Инструмент за откриване на мрежови атаки Snort

Адресът на тази статия в Интернет: http://www.thg.ru/network/20051020/

Snort: инструмент за откриване на мрежови атаки

Днес за сигурността на безжичните мрежи се говори често и много, но хакването на мрежата се възприема като нещо много далечно. Вече публикувахме материал за това как да разбием WEP защитата. Освен това след известно време имаше продължение за това как да се защити мрежата. Днес нашето внимание ще бъде посветено на инструментите за проверка на сигурността на безжична мрежа. Както и системи за откриване на проникване - един вид "пожарна аларма" за вашата WLAN.

Между другото, ако говорим за хакване на WLAN, тогава потребителите на домашни и малки офис мрежи изглеждат особено уязвими за нас. Това се дължи преди всичко на факта, че те имат други задачи, освен да защитават своята безжична мрежа. И за разлика от големите компании, те нямат възможност да наемат професионалисти.

Не всичко обаче е толкова тъжно, колкото изглежда. В природата има начини за оценка на сигурността на безжичната мрежа, въпреки привидната абсурдност на комбинирането на думите "сигурност" и "безжична мрежа". Системи за откриване на проникване - >

Фигура 1. Snort IDS.

Една от IDS системите е Snort. Базиран е на код с отворен код и лесно се конфигурира за всяка WLAN конфигурация. Имайте предвид, че Snort сега се счита за де факто стандарт за системи за откриване на проникване. Snort е гъвкав, бърз и най-важното, свободно разпространяващ се. Всичко това ви позволява да го използвате за наблюдение на безжичния трафик.

Snort, подобно на други IDS, е особено ефективен при атака на безжична мрежа.По-рано сме говорили за това как можете да пробиете WEP защитата. В допълнение, дори по-силните методи за криптиране могат да бъдат разбити, както и да се преодолеят схемите за удостоверяване, използвани в безжична мрежа. Всичко това ви позволява да използвате Snort, за да откривате такива атаки и да ги блокирате, преди да работят.

Между другото, за потребителите на безжични мрежи има специална версия на Snort. Той е подходящо наречен Snort Wireless и съдържа правила за идентифициране на най-честите атаки срещу точки за достъп. Разбира се, системата може да бъде по-фино настроена към нуждите на конкретна WLAN. В нашия материал ще разгледаме работата на Snort и ще покажем как системата може да бъде внедрена във вашата безжична мрежа.

Смъртете се подробно

Смъркането е цял комплекс. Много ръководства, книги и дори лекции са написани за Snort, които описват как да настроите и работите със системата. Няма да навлизаме в тънкостите на Snort и ще разгледаме само основите, за да ви помогнем да настроите и работите с програмата.

Snort работи с предварително дефинирани шаблони за злонамерен трафик, наречени правила (Фигура 2), които ви позволяват да определите какъв трафик в мрежата е злонамерен и какъв не. Това е подобно на антивирусните програми, тъй като правилата трябва да се актуализират периодично. Snort може да открива само известни атаки, така че не забравяйте редовно да актуализирате вашите бази с правила тук.

Фиг. 2. Snort.набор от правила

Правилата имат доста прост синтаксис, който е показан по-долу.

Задействането на едно от правилата може да задейства предупреждение, както е посочено в >

предупреждение icmp всяко всяко -> 192.168.1.1 произволен (msg: "Това е ping!";)

Отвъд правилата, Snortви позволява да конфигурирате така наречените препроцесори (препроцесори), които сканират трафика, преди да започнат да действат обичайните правила. Препроцесорите са особено полезни, когато се работи с нормален или известен трафик, като сканиране на портове и ping, което може да забави обработката чрез редовни правила, които изискват повече ресурси.

Преди да започнете да настройвате, трябва да намерите система, на която можете не само да стартирате Snort, но която в същото време може да работи като точка за достъп. Решихме да използваме добрия стар безжичен рутер Linksys WRT54G (вижте нашия преглед). Този рутер работи с фърмуер с отворен код, който винаги може да бъде заменен с друг с разширени функции, включително поддръжка за Snort. Разбира се, за Snort можете да използвате резервен компютър с безжична карта и обикновен Ethernet мрежов адаптер, ако го настроите в режим на гореща точка.

Фиг. 3. Linksys WRT54G.

По-долу ще дадем примери, базирани на WRT54G с фърмуер OpenWRT RC 2 (с кодово име "White Russian"). Всъщност има много дистрибуции на Linux за безжични рутери, но ние се спряхме на фърмуера OpenWRT, защото е прост, „лек“ и се доставя опакован като Debian Linux.

Фиг. 4. OpenWRT в действие.

Няма да разглеждаме подробно инсталирането на OpenWRT, тъй като сайтът на OpenWRT има страхотно ръководство за инсталиране. След като инсталацията приключи, можете да се свържете с рутера с помощта на Telnet (тук има инструкции) и да се насладите на резултата.

След като инсталирате OpenWRT на рутера, можете да изтеглите и инсталирате програматаSnort Wireless. Всичко това може да стане чрез споменатата пакетна система OpenWRT - изпълнете командата ipkg със следните параметри.

ipkg инсталирайте http://nthill.free.fr/openwrt/ipkg/testing/20041204/snort-wireless_2.1.1-1_mipsel.ipk

Някои може да не харесат, че този пакет е на повече от една година. Но в това няма нищо лошо, тъй като всички необходими IDS функции присъстват тук и всички по-късни правила на Snort могат също да бъдат изтеглени чрез ipkg (повече подробности: страницата за проследяване на OpenWRT). Ако решите да настроите точка за достъп на компютър, можете да изтеглите изходния код на Snort Wireless и да го компилирате директно на вашия компютър. Имайте предвид, че флагът --enable-wireless трябва да бъде добавен, в противен случай Wi-Fi препроцесорите няма да работят.

Настройка и стартиране

Фиг. 5. Конфигурационен файл snort.conf.

Фиг. 6. Препроцесорът AntiStumbler ви позволява да уведомите за разузнавателна атака.

Фиг. 7. Правилото Snort е открило машина за сканиране на портове.

След като файлът snort.conf е готов, можете да стартирате Snort. При стартиране можете да посочите много параметри, които определят всичко от изхода до режима на работа. Първо, нека стартираме Snort със следните опции (в Telnet подканата).

изсумтяване -D -A пълен

Тази команда стартира Snort като фонов процес, така че можете да продължите да работите с обвивката спокойно. Когато се задейства аларма, пълната информация ще бъде регистрирана.

Сега, когато Snort е готов и работи, е време да обмислите допълнителни начини за защита на вашата безжична мрежа. Да приемем, че можете да се обърнете към Kismet, помощна програма като Snort, която може да бъде разгърната като допълнителна система за откриванеатаки. Snort работи само на третия слой на модела OSI - мрежовият слой, отговорен за IP и друг трафик. А Kismet работи на второ ниво - канал, отговарящ за Ethernet рамки. По този начин, разполагането на двете системи по двойки значително ще повиши цялостната сигурност.

Фиг. 8. Kismet в ход.

Snort може да бъде конфигуриран да записва регистрационни файлове в базата данни, което улеснява по-нататъшния анализ. Даниел Валтер написа ръководство за това как да настроите записи в MySQL и PostgreSQL бази данни. Ако използвате Gentoo Linux на машина, действаща като гореща точка, можете да отидете крачка напред, като инсталирате Apache и конфигурирате регистрационните файлове да се показват чрез уеб. Вижте Gentoo Wiki за подробно описание на тази настройка.

Фиг. 9. Вижте регистрационните файлове на Snort чрез MySQL, ACID и Apache.

Докоснахме само основните принципи на Snort. По принцип, според материалите на статията, можете да конфигурирате системата на точка за достъп. Snort обаче има много повече функции от описаното в статията. По-специално, можете да създадете свои собствени правила, за да помогнете за по-дълбокото интегриране на Snort в мрежата.

И накрая, не забравяйте, че както Snort, така и правилата трябва да се поддържат актуални, за да защитите ефективно вашата безжична мрежа. Не забравяйте редовно да посещавате Snort Wireless, както и инструмента за проследяване на пакети ipkg (за OpenWRT инсталации) или страницата с правила на Snort (за други).