dott. Marco Trivellimarco.trivelli@unicam.it

SNORT: Intrusion Detection System

Politiche delle Reti Politiche delle Reti e Sicurezzae Sicurezza

SNORT: Intrusion Detection System 2

Agenda

IDS

Rules & Alert

Cosa non fa e cosa non è un IDS

SNORT: Intrusion Detection System 3

IDS

Snort è un Network Intrusion Detection System

Consente di rilevare eventuali tentativi di intrusione in un sistema

Analizza i pacchetti di rete ed etichetta le trasmissioni dei pacchetti sospetti, conservandoli in un log formattato

I log generati da Snort possono essere inseriti in file di testo o salvati in un database relazionale

SNORT: Intrusion Detection System 4

Rules & Alert (1/2)

Snort e' principalmente basato su regole (rules) Le regole sono conservate in database

Le anomalie sono individute tramite il confronto dei pacchetti di rete in arrivo con le regole

Non appena il sistema di rilevamento delle intrusioni rileva attivita' sospette registra l’anomalia all’interno di un file di log, inoltre genera un alert, solitamente una email per l’amministratore di sistema.

SNORT: Intrusion Detection System 5

Rules & Alert (2/2)

alert tcp $EXTERNAL_NET any ->

$HTTP_SERVERS $HTTP_PORTS (msg:"

WEB-MISC /cgi-bin/// access";

flow:to_server,established;

uricontent:"/cgi-bin///"; nocase; rawbytes; classtype:attempted-recon; sid:1144; rev:5;)

SNORT: Intrusion Detection System 6

Cosa non fa e cosa non è un IDS

Non blocca o filtra i pacchetti in ingresso ed in uscita e non li modifica

Non svolge compiti di difesa attiva, non è un firewall

Non cerca di bloccare le eventuali intrusioni… ma le rileva laddove si verifichino

SNORT: Intrusion Detection System 7

Configurazione via Webmin

SNORT: Intrusion Detection System 8

Rules & Download

SNORT: Intrusion Detection System 9

Database e Utenti

SNORT: Intrusion Detection System 10

Database e Utenti

SNORT: Intrusion Detection System 11

Creazione Tabelle

SNORT: Intrusion Detection System 12

Interfaccia di gestione