0
Tải bản đầy đủ (.doc) (88 trang)

Mô tả các tập luật

Một phần của tài liệu XÂY DỰNG, QUẢN LÝ, THỰC THI VÀ CẬP NHẬT CÁC TẬP LUẬT (Trang 70 -74 )

4. Xây dựng và quản lý các tập luật

4.2. Mô tả các tập luật

Dưới đây là mô tả tổng quan các tập luật:

attack-responses.rules

Phát hiện host trên mạng cục bộ đang gởi các phản hồi tới một cuộc tấn công thành công.

backdoor.rules

Phát hiện các phiên kết nối sinh ra bởi các backdoor.

bad-traffic.rules

Theo dõi header của các gói tin không hợp lệ như phiên giao tiếp TCP và UDP với port = 0, hoặc gói tin SYN được gửi tới địa chỉ multicast.

chat.rules

Mặc định là disable. Nó theo dõi những người dùng instant messenger và những phương thức chat khác. Nếu hoạt động này liên quan tới chính sách bảo mật của tổ chức thì nên để enable.

ddos.rules

Cảnh báo tạo ra từ những phương thức tấn công từ chối dịch vụ từ xa nổi tiếng như Trin00 và shaft.

deleted.rules

Mặc định nó không tham chiếu tới file snort.conf, nó chỉ là một tập hợp những luật cũ của Snort.

dns.rules

Sinh ra cảnh báo khi phát hiện tấn công vào DNS server (Bao gồm cả phát hiện zone transfer)

dos.rules

Phát hiện các traffic tạo ra bởi tấn công từ chối dịch vụ. Nó sẽ phát hiện 1 vài kiểu tấn công như winnuke và jolt, và có thể phát hiện các tấn công kiểu IGMP và teardrop.

experimental.rules

Đây là nơi mặc định bao gồm những kiểu luật mới, vì vậy có thể kiểm các luật mới tại đây.

exploit.rules

Bao gồm những dấu hiệu của nhiều lỗi có thể khai thác đã được công bố. Để hệ thống giảm thiểu tối đa những lỗi có thể bị tấn công thì hệ thống cần được cập nhật những bản vá lỗi thường xuyên.

finger.rules

Sinh ra các cảnh báo khi phát hiện những hành động tấn công vào dịch vụ finger-trên các hệ thống Unix dịch vụ này được chạy mặc định. Nếu dịch vụ finger trên hệ thống đã disable thì có thể disable tập luật này.

ftp.rules

Sinh ra cảnh báo khi phát hiện những tấn công vào dịch vụ FTP.

icmp-info.rules

Tập luật này được mặc định disable. Nó có thể hữu ích trong việc phát hiện những vấn đề rắc rối ICMP.

icmp.rules

Cảnh báo được tạo ra khi Snort thấy những dấu hiệu ping đặc trưng của các công cụ tấn công. Những cảnh báo này khá hiệu quả. Luật “destination

urreachable” có thể gây ra nhiều nhiễu, tuy nhiên, bạn vẫn có thể cho tập luật này enabled nhưng tắt những luật “unreachable”.

imap.rules

Sinh ra các cảnh báo khi phát hiện ra những tấn công nhằm vào dịch vụ email IMAP.

info.rules

Mặc định là disable. Nó tạo ra những cảnh báo trên nhiều giao tiếp bình thường được tìm thấy trên một mạng an toàn.

local.rules

Chứa các luật do người quản trị tự tạo.

misc.rules

Chứa các luật không thuộc cùng loại với các tập luật khác.

multimedia.rules

Mặc định là disable, nếu trong chế độ bảo mật của tổ chức cần thiết bảo mật các ứng dụng chạy multimedia qua mạng thì nên enable tập luật này.

mysql.rules

Phát hiện các hành động tấn công vào cơ sở dữ liệu MySQLDetects.

netbios.rules

Phát hiện nhiều loại sâu tấn công vào Window là nguyên nhân gây ra nhiều phiền phức cho mạng và cho những người quản trị hệ thống. Một vài cảnh báo có thể gây ra những lỗi nhầm lẫn do người quản trị chia sẻ quyền truy cập vào những truy cập trên SMB và NetBIOS.

nntp.rules

Chứa các dấu hiệu để nhận ra các tấn công nhằm vào các giao thức network time của server.

oracle.rules

Phát hiện những tấn công vào cơ sở dữ liệu Oracle.

other-ids.rules

Theo dõi những traffic tạo bởi những IDS khác.

p2p.rules

Mặc định là disable. Nó phát hiện những hành động có thể gây hại do các phần mềm peer to peer gây ra.

policy.rules

Mặc định là disable. Nó bao gồm các luật thiết lập cho việc theo dõi các hành động có thể vi phạm chính sách bảo mật của tổ chức. Ví dụ sử dụng tài khoản anoymous FTP. Cần xem lại các luật trong file và thêm hoặc bỏ bớt những gì không phù hợp với chính sách bảo mật của tổ chức.

pop2.rules

Tạo ra những luật khi phát hiện dịch vụ email POP2 bị tấn công.

pop3.rules

rpc.rules

Tạo ra các cảnh báo khi có các tấn công vào remote procedure call (RPC) của các hệ điều hành. Nếu sensor đang theo dõi các giao tiếp của internet và các hành vi của RPC không được phép thực thi trong hoặc ngoài môi trường, hãy disable tập luật này. Nếu sensor đang theo dõi các giao tiếp của mạng bên trong thì rất cần thiết enable nó, phụ thuộc vào loại hệ thống đang chạy trên mạng.

rservices.rules

Tạo ra các cảnh báo khi rservices(rlogin, rsh và rexec) bị phát hiện trên mạng. Đây là những dòng lệnh có khả năng điều khiển hệ thống. Nếu bạn dùng chúng trên môi trường thì có thể enable tập luật này.

scan.rules

Phát hiện nhiều kiểu quét mạng và dịch vụ. Nó cũng phát hiện được nhiều dấu hiệu đặc trưng của những công cụ quét mạng.

shellcode.rules

Mặc định là disable. Tập luật này dùng để phát hiện các shellcode trong các packet payload đang tìm cách làm ảnh hưởng tới nhiều hệ thống. Những shellcode này có thể là payload của những tấn công thành công mà không bị phát hiện. Các luật này được thiết kế để kiểm tra payload của tất cả các giao tiếp, nó thể nhận ra các dấu hiệu một cách hiệu quả nếu được enable

smtp.rules

Sinh ra cảnh báo khi phát hiện tấn công vào giao thức SMTP.

snmp.rules

Phát hiện tấn công dựa trên các giao tiếp SNMP.

sql.rules

Phát hiện những tấn công vào cơ sở dữ liệu Microsoft SQL Server.

telnet.rules

Cảnh báo khi phát hiện những hành động truyền dữ liệu nguy hiểm trong phiên giao tiếp telnet.

tftp.rules

Cảnh báo khi phát hiện tấn công vào địch vụ TFTP.

virus.rules

Mặc định là disable. Là tập luật phát hiện virus

Mặc định là disable. Nó tạo ra những thông báo khi biết được những tấn công nhằm vào web servers. Có thể enable nó, nó thường không tạo ra nhiều cảnh báo sai.

web-cgi.rules

Tạo ra những cảnh báo khi phát hiện ra những tấn công nhằm vào dịch vụ CGI.

web-client.rules

Tạo ra những cảnh báo khi phát hiện ra những giao tiếp có khả năng gây ảnh hưởng nguy hiểm tới web client. Hầu hết các cảnh báo dựa trên giao tiếp của Microsoft Outlook Web Access và thường tạo ra những cảnh báo sai. Nên disable tập luật này.

web-coldfusion.rules

Sinh ra cảnh báo khi phát hiện những tấn công vào ứng dụng web Coldfusion

web-frontpage.rules

Tạo ra các cảnh báo khi phát hiện ra những tấn công nhằm vào các Frontpage web .

web-iis.rules

Phát hiện những tấn công vào máy chủ web chạy Microsoft Internet Information Server (IIS)

web-misc.rules

Các luật phát hiện tấn công web

web-php.rules

Phát hiện các tấn công vào Web server chạy ứng dụng PHP

x11.rules

Phát hiện các tấn công vào các phiên giao tiếp X-Window

Một phần của tài liệu XÂY DỰNG, QUẢN LÝ, THỰC THI VÀ CẬP NHẬT CÁC TẬP LUẬT (Trang 70 -74 )

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×