Инструменты пользователя

Инструменты сайта


snort

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

snort [2019/11/10 19:35] (текущий)
Строка 1: Строка 1:
 +=====Детектор атак=====
  
 +====Общие положения====
 +
 +**Детектор атак** - программное средство для выявления некоторых видов вредоносной активности,​ которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов,​ атаки, направленные на повышение привилегий,​ неавторизованный доступ к важным файлам,​ а также действия вредоносного программного обеспечения.
 +Функция детектора атак в Интернет Контроль Сервере реализуется с помощью свободной сетевой системы обнаружения вторжений с открытым исходным кодом Snort.
 +
 +{{::​ics-snort-main.png|Детектор атак::​}}
 +
 +При входе в модуль отображается его состояние,​ кнопка «Выключить» (или «Включить» если модуль выключен) и последние сообщения в журнале.
 +
 +====Настройки====
 +
 +{{::​ics-snort-setup.png|Настройки::​}}
 +
 +Во вкладке настроек можно редактировать параметры работы детектора атак. Здесь можно указать внутренние,​ внешние сети, диапазоны адресов различных серверов,​ а также используемые порты. Всем этим переменным присвоены значения по умолчанию,​ с которыми детектор атак может корректно запуститься. По умолчанию,​ анализируется трафик на внешних интерфейсах.
 +
 +====Правила====
 +
 +{{::​ics-snort-rules.png|Правила::​}}
 +
 +Детектору атак можно подключать правила,​ с помощью которых он будет анализировать трафик. Все правила разбиты на три категории:​ правила с сайта snort.org, прекомпилированные правила с сайта snort.org и правила Emerging Threats. ​ На данной вкладке можно посмотреть наличие и содержимое того или иного файла с правилами,​ а также включить или выключить его действие (с помощью флажков справа). В правом верхнем углу распологается поиск по названию или по количеству правил в файле.
 + 
 +====Обновления====
 +
 +{{::​ics-snort-update.png|Обновления::​}}
 +
 +Существует 2 компании,​ которые занимаются разработкой правил для системы предотвращения вторжений Snort. Первая - Sourcefire. Чтобы скачать разработанные ими правила,​ необходимо:​
 +
 +  * Зарегистрироваться на сайте Snort.org (при необходимости стать подписчиком на обновления правил),​
 +  * Получить Oinkcode для скачивания правил,​
 +  * Ввести код в поле "​Код для Oinkmaster",​
 +  * Отметить следующий за этим полем флажок в том случае,​ если вы действительно стали подписчиком на обновления правил,​
 +  * Сохранить;​
 +
 +Правила можно скачать при условии наличия одно лишь кода. Обратите внимание на отличия прав подписчика от обычного зарегистрированного пользователя.
 +После удачного скачивания правил от данного разработчика,​ они будут отображаться во вкладке "​Правила"​ без пометки (не загружено).
 +
 +Второе сообщество называется Emerging Threats. Для того, чтобы скачать правила от этого разработчика,​ достаточно поставить галку "​Устанавливать правила Emerging Threats"​ и сохранить изменения.
 +
 +Ещё один параметр,​ который можно настроить в этом разделе - это возможность ежедневно проверять обновления правил,​ которые были загружены. По умолчанию,​ установлено значение "​истина",​ при необходимости его можно изменить.
 +
 +После того, как всё настроено,​ можно нажимать кнопку "​Обновить сейчас"​.
 +
 +====Фильтры====
 +
 +{{::​ics-snort-filter-mess.png|Фильтры::​}}
 +
 +Для того, чтобы настроить ограничения в выводе предупреждений детектором атак, необходимо перейти на вкладку "​Фильтры"​. Здесь можно добавить следующие ограничения:​
 +
 +  * фильтр по количеству сообщений,​
 +  * фильтр сообщений по частоте появления,​
 +  * фильтр смешанного типа,
 +  * запрет на сообщения определённого типа;
 +
 +{{::​ics-snort-filters.png|Фильтры::​}}
 +
 +При настройке необходимо помнить,​ что поле "Id правила"​ в различных фильтрах должно быть различным.
 +
 +====Журнал====
 +
 +В закладке «Журнал» находится сводка всех системных сообщений от FTP-сервера. Журнал разделен на страницы,​ кнопками «вперед» и «назад» вы можете переходить со страницы на страницу,​ либо ввести номер страницы в поле и переключиться сразу на нее.
 +
 +Во вкладке журнал можно наблюдать работу сервиса. С течением времени там будут отображаться сообщения о различных событиях,​ замеченных детектором атак. У каждого такого события есть проиритет,​ и вы сможете фильтровать сообщения на этой вкладке по этому параметру. Выбрав одно из значений в выпадающем списке,​ можно увидеть все сообщения о событиях,​ приоритет которых выше или равен установленному. По умолчанию показываются все сообщения.
 +
 +Журнал может быть очищен с помощью функции отчистки системных логов, которая находится в модуле "​Система"​->"​Удаление данных"​.
 +
 +В правом верхнем углу модуля находится строка поиска. С ее помощью вы можете искать в журнале нужные вам записи.
 +
 +Журнал всегда отображает события за текущую дату. Чтобы посмотреть события в другой день, выберите нужную дату, используя календарь в левом верхнем углу модуля.
snort.txt · Последние изменения: 2019/11/10 19:35 (внешнее изменение)