it-swarm-tr.com

Snort IDS kurulumunu test etme

Kurulumdan sonra Snort IDS'yi test etmenin en kolay yolu nedir? Tüm trafiği yakalayan bir kural kullanmak ve yazmak işe yarar mı?

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

Yani, kendi kurallarını kullanarak.

Snort'u test etmek için bildiğim bir yol, Nmap, Metasploit ve başka bir şey gibi bazı programları kullanmaktır, ancak nasıl yapılabilir?

13
Mohsen Gh.

Test etmek isteyebileceğiniz iki farklı şey var.

  1. Snort, çalışıyor olduğu, trafiği koklayabildiği, kurallara göre test edebildiği ve bir tetiklendiğinde sizi uyarabileceği anlamında çalışıyor mu?
  2. Snort, geçerli kural kümesinin X türüne özgü bir izinsiz giriş algıladığını algılaması anlamında çalışıyor mu?

Senaryo 1'i test etmek için, örneğin örneğiniz gibi, kolayca uygulanabilecek bir kural oluşturursunuz. Durum 2'yi test etmek için, X tipi bir izinsiz giriş yapmayı denemeniz ve algılandığını onaylamanız gerekir.

Durum 2'deki yöntemi kullanarak durum 1'i (yükleme doğru bir şekilde yapıldığını) test etmek istiyor gibi görünüyorsunuz, ancak buna gerek yok. "Sahte" bir kural kullanmak, Snort'un ilk anlamda çalıştığı tamamen geçerli bir testtir. Ve daha kolay. Kolay testler iyidir. Uyarı e-postalarının doğru kişiye gittiğini kontrol ederken Metasploit ile etrafta dolaşmak istemezsiniz. Özellikle izinsiz girişleri yürütme konusunda becerikli değilseniz - izinsiz girişi yanlış yapar ve yanlış bir test sonucu alırsanız ne olur? Saldırı girişimi hedefi kilitlerse (bu birçok saldırı türünde çok olasıdır).

Kural 2'yi, yalnızca kural kümenize güvenmiyorsanız (bu durumda - neden kullanıyorsunuz?) Veya yeni kurallar geliştiriyorsanız, belirli bir kuralın gerçek bir saldırı girişimine karşı çalıştığını test etmeniz yeterlidir.

10
Graham Hill

Ayrıca IDSWakeUp'a bir göz atmaya değer olabilir [Nis 2019: link is dead].

IDSwakeup, ağ saldırı tespit sistemlerini test etmenizi sağlayan bir araç koleksiyonudur.

IDSwakeup'ın ana hedefi, NIDS'in bunları tespit edip etmediğini ve yanlış pozitif üretip üretmediğini görmek için iyi bilinenleri taklit eden sahte saldırı üretmektir.

Nidsbench gibi, IDSwakeup da ağ saldırı tespitine daha kesin bir test metodolojisi uygulanabileceğini ümit ediyor ki bu en iyi kara sanat olan hala.

9
Petey B

Varsayılan kurallarınızın çalıştığını test etmek için, bunları pulledpork, oinkmaster veya başka bir şeyle indirdiğinizi varsayarsak, trafiği olan bir istemciden http://testmyids.com/ adresine göz atabilirsiniz. IDS tarafından, IDS cihazınızın yerinde olması veya bir bağlantı noktası aralığı olarak görülmesi gerekir.

Http yanıtı aşağıdaki metni içerir:

uid=0(root) gid=0(root) groups=0(root)

"içerik" kök içeren varsayılan snort kurallarından biriyle eşleşecektir. Bu, bir saldırgan root erişimine sahip olup olmadığını kontrol etmek için id veya whoami tipi komutlarını çalıştırdığında başarılı ayrıcalık yükselmesini kontrol etmek için eski bir kuraldır.

Ayrıca, snort'un nasıl test edileceğini tartışan bir (eski) blog: Snort uygulamamın çalışıp çalışmadığını nasıl bilebilirim? .

6
Mark Hillick

Bunun eski olduğunu biliyorum ama bunu yine de oraya atacağım ...

Ödeme snort -T

Bu anahtar, tam olarak sorulan soru için tasarlanmıştır. Yerleşik, kurallarla maymun oluşturmanıza gerek yok, kötü niyetli trafik göndermenize gerek yok ("kontrollü" olmasına rağmen), herhangi trafik göndermenize gerek yok. Sorunlarınızın nerede olduğunu bile söyleyeceğim.

2
user1801810

2019'dan itibaren bulduğum en sağlam Suricata/Snort testi:

Dig a 3wzn5p2yiumh7akj.onion

Hangisi şu kuralı tetikler Emerging-trojan.rules :

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Cryptowall .onion Proxy Domain"; 
dns_query; content:"3wzn5p2yiumh7akj"; depth:16; nocase; 
reference:url,www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names; 
classtype:trojan-activity; sid:2022048; rev:2; metadata:created_at 2015_11_09, 
updated_at 2015_11_09;)

Arka plan: yukarıda belirtilen imzalar güncel değildir ve çoğu Snort veya Suricata'yı körleştirecek uygun akış spesifikasyonu içermez. Ayrıca testmyids.com çalışan bir proxy gerekir ve bu karmaşıklık ekler. .onion Ancak DNS çözümleme uyarısı, yalnızca istemci tarafından adı çözümleme girişimi tarafından tetiklendiği için çalışan bir Internet bağlantısı gerektirmez.

0
kravietz