Post on 01-May-2015
dott. Marco Trivellimarco.trivelli@unicam.it
SNORT: Intrusion Detection System
Politiche delle Reti Politiche delle Reti e Sicurezzae Sicurezza
SNORT: Intrusion Detection System 2
Agenda
IDS
Rules & Alert
Cosa non fa e cosa non è un IDS
SNORT: Intrusion Detection System 3
IDS
Snort è un Network Intrusion Detection System
Consente di rilevare eventuali tentativi di intrusione in un sistema
Analizza i pacchetti di rete ed etichetta le trasmissioni dei pacchetti sospetti, conservandoli in un log formattato
I log generati da Snort possono essere inseriti in file di testo o salvati in un database relazionale
SNORT: Intrusion Detection System 4
Rules & Alert (1/2)
Snort e' principalmente basato su regole (rules) Le regole sono conservate in database
Le anomalie sono individute tramite il confronto dei pacchetti di rete in arrivo con le regole
Non appena il sistema di rilevamento delle intrusioni rileva attivita' sospette registra l’anomalia all’interno di un file di log, inoltre genera un alert, solitamente una email per l’amministratore di sistema.
SNORT: Intrusion Detection System 5
Rules & Alert (2/2)
alert tcp $EXTERNAL_NET any ->
$HTTP_SERVERS $HTTP_PORTS (msg:"
WEB-MISC /cgi-bin/// access";
flow:to_server,established;
uricontent:"/cgi-bin///"; nocase; rawbytes; classtype:attempted-recon; sid:1144; rev:5;)
SNORT: Intrusion Detection System 6
Cosa non fa e cosa non è un IDS
Non blocca o filtra i pacchetti in ingresso ed in uscita e non li modifica
Non svolge compiti di difesa attiva, non è un firewall
Non cerca di bloccare le eventuali intrusioni… ma le rileva laddove si verifichino
SNORT: Intrusion Detection System 7
Configurazione via Webmin
SNORT: Intrusion Detection System 8
Rules & Download
SNORT: Intrusion Detection System 9
Database e Utenti
SNORT: Intrusion Detection System 10
Database e Utenti
SNORT: Intrusion Detection System 11
Creazione Tabelle
SNORT: Intrusion Detection System 12
Interfaccia di gestione