Đây là chế độ cảnh báo mặc định. Nó in thông điệp cảnh báo thêm phần tiêu đề gói. Bây giờ chúng ta bắt đầu Snort với cảnh báo full với dòng lệnh:
/opt/snort/bin/snort -c /opt/snort/etc/snort.conf -q -A full
Khi Snort sinh ra cảnh báo, thông điệp ghi vào file /var/log/snort/alert giống như dưới đây:
[**] [1:0:0] Ping with TTL=100 [**]
05/28-22:14:37.766150 192.168.1.100 -> 192.168.1.3 ICMP TTL:100 TOS:0x0 ID:40172 IpLen:20 DgmLen:60 Type:8 Code:0 ID:768 Seq:20224 ECHO
Như ta thấy, thông tin được ghi cùng với thông điệp cảnh báo. Thông tin này cho thấy các giá trị khác nhau trong tiêu đề gói, bao gồm:
- Giá trị Time To Live (TTL) trong IP header. Để biết chi tiết giá trị TTL, tham khảo RFC 791 tại ftp://ftp.isi.in-notes/rfc791.txt
- Giá trị Type Of Service (TOS) trong IP header. - Chiều dài tiêu đề IP trong IpLen:20
- Tổng chiều dài gói IP trong DgmLen:60 - Trường ICMP Type.
- Giá trị code ICMP. - Chỉ số ID của gói IP. - Sequence number.
- Kiểu gói ICMP là ECHO.
3.8.3.Chế độ UNIX Socket
Nếu ta sử dụng lệnh “-a unsock” trong Snort, ta có thể gởi các cảnh báo đến chương trình khác thông qua socket của UNIX. Việc này rất hữu ích khi ta muốn xử lý cảnh báo dùng một ứng dụng tùy thích với Snort. Để biết nhiều thông tin về socket, sử dụng lệnh “man socket”.
3.8.4.Chế độ No Alert
Ta có thể tắt cảnh báo Snort sử dụng lệnh “-A none”. Lựa chọn này rất hữu ích cho phát hiện xâm nhập tốc độ cao nhằm thống nhất chế độ ghi. Ta có thể tắt việc ghi thông thường nhằm thống nhất lựa chọn.
3.8.5.Gửi cảnh báo vào Syslog
Chế độ này cho phép Snort gửi cảnh báo vào Syslog deamon. Syslog là một hệ thống logger deamon và nó sinh ra log file cho các sự kiện hệ thống. Nó đọc file cấu hình của nó /etc/syslog.conf, nơi mà vị trí của các log file được cấu hình. Vị trí của các file syslog thường nằm trong /var/log. Trên những hệ thống Linux, thường là
/var/log/messages là log file chính. Lệnh “man syslog” cho thấyn hiều thông tin hơn. Lệnh “man syslog.conf” cho biết định dạng file syslog.conf.
Phụ thuộc vào sự cấu hình của Syslog trong file /etc/syslog.conf, các cảnh báo có thể lưu trong một file riêng. Lệnh sau đây cho phép Snort ghi vào Syslog deamon: /snort/bin/snort -c /opt/snort/etc/snort.conf –s
Sử dụng cấu hình mặc định trên máy RedHat, thông điệp được ghi vào file
/var/log/messages. Khi ta gây ra một thông điệp cảnh báo bằng cách gởi gói ICMP đặc biệt với TTL=100, dòng sau đây sẽ ghi vào file /var/log/messages:
May 28 22:21:02 snort snort[1750]: [1:0:0] Ping with TTL=100
{ICMP} 192.168.1.100 -> 192.168.1.3
Sử dụng khả năng Syslog, ta sẽ hiểu như thế nào là ghi vào Syslog sử dụng output plug-in. Chúng ta sẽ thảo luận ở phấn sau..
3.8.6.Gửi cảnh báo đến SNMP
Một chức năng rất hữu ích của Snort là SNMP traps. Ta có thể cấu hình một output plug-in để gửi thông điệp trong hình thức SNMP trap đến một hệ thống quản trị mạng. Sử dụng tính năng này ta có thể tích hợp các sensor phát hiện xâm nhập của ta vào trong các NMS trung tâm giống như HP OpenView, OpenNMS, MRMG, v.v.. Snort có thể sinh SNMP traps version 2 va version 3. Quá trình cấu hình SNMP traps sẽ nói sau này.
3.8.7.Gửi cảnh báo đến Windows
Snort có thể gởi cảnh báo đến máy Microsoft Window trong hình thức cửa sổ pop- up. Các cửa sổ pop-up này được điềi khiển bởi dịch vụ Windows Messenger. Windows messenger phải chạy trên máy Window thì pop-up mới có được. Ta có thể vào \Control Panel\Administrator Tool và vào Service tìm đến Windows Messenger Service start nó.
Gói SAMBA client phải được cài đặt trên máy UNIX. SAMBA là một phần mềm mã nguồn mở cho phép file UNIX và máy in chia sẽ với Microsoft Windows. Phần mềm SAMBA chạy trên platforms UNIX. Nó có thể làm việc với nhiều hệ điều hành, phụ thuộc vào giao thức Common internet File System (CIFS) hay server Message Block (SMB). Để biết nhiều thông tin về SAMBA vào website http://www.samba.org.
Máy cảnh báo Snort sử dụng chương trình smbclient trên máy UNIX để kết nối đến máy Windows và gửi cảnh báo. Đảm bảo rằng SAMBA client phải chạy trước khi sử dụng dịch vụ này. Sự hoạt động của SAMBA phụ thuộc vào file cấu hình của nó
/etc/samba/smb.conf trong RedHat. File này có thể đặt ở nơi khác trên hệ thống
UNIX. Một mẫu file cấu hình SAMBA sẽ được liệt kê dưới đây. File này có thể dùng
để start SAMBA. File này được tạo ra từ nhóm REHMAN
Mẫu file cấu hình SAMBA:
Một mẫu file /etc/samba/smb.conf như sau: [global]
workgroup = REHMAN
server string = REHMAN file server log file = /var/log/samba/log.%m max log size = 50
security = user
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 dns proxy = no
domain logons = no
unix password sync = no map to guest = never password level = 0 null passwords = no os level = 0
preferred master = yes domain master = yes wins support = yes dead time = 0
debug level = 0 load printers = yes [homes]
comment = Home Directories browseable = yes
writable = yes available = yes public = yes only user = no
[htmldir] comment = html stuff path = /home/httpd/html public = yes writable = yes printable = no
write list = rehman [virtualhosting] comment = html stuff path = /usr/virt_web public = yes writable = yes printable = no
write list = rehman [printers]
[netlogon] available = no
phần sau ta sẽ bàn kỹ hơn về cảnh báo SAMBA. Nhớ rằng ta sẽ biên dịch Snort với
--with-smbalerts trong script cấu hình nếu ta muốn sử dụng lựa chọn này. Ngoài ra, dịch vụ SAMBA không thể sử dụng cùng với Snort.
