Phenquestions
Neste tutorial, os modos de alerta do Snort serão explicados para instruir o Snort a relatar incidentes de 5 maneiras diferentes (ignorando o modo “sem alerta”), rápido, completo, console, cmg e desbloquear.
Se você não leu os artigos mencionados acima e não tem experiência anterior com o snort, comece com o tutorial sobre instalação e uso do Snort e continue com o artigo sobre regras antes de continuar esta aula. Este tutorial assume que você já tem o Snort em execução.
Para ser, vamos afirmar que o Snort tem 6 modos de alerta:
Rápido: neste modo, o Snort relatará o carimbo de data / hora, mensagem de alerta, endereço IP de origem e porta e endereço IP de destino e porta. (-Um rápido)
Cheio: além do alerta de modo rápido, o modo completo inclui: TTL, pacote IP e comprimento do cabeçalho IP, serviço, tipo ICMP e número de sequência. (-Um cheio)
Console: imprime alertas rápidos no console. (-Um console)
Cmg: Este formato foi desenvolvido pelo Snort para fins de teste, ele imprime um alerta completo no console sem salvar relatórios nos logs. (-A cmg)
Desbloquear: exportar relatório para outros programas através do Unix Socket. (-Um desbloqueio)
Nenhum: Snort não gera alertas. (-Um nenhum)
Todos os modos de alerta são precedidos por um -UMA que é o parâmetro para alertas. Os alertas são salvos no log / var / log / snort / alert. As regras padrão do Snort são capazes de detectar atividades irregulares, como varredura de portas. Vamos testar cada modo de alerta:
Teste de alerta rápido:
snort -c / etc / snort / snort.conf -q -A rápido
Onde:
bufar= chama o programa
-c= caminho para o arquivo de configuração, neste caso o padrão (/ etc / snort / snort.conf)
-q= impede que o snort exiba informações iniciais
-UMA= define o modo de alerta, neste caso rápido.
Embora de um computador diferente eu iniciei uma varredura nmap nas 1000 portas principais, os alertas começaram a ser registrados / var / log / snort / alert.
Teste de alerta completo:
snort -c / etc / snort / snort.conf -q -A full
Onde:
bufar= chama o programa
-c= caminho para o arquivo de configuração, neste caso o padrão (/ etc / snort / snort.conf)
-q= impede que o snort exiba informações iniciais
-UMA= define o modo de alerta, neste caso completo.
Como você pode ver, o relatório fornece informações adicionais para o mais rápido.
Teste de alerta do console:
Com o teste de alerta do console, obteremos alertas impressos no console, para esta execução
snort -c / etc / snort / snort.conf -q -A console
Onde:
bufar= chama o programa
-c= caminho para o arquivo de configuração, neste caso o padrão (/ etc / snort / snort.conf)
-q= impede que o snort exiba informações iniciais
-UMA= define o modo de alerta, neste caso, console.
Como você pode ver, as informações impressas estão mais perto de um alerta rápido do que de um alerta completo.
Teste de alerta de cmg:
Agora vamos obter um relatório no console com as informações de um relatório completo e mais. Este modo foi desenvolvido para fins de teste e não registra resultados.
snort -c / etc / snort / snort.conf -q -A cmg
Onde:
bufar= chama o programa
-c= caminho para o arquivo de configuração, neste caso o padrão (/ etc / snort / snort.conf)
-q= impede que o snort exiba informações iniciais
-UMA= define o modo de alerta, neste caso cmg.
Para que o alerta de desbloqueio funcione, você precisará integrá-lo a um programa ou plug-in de terceiros.
O modo de alerta padrão do Snort é o modo completo, se você não precisa das informações adicionais de um jejum, um modo rápido aumentaria o desempenho.
Espero que este tutorial tenha ajudado a entender os modos de alerta do Snort.
