Перед тем, как начать настройку, нужно найти систему, на которой можно не только запустить Snort, но и которая, в то же время, может работать в качестве точки доступа. Мы решили воспользоваться старым добрым беспроводным маршрутизатором Linksys WRT54G (см. ). Этот маршрутизатор работает под управлением прошивки с открытым исходным кодом, которую всегда можно заменить любой другой с расширенными возможностями, включая поддержку Snort. Конечно, для Snort вы можете использовать запасной компьютер с беспроводной картой и обычным сетевым адаптером Ethernet, если установите его в режим .
Кроме правил, Snort позволяет настраивать так называемые предпроцессоры (preprocessors), которые сканируют трафик до того, как начинают действовать обычные правила. Предпроцессоры особенно полезны при работе с обычным или известным трафиком, например сканированием портов и ping-пакетов, которые могут снижать скорость обработки через обычные правила, требующие больше ресурсов.
Это правило ждёт ICMP-пакеты с любого узла, направленные на маршрутизатор (в нашем случае 192.168.1.1), и при появлении таковых выводит сообщение "Да это же ping!". Более сложные правила могут содержать переменные (например, диапазоны IP-адресов для внутренней или внешней сети) или даже включать файлы. Если вы хотите задавать правила самостоятельно, рекомендуем ознакомиться с пунктом в документации Snort (на английском).
alert icmp any any -> 192.168.1.1 any (msg: "Да это же ping!";)
Срабатывание одного из правил может включить тревогу (alert), как указано в настройках IDS, включить запись пакетов в журнал (log) или просто будет проигнорировано (pass). Опции правил (rule options) позволяют задать определённое содержимое пакета (например, конкретный байт или размер пакета), а также указать сообщение, выводимое в журнал. Ниже приведён пример правила, которое поднимает тревогу, если кто-то "пингует" компьютер.
<action> <protocol> <first host> <first port> <direction> <second host> <second port> (<rule options>;)
Правила имеют достаточно простой синтаксис, который показан ниже.
Рис. 2. Набор правил Snort.
Snort работает с предварительно заданными шаблонами вредоносного трафика, называемыми правилами (rules) (Рис. 2), которые позволяют определить, какой трафик в сети является вредоносным, а какой - нет. Это похоже на антивирусные программы, так как правила нужно периодически обновлять. Snort может обнаружить только известные атаки, так что здесь не забывайте регулярно обновлять базы правил.
Snort является целым комплексом. Про Snort написано множество руководств, книг и даже лекций, описывающих настройку и работу с системой. Мы не будем вдаваться в мельчайшие детали Snort и рассмотрим только основы, которые помогут настроить программу и работать с ней.
Кстати, для пользователей беспроводных сетей существует специальная версия Snort. Она носит соответствующее название и содержит правила для определения наиболее распространённых атак на точки доступа. Конечно же, систему можно более тонко настроить на нужды конкретной WLAN. В нашем материале мы рассмотрим работу Snort и покажем, как систему можно реализовать в вашей беспроводной сети.
Snort, также как и другие IDS, особенно эффективно срабатывает при осуществлении атак на беспроводную сеть. Ранее мы уже рассказывали о том, как можно . Добавим, что даже более стойкие методы шифрования можно взломать, а также преодолеть схемы аутентификации, используемые в беспроводной сети. Всё это позволяет использовать Snort для выявления подобных атак и блокирования их до того, как они сработают.
Одной из систем IDS является . Она основана на открытом исходном коде и легко настраивается на конфигурацию любой WLAN. Отметим, что Snort сегодня считается стандартом де-факто для систем обнаружения атак. Snort гибка, быстра и, что также немаловажно, свободно распространяема. Всё это позволяет использовать её для мониторинга беспроводного трафика.
Однако, не всё так печально, как кажется. В природе существуют способы для оценки защищённости беспроводной сети, несмотря на кажущуюся абсурдность сочетания слов "безопасность" и "беспроводная сеть". Системы распознавания атак (Intrusion Detection Systems - IDS) позволяют обнаружить возможные способы вторжения ещё до того, как они произойдут, пока враг ищет лазейку. Конечно, такие системы не могут гарантировать полную защищённость (а что, кстати, может?), но в сочетании с брандмауэрами и другими средствами защиты они могут оказаться весьма полезными. Принято считать, что IDS это своего рода охранная сигнализация: то есть она лишь оповещает об атаке, оставляя работу с атакующим на другие системы и средства (вплоть до физических).
Кстати, если уж говорить о взломе WLAN, то особенно уязвимыми нам кажутся пользователи домашних и небольших офисных сетей. Это связано, прежде всего, с тем, что у них есть другие задачи, кроме как защищать свою беспроводную сеть. Да и, в отличие от крупных компаний, у них нет возможности принять на работу профессионалов.
Сегодня о безопасности беспроводных сетей говорят часто и много, но взлом сети воспринимается как что-то очень далёкое. Мы уже о том, как взломать защиту WEP. Кроме того, через некоторое время вышло о том, как защитить сеть. Сегодня же наше внимание будет посвящено инструментам проверки защиты беспроводной сети. А также системам обнаружения атак - своеобразной "пожарной сигнализации" вашей WLAN.
, 20 октября 2005
Snort: инструмент выявления сетевых атак
Адрес этой статьи в Интернете: http://www.thg.ru/network/20051020/
Snort: инструмент выявления сетевых атак - THG.RU
Комментариев нет:
Отправить комментарий