Во второй части этой статьи мы изучим, как построить мощные пакеты для анализа. Мы будем рассматривать средства Snort, Snortsnarf, widump, и winpcap. Также вам необходимо установить интерпретатор PERL, что будет показано ниже.
Если вы хотите увидеть другие статьи из этого цикла, пожалуйста, прочитайте:
Tools of the trade
В первой части статьи мы остановились на сборе некоторой ключевой информации, потому что она касается компьютерной безопасности. Это сканирование портов и различные их типы. Список, который мы представили вам в первой части статьи, не является исчерпывающим, но он наиболее общий. Поэтому я предлагаю вам исследовать несколько других расширенных методов сканирования, таких как сканирование фрагментированных пакетов, ftp bounce, dumb host, и другие, которые широко используются сегодня. В действительности, только ваше воображение и знание TCP/IP ограничивают вас в вашем исследовании новых и улучшенных техник сканирования.
Зная все это, с чего начать в попытках защитить свое компьютерное оборудование? К счастью сегодня, существует изобилие бесплатных средств в интернете. Они помогут вам проконтролировать поток информации, как к вашему компьютеру, так и от него. Как я упоминал в первой части этой статьи, большинство средств для обеспечения безопасности изначально появились на linux, но потом были перенесены также на win32. Как только началась успешная миграция средств, находчивые программисты начали придумывать различные новые стратегии. Особенно, почему программа ведет себя по разному на различных операционных системах? Наиболее выгодны программы, которые написаны на переносимом языке. Сразу же приходят на ум такие языки как PERL и Python. Одно из таких средств, на которое мы сегодня глянем — snortsnarf написано на PERL. В дополнение к snortsnarf мы также посмотрим snort и windump. Эти инструменты могут сформировать основу для мощного пакета для анализа. Хотя, для использования этих инструментов их необходимо сначала установить, но это несложная задача! Для тех из вас, кто предпочитает не устанавливать различные пакеты, я бы порекомендовал использовать Eagle X. Использование этого бесплатного средства избавить вас от установки Apache, PHP, MySQL, и ACID, из числа других программ, если вы еще не привыкли к работе такого типа.
Лично я рекомендую использовать snortsnarf, потому что это действительно хорошая программа. Хотя, если вы используете ее для разбора больших файлов, знайте, что она потребляет очень много оперативной памяти. Далее я перейду к установке snortsnarf на win32.
Выяснение зависимостей
Сперва, если на вашем компьютере не установлен PERL, я посоветую вам зайти сюда и загрузить версию 5.6.1. Snortsnarf не работает с версией 5.8.x, поэтому используйте вышеупомянутую версию 5.6.1. После того, как вы зарегистрировались, просто дважды щелкните на msi и следуйте инструкциям. Это совершенно безобидная задача. Теперь вам также необходимо загрузить три модуля; JulianDay.pm, ParseDate.pm, и Timezone.pm Они необходимы для корректной работы snortsnarf. Все три из них вы можете найти здесь. После того, как вы загрузили все эти три модуля, вам необходимо установить их: c:\perl\lib\time\
С установкой модулей для PERL мы закончили. Теперь вам необходимо загрузить snortsnarf, и я рекомендую вам установить его непосредственно в корневую директорию c:\. Просто запустите вашу копию winrar и откройте сжатый архив snortsnarf. После того как вы сделаете это, просто извлеките snortsnarf в папку c:\, как упоминалось ранее. Теперь вы установили snortsnarf. Чтобы убедиться, что все это работает, просто выполните следующую команду
C:\SnortSnarf-021111.1> snortsnarf –help
snortsnarf.pl { OPTION | FILE | user[:passwd][@dbname@host[:port] }
FILE is a text file containing snort alerts in full alert, fast alert, syslog,
portscan log, or portscan2 log format
user[:passwd][@dbname]@host[:port] is a Snort database
OPTION is one of the following:
-d <dir> Set the output directory to <dir>
-win Run in windows mode (required on Windows)
-hiprioisworse Consider higher priority #’s to indicate higher priority
-cgidir <URL> Indicate that SnortSnarf’s CGI scripts are in <URL>, for links
-homenet <net> Match <net> to snort -h <net>. For -ldir
-ldir <URL> Enable log linking; <URL> is base URL for the log files
-dns [<net>] Show hostnames for IPs, or only IPs in <net> (can be slow)
-rulesfile<file>Set base Snort rules to <file>. For sig. display and X-refs
-rulesdir <dir> Set current directory for rule files from -rulesfile
-rulesscanonce Save read Snort rules in memory. Might save CPU
-db <path>Enable annotations; <path> is full path to ann. file from CGI
То, что вы видите вверху, это результат выполнения команды help в snortsnarf. Теперь задайте ей в качестве параметра файл, сформированный snort -“alert.ids” :
C:\SnortSnarf-021111.1> snortsnarf –win –rs alert.ids
Пожалуйста, обратите внимание, что если вы не скопировали файл в alert.ids в директорию, где установлен snortsnarf, вам необходимо указать в командной строке относительный путь к файлу alert.ids.
Пакет sniffers и XP SP2
Теперь нам осталось установить только две вещи на компьютер, и это будет snort и windump. Вы также не должны забывать, что для работы windump вам необходим winpcap, который можно найти на том же сайте. Были отмечены проблемы при работе с Windows XP SP2. Лично у меня не получилось заставить работать windump на компьютере с XP SP2. У других, с более свежим пакетом обновлений для XP, конфликтов не возникало. Мне было бы интересно услышать ваше мнение на эту тему! Установить windump и winpcap действительно очень просто, достаточно следовать подсказкам. По умолчанию эти программы устанавливается в корневую папку c:\.
Теперь мы готовы непосредственно к установке snort. Эта программа также совершенно безобидна для установки, т.к. проходит вместе с msi. Просто дважды щелкните на ней и следуйте инструкциям. По умолчанию она также устанавливается в c:\. И опять, при установке на ХР с SP2 у меня возникли проблемы, которые я не смог решить, однако у других все получилось.
Snort без сомнения одна из лучших систем обнаружения атак на сегодняшний день. И все это абсолютно бесплатно! Большое спасибо Marty Roesch и всем, кто помог сделать Snort таким, каким мы видим его сегодня. Существует большое количество учебных материалов по использованию Snort, и я не хочу вдаваться в детали здесь. Достаточно будет сказать, что все, что вам надо, это получить его из запустить, выполнив следующее:
После того, как вы установили его, перейдите с помощью командной строки в директорию c:\snort\bin\ Отсюда, вы можете вызвать файл snort.exe, указав полный относительный путь к файлу snort.conf. В противном случае, вам необходимо внести некоторые изменения в файл snort.conf, что я не советую делать, пока вы полностью не разберетесь что к чему.
Теперь все программы установлены, и на этом мы закончим эту часть статьи. Далее в третьей части вы увидите синтаксис использования для snort и snortsnarf. Если у вас появятся какие-то проблемы – не беспокойтесь – правильный синтаксис мы вам покажем. До встречи!
Источник www.windowsecurity.com
Tags: apache, cgi, dns, ftp, linux, mysql, redirect, SQL, Windows XP