Журнал "Information Security/ Информационная безопасность" #1, 2021

которых можно связать один или несколько модулей (Plu- gin). Данные типы впослед- ствии возможно будет приме- нять как действия в правилах Snort. Следующее поле заголовка определяет протокол передачи данных. В настоящее время Snort способен различать и ана- лизировать всего несколько типов протоколов: TCP, UDP, ICMP, IP. Однако уже в бли- жайшем будущем разработчики постараются включить также протоколы ARP, IGRP, GRE, OSPF, RIP и др. После протокола указывают- ся соответствующие IP-адреса и порты. Здесь стоит отметить, что Snort не умеет определять адреса хостов по именам, а потому в правилах целесооб- разно указывать конкретные адреса или их диапазон. Заголовок "оператор" опре- деляет направление трафика для данного правила с указа- нием IP-адреса и порта источ- ника и получателя трафика. Помимо этого можно исполь- зовать оператор двунаправ- ленности, который определяет необходимость детектирования трафика от обеих сторон. Опции правил Опции правил являются ключевой частью правил Snort. Все опции можно условно раз- делить на несколько категорий: l General/meta-data – инфор- мация о правиле, не влияющая на детектирование; l Payload – опция, позволяю- щая просматривать поле дан- ных пакета; l Non-payload – опция для наблюдения за служебными полями пакета; l Post-detection – опция-триггер, указывающая на то, что требу- ется совершить после срабаты- вания правила. Более подробные инструкции по формированию правил стоит смотреть в официальной доку- ментации сообщества Snort 1 . Вспомогательные компоненты Barnyard2 По причине требований боль- ших ресурсов для записи собы- тий в консоль или в текстовый файл необходимо использова- ние базы данных MySQL для просмотра, поиска и фильтро- вания событий. Для того чтобы эффективно импортировать события Snort в базу данных MySQL, удобно использовать Barnyard2. После настройки Snort для вывода событий в двоичной форме Barnyard2 будет синхронно читать события и импортировать их в базу дан- ных MySQL. PulledPork PulledPork – скрипт, помогаю- щий Snort c загрузкой, установ- кой и обновлением наборов пра- вил из различных источников. PulledPork способен загружать несколько наборов правил, пото- му вы можете настроить его для загрузки бесплатного черного списка или же бесплатного набо- ра от сообщества Snort. Для этого необходимо создать учет- ную запись на ресурсе snort.org и получить после регистрации уникальный код Oinkcode, кото- рый позволит загружать новые наборы правил. Веб-интерфейс BASE Для удобного просмотра огромного количества опове- щений и алертов существует масса веб-интерфейсов. Однако самым лучшим вариантом, на мой взгляд, является BASE, поскольку он имеет гораздо более простой интерфейс и по- прежнему пользуется большой популярностью. BASE (Basic Analysis and Secu- rity Engine) – веб-интерфейс, который предназначен для ана- лиза и визуализации событий, обнаруженных с помощью СОВ Snort. BASE был основан на проекте ACID (Analysis Console for Intrusion Databases). l Заголовок правила Опции Действие Протокол IP-адреса Порт Оператор IP-адреса Порт Мета- Полезная Данные Правило отпра- отпра- получателя получателя данные нагрузка в заголовке реаги- вителя вителя рования Таблица 1. Структура правил Snort Рис. 2. Веб-интерфейс BASE Ваше мнение и вопросы присылайте по адресу is@groteck.ru 1 https://snort-org-site.s3.amazonaws.com/production/document_files Действие Описание alert Генерация оповещения с использованием указанного метода и передача информации о пакете в систему журналирования log Стандартное протоколирование информации о пакете pass Игнорирование поступающего трафика activate Генерация оповещения и включение указанного динамического правила dynamic Активация динамическим правилом Таблица 2. Основные действия правил Snort ТЕХНОЛОГИИ 46 • Более подробные инструкции по формирова- нию правил стоит смотреть в официальной документа- ции сообщества Snort. Для того чтобы эффек- тивно импортировать собы- тия Snort в базу данных MySQL, удобно использо- вать Barnyard2.