O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
Snort IDS ile Ağ Tabanlı
Saldırı Tespit Sistemleri

Osman Cihat IŞIK
https://twitter.com/osmncht
https://www.linkedin.com/...
IDS Nedir ?
• IDS(Intrusion Detection Systems) kelime anlamı
itibarı ile Saldırı Tespit Sistemleri demektir.
• Ağınıza yad...
Neden IDS‟e ihtiyacımız var ?

Saldırıları Tespit Etme
Ağ trafiğini kotrol etme

 Kaynak Doğrulama
İz Sürme
False Positive
• IDS tarafından üretilen uyarılardır.
• IDS‟in sisteme saldırı olduğu tespit etmesine
rağmen aslında geçer...
False Negative
• Gerçek bir saldırıdır.
• IDS tarafından tespit edilemez.
• IDS saldırıyı yakalayamadığı için alarm
vermez...
Signature Detection( İmza Tespiti)
• İmza Tespiti kullanan bir IDS gördüğü ağ trafiği ile
saldırı işaret listesini karşıla...
Anomaly Detection
 Saldırı tespit`te, sık rastlanmayan, tanınlamayan
saldırıları tespit olayı ise 'Anomaly Detection'dır....
Ağ Tabanlı Saldırı Tespit Sistemleri
(Network based IDS)
• Bir Ağ tabanlı IDS (NIDS),ağ bağlantısı üzerinden gelen
ve sald...
Host tabanlı IDS (Host based IDS)
• Bir NIDS saldırıları tespit etmek için ağ üzerindeki tüm trafiğe
bakarken, HIDS sadece...
Firewall
 Bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol
eden donanım tabanlı ağ güvenliği sistemidir...
IPS
 Intrusion prevention system aktif olarak veri paketlerini atmak ya da
yetkisiz veri içeren bağlantılarda bağlantı so...
WAF
 Web Application Firewall‟lar adında da anlaşıldığı üzere web
uygulamalarını/sunucularını web tabanlı saldırılardan k...
Firewall varken IDS‟e ihtiyaç var mı?
Şöyle bir analoji yapılabilir. Firewall‟u güvenlik görevlilerine
benzetirsek, IDS si...
Firewall varken IDS‟e ihtiyaç var mı?
Firewall network‟u internete bağlayan portları gözetler ve paketlerin
geçişini önce ...
IPS varken IDS‟e ihtiyaç var mı?
 IDS sistemleri sadece sızma girişimlerini algılar ve saldırıları
loglayıp bunları yönet...
Snort nedir?
• Snort ağ tabanlı,signature detection kullanan bir
IDS‟tir.
• Ağdaki veri paketlerini koklar ve bilinen sald...
Neden Snort ?
 Konfigüre edilebilir.
Tüm iç işleyişi,konfigürasyon dosyaları ve
kurallar açık bir şekilde ortadadır.
 Ü...
Neden Snort ?
• Birçok platforma kullanılır.
• Unix,Linux ve Windows tabanlı sistemlerde çalışır.

• Sürekli olarak güncel...
Snort‟un Avantajları
 Bir tek snort ile çok sayıda sistemi izlemek mümündür.
 Yeni bir saldırı çeşidine karşılık hemen y...
Snort‟un Dezavantajları
 Şifrelenmiş bağlantıları izleyemiyor.
 Çok büyük trafikleri izlemekte yetersiz kalıyor.
 İyi k...
Snort Mimarisi
Snort‟un Bileşenleri
1-Packet Capture Library(Paket Yakalama Kütüphanesi)
• Snort‟un network paketlerini network kartından...
Snort‟un Bileşenleri
2-Packet Decoder
• Packet Decoder, paket yakalama kütüphanesinden
gönderilen katman 2 verisini alır v...
Snort‟un Bileşenleri
3- Preprocessor

• Snort‟un önişlemcisi açılıp kapatılabilen eklentilere
sahiptir.
• Ön işleme çözüml...
Snort‟un Bileşenleri
4- Detection Engine
• Sezme motoru Snort‟un kalbidir.
• Packet Decoder ve Preprocessor‟dan bilgi alır...
Snort‟un Bileşenleri
5- Output

• Bir önişlemci yada kural tetiklendiğinde, bir alarm üretilir
ve log tutulur.
• Snort çeş...
Snort‟un Diğer Protokollerle İlişkisi


 Snort sadece OSI modelinin katman 3 ve üzerinde, TCP/IP
protokol suitinin parç...
Snort Kurulumu
 Snort‟un kurulumu hakkında detaylı bilgi
http://www.snort.org/docs/ sitesinde mevcuttur.
 Windows için k...
Snort Çalışma Modları
1- Sniffer Modu
• Ağ trafiğini izleme modudur.
• Snortu, sadece geçen paketleri izlemek üzere sn...
Snort Çalışma Modları
2-Paket Loglayıcı Modu
 Paketleri diske belirli formatlarda loglamak için kullanılan moddur.
 Logl...
Snort Çalışma Modları
3- NIDS Modu
 Genel geçer kullanım alanı olan, sızma girişimlerini tespit etme
modudur.
 Bu modd...
Snort Çalışma Modları
4- Inline Mod

Bu mod da paketler iptables ya da IPFW üzerinden yönlendirme
yapılarak snort‟a iletil...
Snort HIDS Olarak Kullanılma Sebepleri
 Eğer network tek bir host ile sınırlı ise,

 Hizmet alınan host firmasının bütün...
DMZ (De-Militarized Zone)
 Bir DMZ ağı bir çeşit araftır yani aradaki bir bölgedir.

 Gelen ve giden trafiğin ne olduğun...
NAT (Network Address Translation)
 Network Address Translation (Ağ Adresi Dönüştürme), TCP/IP
ağındaki bir bilgisayarın y...
Snort‟un Ağ toplojisindeki Yeri
 Snort‟un nereyi izleyeceği/görüntüleyeceği ağ yapısına bağlıdır.

 Snort‟un topolojidek...
Snort‟un Topolojideki Yeri -2
Snort‟un Toplojideki Yeri - 3
Snort‟un Toplojideki Yeri -4 (Inline)
Eğer ayrı bir DMZ ağı kullanılıyorsa,
 DMZ switch‟inizdeki bir portu izleme/dinleme portu olarak atayın.

 snort.conf do...
Snort Kural yapısı
 Temel olarak iki kısımdan oluşur.
 Rule Header
 Rule Actions
 Pass
 Log
 Alert
 Activate
 Dyna...
Snort Kural yapısı
Rule Header

Rule Option

Genel kural yapısı

Action

Protokol Adress

Port

Direction

Kural yapısının...
Snort Kural Örnekleri
 alert icmp any any -> any any (msg: "Ping with TTL=100";  ttl: 100;)
 alert tcp any any -> 192.16...
Snort‟u IPS Olarak Kullanma
 Snort‟u Inline mod‟da yapılandırarak IPS olarak kullanmak
mümkündür.
 Yani sisteme sızma gi...
Snort DEMO
Referanslar
 Intrusion Detection Systems with Snort - Rafeeq Ur Rehman
 http://www.snort.org/docs
 http://www.sans.org/...
Ağ Tabanlı Saldırı Tespit Sistemleri
Próximos SlideShares
Carregando em…5
×

Ağ Tabanlı Saldırı Tespit Sistemleri

  • Seja o primeiro a comentar

Ağ Tabanlı Saldırı Tespit Sistemleri

  1. 1. Snort IDS ile Ağ Tabanlı Saldırı Tespit Sistemleri Osman Cihat IŞIK https://twitter.com/osmncht https://www.linkedin.com/in/osmncht
  2. 2. IDS Nedir ? • IDS(Intrusion Detection Systems) kelime anlamı itibarı ile Saldırı Tespit Sistemleri demektir. • Ağınıza yada bilgisayarınıza yapılan saldırıları tespit eden bir uygulamadır. • Saldırıların ne zaman ve kim tarafından gerçekleştirildiğinin bilgisini tutar.
  3. 3. Neden IDS‟e ihtiyacımız var ? Saldırıları Tespit Etme Ağ trafiğini kotrol etme  Kaynak Doğrulama İz Sürme
  4. 4. False Positive • IDS tarafından üretilen uyarılardır. • IDS‟in sisteme saldırı olduğu tespit etmesine rağmen aslında geçerli bir saldırı değildir. • Bizi olmayan şeylerin peşinde oyalar. • Bizim için problem teşkil eder.
  5. 5. False Negative • Gerçek bir saldırıdır. • IDS tarafından tespit edilemez. • IDS saldırıyı yakalayamadığı için alarm vermez! • IDS uyarı vermeği için de Sistem yöneticisinin saldırıdan haberi olmaz.
  6. 6. Signature Detection( İmza Tespiti) • İmza Tespiti kullanan bir IDS gördüğü ağ trafiği ile saldırı işaret listesini karşılaştırır. • Bu işaretler genelde saldırının önemli bit ve parçalarıdır.Bu parçalar IDS tarafından olumsuz trafik olarak işaretlenir. • Düzgün bir şekilde konfigüre edilmiş Signature Detection IDS‟i,false pozitive bakımından az sayıda ancak false negative açısından çok sayıda uyarı/alarm verebilir.
  7. 7. Anomaly Detection  Saldırı tespit`te, sık rastlanmayan, tanınlamayan saldırıları tespit olayı ise 'Anomaly Detection'dır.  Anomaly tespit sistemi ile ağ normalde bulunan trafik gözardı edilir ve normal trafikte bulunmayacak bitler ağ yöneticisinin dikkatine sunulur.  Bunun belirli bazı avantajları vardır.
  8. 8. Ağ Tabanlı Saldırı Tespit Sistemleri (Network based IDS) • Bir Ağ tabanlı IDS (NIDS),ağ bağlantısı üzerinden gelen ve saldırının bir parçası olan veriler üzerineki paketleri analiz eder. • NIDS saldırıları tespit etmek amacıyla signature yada anormally detection kullanır. • Gerçek zamanlı bir saldırıyı bildirmek için alarm verir. • Saldırı gerçekleştikten sonra saldırı ile ilgili detaylı bilgilerin log kaydını tutar.
  9. 9. Host tabanlı IDS (Host based IDS) • Bir NIDS saldırıları tespit etmek için ağ üzerindeki tüm trafiğe bakarken, HIDS sadece üzeinde çalıştığı sistemdeki ihlaleri görüntüler. • HIDS sistemdeki olağan dışı olayların loglarını inceler. Örneğin: Çoklu geçersiz login teşebbüsleri • HIDS sistemdeki dosyaların düzgün olup olamadığından ziyade dosyalar üzerinde değişiklik yapılıp yapılmadığını kontrol eder. • Sistemde backdoor ya da trojan programlarının yüklendiğini tespit etme konusunda oldukça kulanışlıdır.
  10. 10. Firewall  Bir kural kümesi temelinde ağa gelen giden paket trafiğini kontrol eden donanım tabanlı ağ güvenliği sistemidir.  İP filtreleme, port filtreleme, Web filtreleme, içerik filtreleme bunlardan birkaçıdır.  Private network kaynaklarını diğer network kullanıcılarından korur.  Birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere İnternet trafiğini kontrol altında tutar.  Firewall hem yazılım hem donanım hem de her ikisinin kombinasyonu şeklinde olabilir.
  11. 11. IPS  Intrusion prevention system aktif olarak veri paketlerini atmak ya da yetkisiz veri içeren bağlantılarda bağlantı sonlandırmak için kullanılır.  Aynı şekilde saldırıları loglama ve kaynak IP adresini kısa bir zaman diliminde block listesine ekler. Ve hatta tanımlanan ayarlara bağlı olarak, IP adreslerini kalıcı olarak bloklayabilir.
  12. 12. WAF  Web Application Firewall‟lar adında da anlaşıldığı üzere web uygulamalarını/sunucularını web tabanlı saldırılardan korumak amaçlı tasarlanmıştır ki IPS‟ler bunları engelleyemez.  IDS/IPS te olduğu gibi network ya da host tabanlı olabilir. Inline olarak bulunurlar ve web uygulaması/sunucusundan giden ve gelen trafiği görüntülerler. Temel olarak, farklılık katman 7 web uygulama mantığını analiz etme yeteneği seviyesindedir.  IPS‟ler trafiği signature ve anomaly‟lerle sorgularken, WAF‟lar ise request ve response taki mantık ve davranışları sorgular. WAF‟lar web uygulamalarını SQL Injection, Cross-site scripting, session hijacking(session çalma) ya da URL tampering(URL kurcalama) ve buffer overflow gibi tehditlere karşı korur.
  13. 13. Firewall varken IDS‟e ihtiyaç var mı? Şöyle bir analoji yapılabilir. Firewall‟u güvenlik görevlilerine benzetirsek, IDS sistemleri de güvenlik kameraları olarak görülebiliriz. Bir IDS ağı görüntüler ve aktivite kalıplarını tespit eder ve eğer network saldırı altındaysa uyarı verir. Signature detection, IDS veritabanında bulunan saldırılarla network ya da sistem bilgilerini karşılaştırır. Anomaly detection mevcut network trafiğini, normal seviyedeki paket uzunlukları ya da aktiviteleriyle karşılaştırır ve elde ettiği istatistiği analiz eder.
  14. 14. Firewall varken IDS‟e ihtiyaç var mı? Firewall network‟u internete bağlayan portları gözetler ve paketlerin geçişini önce kontrol eder sonra izin verir ya da engeller. Bir paketi kabul edebilir, silip atabilir ya da gönderene geri gönderebilir. Firewall trafik yasal mı ya da normal mi bunu bilemez. Firewalllar trafiği bloklar ya da izin verirken, IDS ise trafiğe daha detaylı bakar ve tespit eder. Bir firewall, internete bağlı bir ağ için en temel ihtiyaçtır. Ancak bir firewall bir IDS‟in yerine geçemez. Bizim hem bir firewall hem de bir IDS „e ihtiyacımız var. Tabii bazı firewall‟lar intrusion detection yeteneklerine sahip olsalar da, çoğu kez tam teşekküllü bir IDS‟den daha az saldırıyı tespit edebilir.
  15. 15. IPS varken IDS‟e ihtiyaç var mı?  IDS sistemleri sadece sızma girişimlerini algılar ve saldırıları loglayıp bunları yöneticiye uyarı olarak gönderir. IDS sistemleri network‟ü IPS „te olduğu gibi yavaşlatmaz, çünkü inline değildir.  Peki IPS ile saldırıları bloklayabiliyorken neden IDS ile geçmesine izin verilsin? Bunun birkaç nedeni var, ancak bunlardan ikisi önemlidir. Bir IDS sistemi, false positive üretildiği durumda bunu sadece loglarken IPS in network trafiğini engellemesi istenmeyen bir durum olarak karşımıza çıkar.  Bunun dışından bazı adminler ya da yöneticiler sistem üzerinde kendi adına karar verilmesini istemeyebilir, bunun yerine uyarıyı alıp problem üzerinde kendileri harekete geçmek isteyebilirler.
  16. 16. Snort nedir? • Snort ağ tabanlı,signature detection kullanan bir IDS‟tir. • Ağdaki veri paketlerini koklar ve bilinen saldırılarda içeriği eşleştirmeye çalışır. • Piyasada snort haricinde IDS çözümleri mevcuttur. Ticari olanlar : IIS Real Secure,Cisco IDS Açık Kaynak olanlar : Prelure IDS for Linux and BSD OS
  17. 17. Neden Snort ?  Konfigüre edilebilir. Tüm iç işleyişi,konfigürasyon dosyaları ve kurallar açık bir şekilde ortadadır.  Ücretsizdir.  GNU GPL lisansına sahiptir.  Çok yaygın olarak kullanılır.  www.snort.org sitesinden her ay onbinlerce kez indirilmektedir.
  18. 18. Neden Snort ? • Birçok platforma kullanılır. • Unix,Linux ve Windows tabanlı sistemlerde çalışır. • Sürekli olarak güncellenir. • Snort kuralları her yeni saldırı işareti ile birlikte güncellenir ve kendi sitesinden indirilebilir.
  19. 19. Snort‟un Avantajları  Bir tek snort ile çok sayıda sistemi izlemek mümündür.  Yeni bir saldırı çeşidine karşılık hemen yeni kural eklenip güncellenebiliyor.  Herkese açık, güncel ve geniş bir kural tabanına sahip.  Açık kaynak ve ücretsiz olması.
  20. 20. Snort‟un Dezavantajları  Şifrelenmiş bağlantıları izleyemiyor.  Çok büyük trafikleri izlemekte yetersiz kalıyor.  İyi konfigüre edilmediği zaman yanlış alarmlar üretiyor.
  21. 21. Snort Mimarisi
  22. 22. Snort‟un Bileşenleri 1-Packet Capture Library(Paket Yakalama Kütüphanesi) • Snort‟un network paketlerini network kartından çekmek için kullandığı ayrı bir yazılım parçasıdır. • Ethernet çerçeveleri gibi işlenmiş veribağı katman paketlerini barındırır. • Linux ve Unix sistemlerde Snort libcap, Windows sistemlerde ise WinPcap kullanılır.
  23. 23. Snort‟un Bileşenleri 2-Packet Decoder • Packet Decoder, paket yakalama kütüphanesinden gönderilen katman 2 verisini alır ve parçalar. • İlk olarak veribağı çerçevelerini,(Ethernet.Token Ring, 802.11) sonra IP protokolü ve sonrasında TCP yada UDP paketlerini ayrıştırır. • Çözme işlemi bittikten sonra, Snort tüm protokol bilgilerini daha sonra işlemek üzere doğru yere koyar.
  24. 24. Snort‟un Bileşenleri 3- Preprocessor • Snort‟un önişlemcisi açılıp kapatılabilen eklentilere sahiptir. • Ön işleme çözümlenmiş paketler üzerinde çalışır.Çeşitli dönüşümler yaparak Snort‟un veriyi daha kolay kavrayabilmesini sağlar. • Önişlemciler paketleri Detection Engine kısmına yollamadan önce uyarı,sınıflandırma yapabilir hatta paketi silip atabilir.
  25. 25. Snort‟un Bileşenleri 4- Detection Engine • Sezme motoru Snort‟un kalbidir. • Packet Decoder ve Preprocessor‟dan bilgi alır ve bunlar üzerinde taşıma ve uygulama katmanlarında işlem yapar.(OSI modelinin 4 ve 5. katmanı) • Paketin içeriğini inceleyip karşılaştırır,kural tabanlı tespit eklentisine bilgi verir. • Kurallar saldırıların işaret yapısını içerir.
  26. 26. Snort‟un Bileşenleri 5- Output • Bir önişlemci yada kural tetiklendiğinde, bir alarm üretilir ve log tutulur. • Snort çeşitli output eklentilerini,metin ve binary tabanlı loglama formatlarını,birçok veritabanı ve syslog‟u destekler.
  27. 27. Snort‟un Diğer Protokollerle İlişkisi    Snort sadece OSI modelinin katman 3 ve üzerinde, TCP/IP protokol suitinin parçası olan paketleri çözümleyebilir.  Bu demektir ki, Novel‟in IPX/SPX ya da AppleTalk gibi diğer network protokolleri üzerinde taşınan paketleri çözümleyemez ya da saldırıları sezemez.
  28. 28. Snort Kurulumu  Snort‟un kurulumu hakkında detaylı bilgi http://www.snort.org/docs/ sitesinde mevcuttur.  Windows için kurulum:  http://winsnort.com/index.php?module=Pages&func=view&prop=Main&cat=10 060 adresi üzerinde detaylıca anlatılmıştır.  Linux için kurulum :  Centos için: http://s3.amazonaws.com/snortorg/www/assets/202/snort2953_centos6x.pdf  Ubuntu için: http://www.snort.org/assets/158/snortinstallguide293.pdf  Fedora için: http://s3.amazonaws.com/snort-org/www/assets/219/snort2953_fedora.pdf adresleri üzerinde detaylı kurulum bilgileri mevcuttur.  FreeBSD için kurulum:  http://s3.amazonaws.com/snort-org/www/assets/207/snort2953_freebsd9x.pdf adresinde mevcuttur.
  29. 29. Snort Çalışma Modları 1- Sniffer Modu • Ağ trafiğini izleme modudur. • Snortu, sadece geçen paketleri izlemek üzere sniffer modda çalıştırmak mümkündür.. Bu şekilde network trafiğini incelemek için oldukça elverişlidir.
  30. 30. Snort Çalışma Modları 2-Paket Loglayıcı Modu  Paketleri diske belirli formatlarda loglamak için kullanılan moddur.  Loglama seçenekleri belirli parametreler kullanılarak özelleştirilebilir.  -d paketin veri kısmını da kaydetmek için  -e Layer2 başlıklarını kaydetmek için  -l Loglamanın hangi dizine yapılacağını belirtir
  31. 31. Snort Çalışma Modları 3- NIDS Modu  Genel geçer kullanım alanı olan, sızma girişimlerini tespit etme modudur.  Bu modda, snort veri akışını analiz ederek daha önceden tanımlanmış kurallarla eşleştirme işlemi yapıp ilgili kurallarda belirtilmiş aksiyonların uygulanmasını sağlar.
  32. 32. Snort Çalışma Modları 4- Inline Mod Bu mod da paketler iptables ya da IPFW üzerinden yönlendirme yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da drop ediliyor. Yani kendi başına IDS olarak çalışan Snort, inline modunda çalıştırılarak IPS özelliği kazanmış oluyor. Yani sisteme sızma girişimlerini tespit etmekle kalmıyor aynı zamanda bu girişimlere ait paketlerin drop edilmesine olanak sağlıyor.
  33. 33. Snort HIDS Olarak Kullanılma Sebepleri  Eğer network tek bir host ile sınırlı ise,  Hizmet alınan host firmasının bütün trafiği izlemek yerine sadece kendi sitenizin trafiğini izlemek istiyorsanız,  Herhangi biyerde kişisel bilgisayarınızla wireless ağına bağlandığınızda bir başkasının sizin işletim sisteminizin son sistem yamasını kontrol ederek bilgisayarınıza girmesini engellemek istiyorsanız,
  34. 34. DMZ (De-Militarized Zone)  Bir DMZ ağı bir çeşit araftır yani aradaki bir bölgedir.  Gelen ve giden trafiğin ne olduğunu kontrol eder.  Geleneksel olarak herkese açık internet sunucularının bulunduğu yarı güvenilir bir ağdır.
  35. 35. NAT (Network Address Translation)  Network Address Translation (Ağ Adresi Dönüştürme), TCP/IP ağındaki bir bilgisayarın yönlendirme cihazı ile başka bir ağa çıkarken adres uzayındaki bir IP ile yeniden haritalandırma yaparak IP paket başlığındaki ağ adres bilgisini değiştirme sürecidir.  NAT ,Ağ maskelemeyle (ya da IP maskelemeyle) ile birlikte, bir adres uzayını gizlemek için kullanılan teknik bir terimdir.Çoğu kez private network adreslerinden ibarettir.(RFC 1918).Genellikle tek bir ip adresinin arkasında küçük bir adres uzayı bulunur.Bu mekanizma, yönlendirici cihazın kullandığı adreslerin haritalarını içeren, durum çeviri tabloları kullanır ve giden ip paketlerini haritalama yapar. Böylece yönlendirici kaynağı görüntülenir. İletişim tersten yapıldığında, geri haritalandırma yaparak IP adresleriyle karşılaştırma yapar ve sonuç durum çeviri tablolarında saklanır. Çevirici tablo içindeki bu yöntemde, kayıtlar trafikteki durumu yenilendikten sonra silinirler.
  36. 36. Snort‟un Ağ toplojisindeki Yeri  Snort‟un nereyi izleyeceği/görüntüleyeceği ağ yapısına bağlıdır.  Snort‟un topolojideki yeri her sisteme her amaca göre değişebilir.  Kullanılan ara bağlantı cihazlarına göre değişkenlik gösterir.  Snort‟un nereye kurulması gerektiği sonraki slaylatlarda görsel olarak mevcuttur.
  37. 37. Snort‟un Topolojideki Yeri -2
  38. 38. Snort‟un Toplojideki Yeri - 3
  39. 39. Snort‟un Toplojideki Yeri -4 (Inline)
  40. 40. Eğer ayrı bir DMZ ağı kullanılıyorsa,  DMZ switch‟inizdeki bir portu izleme/dinleme portu olarak atayın.  snort.conf dosyasında bu alt ağı dinlemek istediğinizi belirtin.  Trafiği bir süre izledikten sonra yapılan atakların içerikleri incelenmelidir.Bu noktada snortun uyarıları dikkatle incelenerek “false pozitive”leri azaltmak için konfigirasyonu yeniden gözden geçirmek gerekir.
  41. 41. Snort Kural yapısı  Temel olarak iki kısımdan oluşur.  Rule Header  Rule Actions  Pass  Log  Alert  Activate  Dynamic  Protokols  IP  ICMP  TCP  UDP  IP Adresi  Port Number  Rule Option  Keywords
  42. 42. Snort Kural yapısı Rule Header Rule Option Genel kural yapısı Action Protokol Adress Port Direction Kural yapısının içeriği Adress Port
  43. 43. Snort Kural Örnekleri  alert icmp any any -> any any (msg: "Ping with TTL=100"; ttl: 100;)  alert tcp any any -> 192.168.1.10/32 80 (msg: "TTL=100"; ttl: 100;)  alert icmp ![192.168.2.0/24] any -> any any (msg: "Ping with TTL=100"; ttl: 100;)  alert tcp 192.168.2.0/24 23 -> any any (content: "confidential"; msg: "Detected confidential";)  log udp any !53 -> any any log udp  alert tcp any any -> 192.168.1.0/24 any (flags: A; ack: 0; msg: "TCP ping detected";)
  44. 44. Snort‟u IPS Olarak Kullanma  Snort‟u Inline mod‟da yapılandırarak IPS olarak kullanmak mümkündür.  Yani sisteme sızma girişimleri tespit etmekle beraber bu girişimlere ait paketlerin silinmesini de sağlar.  Bu mod ise paketler iptables ya da IPFW üzerinden yönlendirme yapılarak snort‟a iletiliyor ve yönlendirilmiş olan bu paketler, gene daha önceden tanımlanmış kurallar uyarınca geçiriliyor ya da drop ediliyor.  Yani kendi başına IDS olarak çalışan Snort, inline modunda çalıştırılarak IPS özelliği kazanmış oluyor.
  45. 45. Snort DEMO
  46. 46. Referanslar  Intrusion Detection Systems with Snort - Rafeeq Ur Rehman  http://www.snort.org/docs  http://www.sans.org/security-resources/idfaq/ips-web-app-firewall.php  https://www.sans.org/reading-room/whitepapers/detection/understanding-ips-ids-ips-ids-defensein-depth-1381  http://www.syslogs.org/snort_inline-kurulumu/  http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/snort-2.9.2-kurulumu-1.html  http://seminer.linux.org.tr/wp-content/uploads/snort.pdf  http://web.bilecik.edu.tr/murat-ozalp/files/2013/01/YasinKilic.pdf 

    Seja o primeiro a comentar

    Entre para ver os comentários

  • mehmetvarol927

    Jan. 22, 2015
  • leucjo

    Aug. 16, 2015

Vistos

Vistos totais

675

No Slideshare

0

De incorporações

0

Número de incorporações

4

Ações

Baixados

29

Compartilhados

0

Comentários

0

Curtir

2

×