Лабораторная. Системы обнаружения и предотвращения вторжений
![]()
|
Системы обнаружения и предотвращения вторжений Задание на практическую работу: Установить сетевую СОВ Snort в Kali Linux. Установил ![]() Вывести на экран список доступных сетевых интерфейсов. ![]() Запустить Snort на выбранном интерфейсе в режиме анализатора пакетов с выводом информации на экран. snort -v -i eth0 ![]() Выполнить любые действия, которые приведут к отправке или приему сетевых пакетов (например, отправить эхо-запрос на любой IP-адрес командой ping). Убедиться, что пакеты перехватываются и отображаются на экране. Отправил пинг ![]() Настроить в файле конфигурации «snort.conf» переменные, задающие адреса внутренней и внешней подсетей, пути к каталогам с правилами и логами. ![]() Пути к правилам ![]() Настроить в файле конфигурации «snort.conf», указав в нем необходимые препроцессоры и их опции для корректной обработки фрагментированных IP-пакетов, и сборки TCP-сегментов. (привести описание значений заданных опций препроцессоров). Для этого скролим до строк с шагом 5 ![]() Тут уже есть заданные по умолчанию препроцессоры, трогать я их не буду, но понимание для чего они нужны есть, прочитал в интернете. Касательно фрагментации, есть препроцессор frag3_global Настройка max_frags – это максимальное кол-во фрагментов, что обрабатываются одновременно, по умолчанию 8192, можно увеличить memcap – буфер памяти для этого препроцессора prealloc_frags используется для оптимизации Настроить в файле конфигурации «snort.conf» препроцессор sfPortscan, позволяющий выявлять сканирование портов защищаемой системы (привести описание значений заданных опций препроцессора). Для проверки запустить сканирование с помощью nmap с другого компьютера. ![]() Препроцессор sfPortscan используется для обнаружения сканирования основная конфигурация модуля proto – протокол TCP,UDP,ICMP,ip_proto,all scan_type – portscan,portsweep,decoy_portscan,distributed_portscan,all sense_level – чувствительность модуля low, medium, high Из виндовс машины выполнил быстрое сканирование nmap -T4 -F 192.168.81.128 В консоли видим много уведомлений не только об неудавшихся попытках сканирования а вообще о всех портах, это из-за высокой чувствительности. Если понизить чувствительность, то будут только неудачные попытки подключения к портам. ![]() Добавить в файл конфигурации строку «include $RULE_PATH/local.rules». Создайте в каталоге с правилами пустой текстовый файл local.rules Done ![]() Добавить в файл «local.rules» правило, позволяющее обнаруживать входящие ECHO-запросы. Проверить, происходит ли обнаружение, запустив СОВ Snort из командной строки. Для проверки выполнить несколько ECHO-запросов с другого компьютера (другой виртуальной машины). alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg: "Входящий ECHO REQUEST"; itype: 8;sid:9123) ![]() Добавить в файл «local.rules» правило, позволяющее обнаруживать исходящие ECHO-ответы. Для проверки выполнить несколько ECHO-запросов с другого компьютера. alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg: "Исходящий ECHO REPLY"; itype: 0; sid:4323) ![]() ![]() Добавить в файл «local.rules» правило, позволяющее обнаруживать большие ICMP-пакеты (размер которых превышает 64Кб) Потом отправим максимально возможный пакет в виндовс для пинга – 65500 байт alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg: "Большой ICMP пакет"; dsize: >64536; sid: 4232435) ![]() ![]() Так же сработал препроцессор, который посчитал этот пакет нежелательным. Тут можно написать об атаке Ping of Death Добавить в файл «local.rules» правило, позволяющее обнаруживать запросы на подключение к 139 или 445 порту (служба SMBv1, пакет Samba) из внешней сети. alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg: "Запрос на подключение SMB 139"; flags: A+; sid: 423234) alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg: "Запрос на подключение SMB 445"; flags: A+; sid: 422345) ![]() В прошлой работе настроил общий ресурс через Samba ![]() Проверим правило через net use ![]() Добавить в файл «local.rules» правило, позволяющее обнаруживать сканирование TCP-портов методом NULL Scan. Для проверки запустить сканирование с помощью nmap с другого компьютера. alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"NULL port сканирование"; flags:!FSRPAU; sid: 23412) ![]() ![]() Добавить в файл «local.rules» правило, позволяющее обнаруживать сканирование TCP-портов методом Xmas Scan. Для проверки запустить сканирование с помощью nmap с другого компьютера. alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"XMAS port сканирование"; flags:FPU+; sid: 421311) ![]() ![]() Добавить в файл «local.rules» правило, позволяющее обнаруживать загрузку meterpreter payload на защищаемый компьютер. Для проверки использовать Metasploit Framework. У создаваемых правил не забывайте указывать уникальный sid. Требования к оформлению отчета: Титульный лист, фио, группа Описание выполнения каждого пункта задания со скриншотами Список литературы |