4. Xây dựng và quản lý các tập luật
4.2. Mô tả các tập luật
Dưới đây là mô tả tổng quan các tập luật:
attack-responses.rules
Phát hiện host trên mạng cục bộ đang gởi các phản hồi tới một cuộc tấn công thành công.
backdoor.rules
Phát hiện các phiên kết nối sinh ra bởi các backdoor.
bad-traffic.rules
Theo dõi header của các gói tin không hợp lệ như phiên giao tiếp TCP và UDP với port = 0, hoặc gói tin SYN được gửi tới địa chỉ multicast.
chat.rules
Mặc định là disable. Nó theo dõi những người dùng instant messenger và những phương thức chat khác. Nếu hoạt động này liên quan tới chính sách bảo mật của tổ chức thì nên để enable.
ddos.rules
Cảnh báo tạo ra từ những phương thức tấn công từ chối dịch vụ từ xa nổi tiếng như Trin00 và shaft.
deleted.rules
Mặc định nó không tham chiếu tới file snort.conf, nó chỉ là một tập hợp những luật cũ của Snort.
dns.rules
Sinh ra cảnh báo khi phát hiện tấn công vào DNS server (Bao gồm cả phát hiện zone transfer)
dos.rules
Phát hiện các traffic tạo ra bởi tấn công từ chối dịch vụ. Nó sẽ phát hiện 1 vài kiểu tấn công như winnuke và jolt, và có thể phát hiện các tấn công kiểu IGMP và teardrop.
experimental.rules
Đây là nơi mặc định bao gồm những kiểu luật mới, vì vậy có thể kiểm các luật mới tại đây.
exploit.rules
Bao gồm những dấu hiệu của nhiều lỗi có thể khai thác đã được công bố. Để hệ thống giảm thiểu tối đa những lỗi có thể bị tấn công thì hệ thống cần được cập nhật những bản vá lỗi thường xuyên.
finger.rules
Sinh ra các cảnh báo khi phát hiện những hành động tấn công vào dịch vụ finger-trên các hệ thống Unix dịch vụ này được chạy mặc định. Nếu dịch vụ finger trên hệ thống đã disable thì có thể disable tập luật này.
ftp.rules
Sinh ra cảnh báo khi phát hiện những tấn công vào dịch vụ FTP.
icmp-info.rules
Tập luật này được mặc định disable. Nó có thể hữu ích trong việc phát hiện những vấn đề rắc rối ICMP.
icmp.rules
Cảnh báo được tạo ra khi Snort thấy những dấu hiệu ping đặc trưng của các công cụ tấn công. Những cảnh báo này khá hiệu quả. Luật “destination
urreachable” có thể gây ra nhiều nhiễu, tuy nhiên, bạn vẫn có thể cho tập luật này enabled nhưng tắt những luật “unreachable”.
imap.rules
Sinh ra các cảnh báo khi phát hiện ra những tấn công nhằm vào dịch vụ email IMAP.
info.rules
Mặc định là disable. Nó tạo ra những cảnh báo trên nhiều giao tiếp bình thường được tìm thấy trên một mạng an toàn.
local.rules
Chứa các luật do người quản trị tự tạo.
misc.rules
Chứa các luật không thuộc cùng loại với các tập luật khác.
multimedia.rules
Mặc định là disable, nếu trong chế độ bảo mật của tổ chức cần thiết bảo mật các ứng dụng chạy multimedia qua mạng thì nên enable tập luật này.
mysql.rules
Phát hiện các hành động tấn công vào cơ sở dữ liệu MySQLDetects.
netbios.rules
Phát hiện nhiều loại sâu tấn công vào Window là nguyên nhân gây ra nhiều phiền phức cho mạng và cho những người quản trị hệ thống. Một vài cảnh báo có thể gây ra những lỗi nhầm lẫn do người quản trị chia sẻ quyền truy cập vào những truy cập trên SMB và NetBIOS.
nntp.rules
Chứa các dấu hiệu để nhận ra các tấn công nhằm vào các giao thức network time của server.
oracle.rules
Phát hiện những tấn công vào cơ sở dữ liệu Oracle.
other-ids.rules
Theo dõi những traffic tạo bởi những IDS khác.
p2p.rules
Mặc định là disable. Nó phát hiện những hành động có thể gây hại do các phần mềm peer to peer gây ra.
policy.rules
Mặc định là disable. Nó bao gồm các luật thiết lập cho việc theo dõi các hành động có thể vi phạm chính sách bảo mật của tổ chức. Ví dụ sử dụng tài khoản anoymous FTP. Cần xem lại các luật trong file và thêm hoặc bỏ bớt những gì không phù hợp với chính sách bảo mật của tổ chức.
pop2.rules
Tạo ra những luật khi phát hiện dịch vụ email POP2 bị tấn công.
pop3.rules
rpc.rules
Tạo ra các cảnh báo khi có các tấn công vào remote procedure call (RPC) của các hệ điều hành. Nếu sensor đang theo dõi các giao tiếp của internet và các hành vi của RPC không được phép thực thi trong hoặc ngoài môi trường, hãy disable tập luật này. Nếu sensor đang theo dõi các giao tiếp của mạng bên trong thì rất cần thiết enable nó, phụ thuộc vào loại hệ thống đang chạy trên mạng.
rservices.rules
Tạo ra các cảnh báo khi rservices(rlogin, rsh và rexec) bị phát hiện trên mạng. Đây là những dòng lệnh có khả năng điều khiển hệ thống. Nếu bạn dùng chúng trên môi trường thì có thể enable tập luật này.
scan.rules
Phát hiện nhiều kiểu quét mạng và dịch vụ. Nó cũng phát hiện được nhiều dấu hiệu đặc trưng của những công cụ quét mạng.
shellcode.rules
Mặc định là disable. Tập luật này dùng để phát hiện các shellcode trong các packet payload đang tìm cách làm ảnh hưởng tới nhiều hệ thống. Những shellcode này có thể là payload của những tấn công thành công mà không bị phát hiện. Các luật này được thiết kế để kiểm tra payload của tất cả các giao tiếp, nó thể nhận ra các dấu hiệu một cách hiệu quả nếu được enable
smtp.rules
Sinh ra cảnh báo khi phát hiện tấn công vào giao thức SMTP.
snmp.rules
Phát hiện tấn công dựa trên các giao tiếp SNMP.
sql.rules
Phát hiện những tấn công vào cơ sở dữ liệu Microsoft SQL Server.
telnet.rules
Cảnh báo khi phát hiện những hành động truyền dữ liệu nguy hiểm trong phiên giao tiếp telnet.
tftp.rules
Cảnh báo khi phát hiện tấn công vào địch vụ TFTP.
virus.rules
Mặc định là disable. Là tập luật phát hiện virus
Mặc định là disable. Nó tạo ra những thông báo khi biết được những tấn công nhằm vào web servers. Có thể enable nó, nó thường không tạo ra nhiều cảnh báo sai.
web-cgi.rules
Tạo ra những cảnh báo khi phát hiện ra những tấn công nhằm vào dịch vụ CGI.
web-client.rules
Tạo ra những cảnh báo khi phát hiện ra những giao tiếp có khả năng gây ảnh hưởng nguy hiểm tới web client. Hầu hết các cảnh báo dựa trên giao tiếp của Microsoft Outlook Web Access và thường tạo ra những cảnh báo sai. Nên disable tập luật này.
web-coldfusion.rules
Sinh ra cảnh báo khi phát hiện những tấn công vào ứng dụng web Coldfusion
web-frontpage.rules
Tạo ra các cảnh báo khi phát hiện ra những tấn công nhằm vào các Frontpage web .
web-iis.rules
Phát hiện những tấn công vào máy chủ web chạy Microsoft Internet Information Server (IIS)
web-misc.rules
Các luật phát hiện tấn công web
web-php.rules
Phát hiện các tấn công vào Web server chạy ứng dụng PHP
x11.rules
Phát hiện các tấn công vào các phiên giao tiếp X-Window