МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» кафедра ЗІ ЛАБОРАТОРНА РОБОТА №5 СИСТЕМИ ВИЯВЛЕННЯ АТАК. РОБОТА З SNORT з курсу “Захист інформації в комп’ютерних мережах” Виконав: Ст. гр.. ЗІД-12м Прийняв: Львів 2011 Мета роботи – вивчити основні принципи побудови та функціонування систем виявлення атак. Вивчити основні функції та принципи роботи з безкоштовною системою виявлення атак Snort. 1. ТЕОРЕТИЧНІ ВІДОМОСТІ 1.1. Багаторівнева структура стеку ТСР/ІР Система виявлення атак (СВА, англ. IDS – Intrusion detection system) – це програмний або програмно-апаратний комплекс, призначений для виявлення і по можливості попередження дій, які загрожують безпеці комп’ютерної системи. Перші прототипи СВА з’явилися на початку 1980-х років і були орієнтовані в першу чергу на захист автономних комп’ютерів, не об’єднаних в мережу. Виявлення атак проводилося шляхом аналізу реєстрації подій постфактум. Сучасні системи в основному орієнтовані на захист від загроз, направлених з мережі, тому їх архітектура суттєвим чином помінялася. Разом з тим основні підходи до виявлення атак залишилися колишніми. Розглянемо класифікацію і принципи роботи СВА більш детально. 2. ЗАВДАННЯ 2.1. Домашня підготовка до роботи Вивчити теоретичний матеріал. Вивчити порядок роботи, конфігурування та формування правил програми Snort. 2.2. Виконати в лабораторії 1. Встановити СВА Snort. Для перевірки працездатності СВА Snort рекомендується виконати наступні дії. 2. Вивести на екран список доступних мережевих інтерфейсів командою snort -W 3. Запустити Snort на обраному інтерфейсі в режимі аналізатора пакетів з виводом інформації на екран, вказавши програмі завершити роботу після прийому третього пакета: snort -v -i 1 -n 3 4. Виконати будь-які дії, які приведуть до відправлення або прийому мережевих пакетів (наприклад, відправити ехо-запит на будь-яку IP-адресу командою ping). Переконатися, що пакети перехоплюються й відображаються на екрані. 5. Створити в каталозі «\snort\etc» файл «my.conf», що містить наступні рядки: var HOME_NET <IP-адреса_СВА> var EXTERNAL_NET !$HOME_NET 6. Додати у файл «my.conf» правило, що дозволяє виявляти вхідні ECHO-запити. Перевірити, чи відбувається виявлення, запустивши СВА з каталогу «\snort\bin» наступною командою (з «командного рядка»): snort -i <інтерфейс> -c ../etc/my.conf -l ../log Для перевірки виконати кілька ECHO-запитів з іншого комп'ютера, використовуючи команду: ping <IP-адреса_СВА> 7. Доповнити файл «my.conf» правилами, зазначеними в табл. 3. 8. Доповнити файл «my.conf» наведеними вище рядками для настроювання препроцесора sfPortscan. З використанням утиліти nmap перевірити, чи відбувається виявлення спроб сканування портів вузла, що захищається. Використати наступні команди для запуску сканування: nmap <IP-адреса_СВА> -v -sT -p <діапазон_портів> – для сканування методом з повним циклом підключення (метод Connect) nmap <IP-адреса_СВА> -v -sS -p <діапазон_портів> – для сканування з неповним циклом підключення (метод SYN) nmap <IP-адреса_СВА> -v -sN -p <діапазон_портів> – для сканування за допомогою TCP-пакета зі скинутими прапорцями (метод NULL) nmap <IP-адреса_СВА> -v -sX -p <діапазон_портів> – для сканування за допомогою TCP-пакета з усіма встановленими прапорцями (метод XMAS РЕЗУЛЬТАТИ ВИКОНАННЯ РОБОТИ 4. ЗАВДАННЯ 4.1. Домашня підготовка до роботи Вивчити теоретичний матеріал. Вивчити порядок роботи, конфігурування та формування правил програми Snort. 4.2. Виконати в лабораторії 1. Встановити СВА Snort. Для перевірки працездатності СВА Snort рекомендується виконати наступні дії. 2. Вивести на екран список доступних мережевих інтерфейсів командою snort –W near@uplink:~$ sudo snort –W USAGE: snort [-options] <filter options> Options: -A Set alert mode: fast, full, console, test or none (alert file alerts only) "unsock" enables UNIX socket logging (experimental). -b Log packets in tcpdump format (much faster!) -B <mas...