it-swarm-eu.dev

Testování instalace Snort IDS

Jaký je nejjednodušší způsob testování Snort IDS po instalaci? Použilo by se a napsat pravidlo, které zachycuje veškerou práci na dopravě?

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

To znamená, že používá vlastní pravidla.

Jedním ze způsobů, které vím pro testování Snorta, je použití některých programů, jako je Nmap, Metasploit, a něco jiného, ​​ale jak to lze udělat?

13
Mohsen Gh.

Můžete testovat dvě jemně odlišné věci.

  1. Funguje Snort v tom smyslu, že běží, je schopen čichat traficky, testovat je proti pravidlům a upozorňovat vás, když je spuštěn?
  2. Pracuje Snort v tom smyslu, že jeho aktuální sada pravidel detekuje konkrétní vniknutí typu X?

Chcete-li vyzkoušet případ 1, uděláte pravidlo, které lze snadno vystřelit, jako je váš příklad, a vyhodit ho. Chcete-li testovat případ 2, musíte se pokusit o vniknutí typu X a potvrdit, že je detekován.

Zdá se, že chcete testovat případ 1 (že instalace byla provedena správně) pomocí metody v případě 2, ale nemusíte. Použití pravidla „falešné“ je dokonale platnou zkouškou, kterou Snort pracuje v prvním smyslu. A je to snazší. Snadné testy jsou dobré. Nechcete se hádat s Metasploitem, když právě kontrolujete, že výstražné e-maily směřují ke správné osobě. Zvláště pokud nemáte zkušenosti s provozováním narušení - co když uděláte narušení špatně a dostanete falešný výsledek testu? Co když pokus o narušení cíle (což je velmi pravděpodobné u mnoha typů narušení).

Skutečně potřebujete pouze otestovat případ 2, že konkrétní pravidlo funguje proti skutečnému pokusu o narušení, pokud nedůvěřujete sadě pravidel (v tom případě - proč je používáte?) Nebo pokud vyvíjíte nová pravidla.

10
Graham Hill

Také by stálo za to se podívat na IDSWakeUp [duben 2019: odkaz je mrtvý].

IDSwakeup je kolekce nástrojů, které umožňují testovat systémy detekce narušení sítě.

Hlavním cílem IDSwakeup je generovat falešný útok napodobující známé, aby bylo možné zjistit, zda je NIDS detekuje a generuje falešně pozitivní.

Stejně jako nidsbench se IDSwakeup publikuje v naději, že pro detekci narušení sítě bude možné použít přesnější metodiku testování, což je stále černé umění.

9
Petey B

Chcete-li otestovat, že vaše výchozí pravidla fungují, za předpokladu, že jste je stáhli dolů pomocí pullporku, oinkmastera nebo něčeho jiného, ​​můžete jednoduše přejít na http://testmyids.com/ od klienta, jehož provoz bude vidět IDS, přes vaše IDS zařízení inline nebo jako rozpětí portů.

Odpověď http obsahuje následující text:

uid=0(root) gid=0(root) groups=0(root)

který bude odpovídat jednomu z výchozích pravidel pro snort, který hledá „obsah“ obsahující kořen. Toto je staré pravidlo pro kontrolu úspěšného eskalace oprávnění, když útočník spustí příkazy typu id nebo whoami a zkontroluje, zda má přístup root.

Zde je (starý) blog, který také diskutuje, jak otestovat snort: Jak zjistím, zda implementace Snort funguje? .

6
Mark Hillick

Vím, že je to staré, ale stejně to tam hodím ...

Překontrolovat snort -T

Tento přepínač je určen pro přesně položenou otázku. Je vestavěný, nemusíte opice s pravidly, nemusíte odesílat škodlivý provoz (i když je to „kontrolované“), nemusíte odesílat jakýkoli provoz. Dokonce vám řekne, kde jsou vaše problémy.

2
user1801810

Od roku 2019 jsem nejrobustnější test Suricata/Snort, který jsem našel, je:

Dig a 3wzn5p2yiumh7akj.onion

Která spouští následující pravidlo z emerging-trojan.rules :

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Cryptowall .onion Proxy Domain"; 
dns_query; content:"3wzn5p2yiumh7akj"; depth:16; nocase; 
reference:url,www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names; 
classtype:trojan-activity; sid:2022048; rev:2; metadata:created_at 2015_11_09, 
updated_at 2015_11_09;)

Souvislosti: výše uvedené podpisy jsou zastaralé a většina z nich neobsahuje řádnou specifikaci toku, díky které budou Snort nebo Suricata slepí. Také dosáhnout testmyids.com potřebujete funkční proxy, což zvyšuje složitost. The .onion Upozornění na rozlišení DNS však nevyžaduje funkční připojení k internetu, protože je spuštěno pouhým pokusem o přeložení názvu klientem.

0
kravietz