлөгөө (disaster recovery plan) байх
шаардлагатай. Энд гэнтийн ослоос хамгаалах төлөвлөгөөн дотроо өгөгдлийг
нөөцлөх бүтэц үүсгэх шаардлагатай ба аюулгүй байдлын түвшинг аль болох
сайжруулах нь тулгамдсан асуудал болоод байна гэдэг нь тодорхой байна.
Тэдгээр халдлагууд нь “Зураг 2.7.г”-д үзүүлснээр цагийг бүсэд хязгаарлагдахгүй
байгаа нь системийн администратор тухайн халдлагыг таслан зогсоох нь маш
төвөгтэй болж байна. Шөнийн цагаар учрах халдлага нь өдрийн цагаар учрах
халдлагатай харьцуулахад бага байгаа хэдий ч тоон хэмжээ нь их байна. Иймд
дан ганц сүлжээний администратор тухайн халдлагыг таслан зогсооно гэдэг маш
төвөгтөй, администратор халдлагыг таслан зогсоолоо ч гэсэн харьцангүй удаан
үйл ажиллагаа явуулах учир нэгэнт илрээд байгаа халдлагуудыг автоматаар
таслах зогсоодог болгох зайлшгүй шаардлагатай гэдэг нь харагдаж байна. “Зураг
2.7.д” үзүүлснээр вэб сервер учраас 80-р портоор хамгийн их халдлага учирч
байгаа нь харагдаж байгаа хэдий ч бусад портоор халдлага ирж байгаа нь
харагдаж байна. Иймд вэб серверийн аюулгүй байдлыг хангах нь зөвхөн дан
ганц веб серверийн (apache, IIS, …) болон өгөгдлийн сангийн (mysql, ms-sql,
oracle, …)-ийн аюулгүй байдлыг тооцсон сайн тохиргоо, кодыг нь сайтар аудит
хийсэн вэб сайт (php, asp, ... гэх мэт хэлүүд дээр бичигдсэн сайтууд) байсан ч
гэсэн системрүү хандах өөр өргөн боломжуудыг тооцсон аюулгүй байдлыг
хангах шаардлагатай гэдэг нь харагдаж байна. Өөрөөр хэлбэл тэдгээр аюулгүй
байдлыг хангах наад захын шаардлагуудыг хангахаас гадна аюулгүй байдлыг
хангах цогц хамгаалалт болох халдлага эсэргүүцэх систем мөн шаардлагатай
гэдэг нь харагдаж байна.
28
3 Snort-ийг халдлага эсэргүүцэх систем болгон өргөтгөх
3.1 Snortsam
29
Snortsam нь snort-ийн халдлагыг тодорхойлоод гаргасан alert-уудыг нь
ашиглаад халдлагыг таслан зогсоодог ба snort суусан хост (цаашид snort хост
гэж ярьна)-оос өөр хост дээр суулгагдаж snort хост болон firewall бүхий хост
30
суусан хост нь routing хийдэг байсан ч бас болно. Өөрөөр хэлбэл халдлага
эсэргүүцэх системийн дэд хэсгүүдийг сүлжээнд тахасан байдлаар эсвэл нэг хост
дээр байршуулж ашиглах боломжтой.
IPS
IDS
Зураг 3.1.1.
Alerts
илалтгаалсан
Snortsam host Snort host
ffic
Fir
tra
e
wa
rk
ll
two
rul
Ne
e
Router
авах шаардлагатай.
32
# autoheader
# automake --add-missing
# autoconf
Make командар компайлдах үед ar болон libtool командууд дээр алдаа
зааж байсан учир Makefile.in файл доторх 82, 126-р мөрүүдийг засах
шаардлагатай. “vi” засварлагчийг ашиглаж тухайн файлыг засварлаж болно.
# vi Makefile.in
82 AR = ar
126 LIBTOOL = libtool
Одоо configure командаар компайл хийх тохиргоог хийх боломжтой. Мөн
mysql-тэй холбогдох гаралтын plugin-ийг цуг суулгаж болно.
# ./configure --with-mysql
Шууд make командыг ажиллуулахад заримдаа алдаа гардаг учир эхлээд
make clean командыг ажиллуулвал тохиромжтой.
# make clean
Одоо make болон make install командуудаар суулгах боломжтой.
# make
# make install
Компайл хийх явцад тохиргооны файлууд хуулагдаагүй бол дараах
командуудаар /etc/snort хавтсыг үүсгэж дотор нь snort-ийн тохиргооны
файлуудыг хуулж болно.
# mkdir /etc/snort
# cp etc/unicode.map /etc/snort/
# cp etc/reference.config /etc/snort/
# cp etc/sid-msg.map /etc/snort/
# cp etc/gen-msg.map /etc/snort/
# cp etc/classification.config /etc/snort/
# cp etc/snort.conf /etc/snort/
Компайл хийхэд анхны утгаараа snort.conf файл дотор snort-ийн халдлага
шалгахад ашигладаг rule-үүдийг хадгалсан замыг буруу заасан байх боломжтой
учир дараах командаар 110, 111-р мөрүүдийг засварлаж болно.
# vi /etc/snort/snort.conf
110 var RULE_PATH rules
33
111 var PREPROC_RULE_PATH preproc_rules
Snortsam-ийг суулгах.
Одоогоор snortsam-ийн хамгийн сүүлийн хувилбар нь snortsam-2.57
байгаа учир дараах командаар эх кодыг нь татаж авч болно.
# wget http://www.snortsam.net/files/snortsam/snortsam-src-
2.57.tar.gz
Snortsam-ийг дараах командаар задлаж болно.
# tar -xvf snortsam-src-2.57.tar.gz
Snortsam-ийг суулгахдаа кодууд байгаа хавтсанд шилжвэл тохиромжтой.
Дараах командаар шилжиж болно.
# cd snortsam
Snortsam-ийг одоо wakesnortsam.sh файлыг ажиллуулаад суулгах
боломжтой.
# ./makesnortsam.sh
Компайл хийгдсэн учир binary файлуудыг нь /usr/local/bin хавтас руу
хуулж ашиглах нь тохиромжтой. Дараах командаар хуулж болно.
# cp snortsam* /usr/local/bin
Мөн тохиргооны файлыг нь /etc хавтсанд хуулж ашиглавал тохиромжтой.
Дараах командаар хуулж болно.
# cp conf/snortsam.conf.sample /etc/snortsam.conf
4 Практик судалгаа
105: src[conn],30min;
108: src[conn],30min;
109: src[conn],30min;
110: src[conn],30min;
...
14780: src[conn],30min;
14781: src[conn],30min;
Одоо snort болон snortsam-ийг ажиллуулаад халдлагыг эсэргүүцэж байгаа
эсгийг шалгах боломжтой болсон. Дараах командаар snort-ийг ажиллуулж
болно. Санамж: snort-ийн кодонд alert_fwsam гэсэн гаралтын plugin нэмсэн
байгаа учир alert горимд ажиллуулгүй.
# snort –c /etc/snort/snort.conf –i eth0
Snortsam нь тохиргооны файлаа уншихдаа анхны утгаараа /etc/snortsam.conf
замаас уншдаг учир дараах командаар ажиллуулж болно.
37
# snortsam
WEB-FRONTPAGE rad
ICMPDestination Unreachable fp30reg.dll access, 1872
Communication with
Destination Хост is
Administratively Prohibited, BAD-TRAFFICtcp port 0 traffic, MISCUPnPmalformed
13104 214 advertisement, 702
WEB-MISCrobots.txt access,
ICMPPING CyberKit 2.2
Windows, 2886 SQLping attempt,156
858
Зураг 4.2.а
WEB-MISCWebDAV search
access, 3354
5 Дүгнэлт
6 Ном зүй
40
Brian Caswell, Mike Poor (2004)
• Snort IDS and IPS toolkit (2007)
• http://doc.emergingthreats.net/bin/view/Main/SnortSam
• http://global-security.bлогspot.com/2008/04/block-bad-oss-ips-with-
content.html
41