اسنورت چیست؟ معرفی سیستم تشخیص و جلوگیری از نفوذ Snort

اسنورت چیست (snort) یک سیستم تشخیص نفوذ است که تحت مجوز GPL منتشر شده و اولین بار در سال ۱۹۹۸ توسط  (Martin Roesch) نوشته شده است. Snort در حال حاضر توسط Sourcefire در حال توسعه است. این برنامه در سال ۲۰۰۹ به عنوان یکی از بهترین برنامه های رایگان تمام ادوار انتخاب شده است.

اسنورت چیست (snort)

اسنورت چیست قدرتمندترین نرم افزار NIDS ، رایگان و منبع باز NIPS است که توانایی تجزیه و تحلیل سریع ترافیک شبکه برای شناسایی و جلوگیری از نفوذ را دارد. Snort در سال ۲۰۰۹ به عنوان بهترین برنامه منبع باز در زمان خود شناخته شد. Snort توسط توسعه دهندگان Sourcefire متعلق به شرکت معروف سیسکو ساخته شده است. Snort را می توان در چهار حالت استفاده کرد که عبارتند از:

1. Sniffer Mode : در این حالت ، Snort ترافیک شبکه را کنترل می کند Sniff در این حالت ، کارت شبکه سیستمی که Snort روی آن نصب شده است باید در حالت Promiscuous باشد تا ترافیک شبکه را دریافت ، تحلیل و تجزیه و تحلیل کند.
2. Packet Logger Mode : در این حالت Snort از ترافیک هایی که Sniff شده اند گزارشی از آنها ایجاد می نماید.
3. IDS Mode : در این حالت ، Snort در حالت IDS است و می تواند ترافیکی را که Sniff بوده بررسی و تجزیه و تحلیل کند و در صورت حمله ، نفوذ یا رفتار غیرمعمول ، آنها را شناسایی کرده و گزارشی درباره آنها ایجاد کند.
4. DAQ : مجموعه ای از API Library که اطلاعات Snort را جمع آوری می کند. DAQ از بسته Libdnet برای جمع آوری اطلاعات استفاده می کند.
5. Libdnet: ابزاری ساده برای تحلیل و دستکاری Packet شبکه.
6. Tcpdump: ابزاری Sniffer برای ترافیک شبکه Sniff استفاده می شود.
7. Libpcap: با استفاده از این بسته ، شبکه Packet می تواند Capture باشد.
8. Pcre – مجموعه ای از Library که برای پیاده سازی الگوهای منظم برای Rule های Snort استفاده می شود
9. Inline Mode: در این حالت ، Snort در حالت IPS است و سعی می کند از حملات شناسایی شده ، نفوذ یا رفتار غیر عادی جلوگیری کند.

( IDS ( Intrusion Detection System چیست؟

IDS مخفف Intrusion Detection System و یک نرم افزار یا دستگاه سخت افزاری است که می تواند حملات یا نفوذهای رخ داده در شبکه و سیستم را تشخیص دهد و همچنین از نحوه کار آنها گزارش می دهد. IPS (Intrusion Prevension System چیست؟ IPS به معنای سیستم ممانعت یا جلوگیری از نفوذ و یک نرم افزار یا دستگاه سخت افزاری است که سعی در جلوگیری از حملات و نفوذهای شناسایی شده توسط IDS دارد. اسنورت چیست

انواع IDS :

1. ( Host Base IDS ( HIDS
2. ( Network Base IDS ( NIDS
3. File Integrity Checker
4. ( Distributed IDS ( DIDS

DIDS چیست؟

در این نوع IDS چندین نوع NIDSA یا HIDS یا ترکیبی و یک ایستگاه مرکزی نیز برای مدیریت آنها استفاده می شود. IDS به طور کلی از دو روش برای تشخیص نفوذ استفاده می کند که عبارتند از:

• Signature(misuse)BaseDetection: در این روش ، اول از همه ، الگوهایی به صورت Rule ایجاد می شوند و ترافیک شبکه در برابر این Rule ها بررسی و تأیید می شود و در صورت مطابقت با آنها ، می توان گزارش تهیه کرد.

• Behavior Anomaly Detection: در این تکنیک ، شما ابتدا الگوها و قوانینی را براساس رفتار عادی ترافیک شبکه یا سیستم ایجاد می کنید و در صورت مشاهده رفتار غیرعادی ، آن را گزارش می کنید.

File Integrity Checker چیست?

در این نوع IDS ابتدا Signature را برای تمام فایلهای سیستم ایجاد کرده و در یک پایگاه داده ذخیره می کند ، سپس در فواصل زمانی که مشخص می کنیم ، وضعیت فعلی پرونده های سیستم را با Signature های موجود در پایگاه داده مقایسه می کند. و هرگونه تغییر در پرونده ها یا ایجاد و حذف پرونده را گزارش دهید. اسنورت چیست

مطالب مرتبط

• مرکز عملیات امنیت SOC چیست؟
• فارنزیک چیست؟
• فارمینگ چیست؟
• حمله روز صفر چیست؟
• بات نت چیست؟
• گوگل هکینگ چیست؟
• باگ XFS چیست؟
• باگ RFU چیست؟

NIDS چیست?

در این نوع IDS ، ترافیک شبکه Capture را بررسی می کند و هرگونه حمله ، نفوذ یا ترافیک مخرب را شناسایی و گزارش می کند. در این نوع IDS ، کارت شبکه IDS برای دریافت شبکه و بررسی و تجزیه و تحلیل آنها ، باید در حالت Promiscuous باشد.

HIDS چیست?

این نوع IDS برای شناسایی و حملات ، نفوذها و فعالیتهای غیرمجاز بر روی سیستمهای میزبان مورد استفاده قرار می گیرد و در این نوع بسته به IDS مورد استفاده ، در بعضی موارد نصب Agent بر روی سیستمهای مورد نیاز ضروری است. نصب ، شناسایی و گزارش حملات ، نفوذها و فعالیتهای غیر مجاز در سیستمهای مذکور از طریق Agent.

پک‌ های لازم‌ برای نصب اسنورت

• Tcpdump: ابزاری برای Sniff.
• Libdnet: ابزاری برای بررسی و تغییر بسته ها در شبکه.
• DAQ: مجموعه ای از کتابخانه های API که از Libdnet برای جمع آوری اطلاعات استفاده می‌کند.
• Libpcap: شناسایی بسته در شبکه.
• LibPcre: مجموعه ای از کتابخانه ها برای ایجاد قوانین در Snort.

نصب Snort در ویندوز

دانلود نرم افزار Snort از سایت رسمی آن به آدرس: https://www.snort.org/
خارج کردن از حالت فشرده و اجرای فایل

آموزش نصب snort روی کالی لینوکس

اول برنامه رو دانلود کنید
نرم افزار Snort را از سایت رسمی آن به آدرس زیر دانلود کنید.

https://www.snort.org/

یا می‌ توانید با دستورات زیر ان را دانلود و از حالت فشرده خارج کنید:

cd /usr/src

wget -0 snort-2.8.6.1.tar.gz http://snort.org/downloads/116

tar xvzf snort-2.8.6.1.tar.gz

نصب Snort
قبل از نصب اسنورت مطمئن شوید که بسته های Libpcap و LibPcre را بر روی سیستم نصب دارید.

حال Snort را با استفاده از دستورات زیر نصب کنید.

cd snort-2.8.6.1

configure/.

make

make install

دستور تایید نصب

snort –version

ایجاد فایل های مورد نیاز
ساخت فایل های پیکربندی، قوانین و فهرست ترافیک ورودی.

mkdir /etc/snort

mkdir /etc/snort/rules

mkdir /var/log/snort

ایجاد فایل های snort.conf و icmp.rules

cat /etc/snort/snort.conf

Include /etc/snort/rules/icmp.rules

cat /etc/snort/rules/icmp.rules

اجرای نرم افزار Snort

snort -c /etc/snort/snort.conf -l /var/log/snort/

قوانین snort

یکی از مهمترین مبانی در سیستم تشخیص نفوذ قانون است. برای شناسایی نفوذ ، ترافیک ورودی باید با قوانین قرار داده شده روی بسته ها بررسی شود. بیش از ۱۹۰۰ قانون در اسنورت به طور پیش فرض وجود دارد که برای شناسایی نفوذ و مقابله با هجوم ترافیک ورودی استفاده می شود.

ساختار کلی Rule ها در Snort

Rule Header: بخش اصلی ساختار قانون است که شامل اطلاعات کلی در مورد آن قانون است. مانند: Action ، Protocol، Port و….

:Rule Option این بخش را بخش اختیاری نیز می نامند که به دو دسته کلی تشخیص محتوا و تشخیص غیرمحتوا تقسیم می شود. این دو دسته شامل کلمات کلیدی هستند که دقت تشخیص نفوذ را افزایش می دهند.