Updating Rules snort( cập nhật luật):

Một phần của tài liệu ĐỒ ÁN NGHIÊN CỨU VỀ IDS / IPS (Trang 40 - 43)

I. Giới thiệu về snort

3. Updating Rules snort( cập nhật luật):

Cũng giống như cập nhật chữ ký virus của bạn, bạn sẽ muốn chắc chắn rằng Snort chữ ký của bạn được up-to-date. Cập nhật quy tắc của Snort được gọi là quy tắc VRT (được viết bởi nhóm nghiên cứu dễ bị tổn thương của Snort). Để tải về các bản cập nhật bạn cần phải đăng ký để có được www.snort.org oinkcode miễn phí của bạn. (Khi bạn đăng ký bạn sẽ có được một đăng nhập trang web và một khi bạn đăng nhập có một "Mã Nhận" nút gần phía dưới của trang tài khoản của bạn.) Mã này cho phép bạn tải về các quy tắc sau một thời gian giữ 30 ngày. Bạn cũng có thể chọn các cấp cao hơn, trả tiền cho các tùy chọn dịch vụ thuê bao nếu bạn muốn có thể để có được những quy tắc mà không cần thời gian chờ đợi 30 ngày.

May mắn thay, Andreas Ostling giúp chúng ta với kéo xuống bản cập nhật quy tắc. Andreas viết Oinkmaster đó là một kịch bản Perl cung cấp rất nhiều lựa chọn. Oinkmaster đã được cài đặt tự động khi chúng ta cài đặt Snort vì vậy tất cả chúng ta cần phải làm là cập nhật các tập tin cấu hình và thiết lập một công việc định kỳ để chạy nó. Mở file cấu hình Oinkmaster với lệnh:

nano /etc/oinkmaster.conf

Tập tin cấu hình này là một trong số ít ngày, chỉ đề cập đến Snort 2.2 là phiên bản hiện tại. Snort cũng đã thay đổi đường dẫn tải về của họ. Xóa bỏ dòng địa chỉ cho 2.2 bằng cách đặt một thăng (#) nhân vật trong phía trước của nó và thêm dòng sau bên dưới:

url = http://www.snort.org/pub-bin/oinkmaster.cgi/oinkcode/snortrules-snapshot-

2.7.tar.gz

Nếu nhìn xuống xa hơn trong các tập tin ta sẽ thấy báo cáo skipfile, một trong số đó là cho các tập tin local.rules (đó là lý do tại sao đây là nơi mà ta muốn đưa quy tắc của riêng mình). Bất kỳ quy tắc hoặc tập tin cấu hình được chỉ định trong một tuyên bố skipfile sẽ không được xúc động bởi Oinkmaster. Thậm chí còn tiếp tục xuống trong các tập tin bạn sẽ thấy phần cho báo cáo modifysid và disablesid đó là những gì ta sẽ cần phải sử dụng để giữ các thay đổi quy tắc thông qua cập nhật. Nó có thể được dễ dàng hơn để vô hiệu hóa các quy định trong các quy tắc tập tin, sao chép nó cho local.rules và thực hiện thay đổi đó. KHÔNG QUÊN THAY ĐỔI SID! Thoát khỏi trình biên tập lưu các tập tin và ta sẽ mang nó ra cho một spin. Oinkmaster không yêu cầu ta chỉ định một thư mục đầu ra (nơi quy định hiện hành được đặt). Chúng ta có thể kiểm tra cấu hình Oinkmaster mà không thực sự cập nhật tập tin quy tắc hiện tại của họ bằng cách sử dụng c-tùy chọn để nhập lệnh:

oinkmaster -o /etc/snort/rules –c

Nó sẽ tải về các quy tắc (có thể mất một thời gian) và sau đó giải nén và xử lý chúng. Rất nhiều thứ sẽ di chuyển trên màn hình của bạn nhưng cuối cùng sẽ là một danh sách các tập tin quy tắc mới. Nếu bạn muốn sử dụng các quy định mới (khi chúng tôi thực sự thêm chúng), bạn sẽ cần phải thêm bao gồm báo cáo cho chúng trong file snort.conf (không tập tin oinkmaster.conf). Thêm các báo cáo bao gồm cho họ và sau đó chỉ cần bình luận chúng ra

nếu họ dường như tạo ra quá nhiều dương tính giả. Ngoài ra các tập tin này mới là một trong những lý do bạn có thể không muốn để tự động cập nhật các quy tắc sử dụng một công việc định kỳ. Ta sẽ không thấy các tập tin quy định mới đã được thêm vào. Nếu bạn làm thêm mới bao gồm các câu bạn sẽ cần phải khởi động lại Snort để nó lại đọc file cấu hình. (Không cần phải khởi động lại Snort nếu bạn chỉ cần cập nhật các quy tắc.) Bây giờ cho phép cố gắng cập nhật các quy tắc cho thực bằng cách sử dụng lệnh trên mà không có c-lựa chọn.

oinkmaster -o /etc/snort/rules

Nếu cập nhật / etc / snort / snort.conf tập tin, khởi động lại Snort với lệnh:

/etc/init.d/snort restart

Bắt Snort cài đặt và cập nhật là một khởi đầu tốt nhưng bạn sẽ cần phải xem cho dương tính giả và thực hiện bất kỳ quy tắc thay đổi cần thiết để giảm thiểu chúng. Này là quá trình "điều chỉnh" Snort cho môi trường của bạn. Trong khi có một tấn các quy tắc chứa đựng trong tất cả các tập tin quy định, việc tìm kiếm một quy tắc là không phải tất cả những khó khăn. Ví dụ, một quy tắc đó là một nguyên nhân phổ biến của dương tính giả là "L3retriever ping" quy tắc. (. Lớp 3 Networks cung cấp một tiện ích gọi là Retriever) Chúng ta có thể tìm thấy những quy tắc file (s) có chứa quy tắc này bằng lệnh:

grep retriever /etc/snort/rules/*

Đầu ra lệnh cho thấy chuỗi văn bản "tha mồi" là trong hai tập tin quy tắc, "L3retriever ping" là trong tập tin icmp.rules và "L3retriever HTTP dò" là trong tập tin web misc.rules. Chúng tôi mở các tập tin icmp.rules với lệnh:

nano /etc/snort/rules/icmp.rules

và chúng ta có thể thấy rằng "L3retriever ping" quy tắc là điều thứ hai được liệt kê. Chúng ta có thể vô hiệu hóa quy định này chỉ đơn giản bằng cách đặt một nhân vật dấu thăng (#) vào phía trước của nó (và sau đó khởi động lại Snort). Đương nhiên, bạn sẽ muốn đảm bảo rằng các cảnh báo thực sự là dương tính giả trước khi bạn vô hiệu hóa các quy tắc. Vì vậy, bạn cuối cùng nhận được hộp Snort của bạn và chạy và phù hợp cho môi trường của bạn và bây giờ bạn muốn bắt đầu tươi. Làm thế nào để bạn rõ ràng tất cả các thông báo cũ? Đơn giản. Chỉ cần nhấp vào liên kết Cache & Trạng thái gần dưới cùng của trang chủ BASE và sau đó

nhấn vào nút Tables dữ liệu rõ ràng. Có một người đàn ông trang cho Snort nhưng có nhiều hơn nữa tài liệu có sẵn trên trang web của Snort. Nếu bạn đang sử dụng nghiêm túc Snort tôi muốn khuyên bạn nên nhận được một trong những cuốn sách có sẵn trên đó. Một lần nữa, tường lửa, DMZs, và các hệ thống IDS không phải là viên đạn kỳ diệu. Họ có thể phát hiện các mô hình giao thông nào đó và vượt qua hoặc chặn giao thông trong thông số nhất định. Tuy nhiên, họ không thể nói cho người dùng sử dụng hợp pháp từ một hacker. Một bức tường lửa khen ngợi hệ điều hành tốt và thực hành bảo mật ứng dụng, nó không thay thế chúng cũng không thể bù đắp cho những điểm yếu trong đó.

Một phần của tài liệu ĐỒ ÁN NGHIÊN CỨU VỀ IDS / IPS (Trang 40 - 43)

Tải bản đầy đủ (DOC)

(64 trang)
w