LINUX.ORG.RU
ФорумAdmin

Начинание проекта по snort

 , , , ,


0

1

Доброго времени суток! Скажу заранее, в этом сообщении я не прошу сделать что-либо за меня.

Я студент, новичок в изучении линукса и совсем начинающий в изучении снорта. Я должен сделать по нему маленький проект-презентацию. Цель - опробовать, продемонстрировать на примере простой архитектуры возможности программы. Буквально слайдов 10-15.

Как я представляю себе простейшую архитектуру: компьютер B с системой Centos и установленным на нем snort принимает интернет-трафик и трафик с другого локального компьютера A и передает непосредственно его на компьютер С - объект защиты (с установленной, например win7 или win XP).

В проекте я рассмотрю разные режимы работы snort, при этом он будет анализировать трафик с интернета, трафик с PC-A и попытки атаки с PC-A

Проблема в том, что в сети в основном очень много разрозненных инструкций даже по самой установке snort - разные сайты предлагают разные способы по установке и настройке. Разбегаются глаза. В то время, как официальный сайт предлагает всего 2 команды - «установить snort» и «установить daq» (хотя я допускаю, что нужно было внимательно прочитать документацию на английском с сайта). Поэтому, я не понимаю, с чего начать.

Прошу подсказать мне:
- насколько правильно я выбрал архитектуру?
- какой способ установки и настройки вы мне посоветуете? Я полный новичок, поэтому прошу вас дать развернутый совет.
- если вы знаете конкретное место в документации, которое сможет мне помочь - пожалуйста, поделитесь путем к нему (раздел сайта, название документа, страница)
- если вы знаете примеры подобных проектов - не могли бы вы поделиться ими?

Буду очень признателен за помощь.

Самое самое простое это когда всё на одной системе. Допустим у тебя компьютер с интерфейсом eth0 - через него у тебя подключение к интернету и его же слушает снорт. Или на виртуалке это всё, что предпочтительней для экспериментов.

Установка, например, отсюда - https://s3.amazonaws.com/snort-org-site/production/document_files/files/000/0...

В конце, например, пишешь правило снорта, чтоб кричал на пинги, перезапускаешь его и пингуешь что-то - в логах или БД появится алерт, что кто-то (ты) делал пинг

Alexoy ()
Ответ на: комментарий от Alexoy

Спасибо за совет. Думаю, это подходит чтобы самому немного разобраться с программой, правда, для проекта, пускай и мини-проекта, этого недостаточно.

Ссылка, кстати, нерабочая.

ytsukene ()
Ответ на: комментарий от ytsukene

Странно с ссылкой. Тут брал - https://www.snort.org/documents, для любой системы есть «Snort Setup Guides».

А если к этому компьютеру добавить второй «атакующий»? На первый поустанавливать разные сервисы (www, ftp, sql...) и мониторить трафик имитируя атаки?

Alexoy ()
Ответ на: комментарий от Alexoy

Так потихоньку подбираемся к моей архитектуре :) Но расскажите, пожалуйста, поподробней.

ytsukene ()
Ответ на: комментарий от ytsukene

Допустим делаешь всё на 2 виртуалках:

- на 1: 2 интерфейса - один (eth0) в интернет, второй (eth1) для связи с другой виртуалкой. Устанавливаешь разные сервисы, которыми какбы пользуются выдуманные пользователи, и настраиваешь, чтоб они были потенциально доступны из второй виртуалки. Устанавливаешь и снорт, который слушает eth1.

- на 2: хотяб 1 интерфейс для связи с первой виртуалкой.

Вот.. потом из 2 виртуалки имитируешь различные атаки. Например, sql-injection снорт опознаёт, ssh-брутфорс и т.д. Можно написать снорт-правило, что если подключились по ssh не с твоих адресов, то делать алерт - сможешь показать, откуда было неразрешённое подключение подобрав пароль (его для демонстрации простым сделать). Ну и в конце показать результаты и предложения по улучшению безопасности

Alexoy ()
Ответ на: комментарий от Alexoy

Приведите, пожалуйста, примеры сервисов. А «потенциально доступны» - это значит, доступны для атаки?

ytsukene ()
Ответ на: комментарий от ytsukene

FTP, MySQL, Web, SSH, SMTP, Jabber, DNS...

«потенциально доступны» имел в виду, что изначально нету прав доступа, но теоретически их можно получить, например, подобрав пароль. Т.е. nmap показывает, что работает mysql, но подключиться ты сразу не знаешь как. Есть сайты, где вместе с эксплойтом сразу можно скачать уязвимую старую версию программы, если надо.

Alexoy ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.