it-swarm-eu.dev

Testen der Snort IDS-Installation

Was ist der einfachste Weg, um Snort IDS nach der Installation zu testen? Würde die Verwendung und das Schreiben einer Regel, die den gesamten Datenverkehr erfasst, funktionieren?

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

Das heißt, mit eigenen Regeln.

Eine Möglichkeit, die ich zum Testen von Snort kenne, besteht darin, einige Programme wie Nmap, Metasploit und etwas anderes zu verwenden, aber wie kann das gemacht werden?

13
Mohsen Gh.

Es gibt zwei subtil unterschiedliche Dinge, die Sie testen möchten.

  1. Funktioniert Snort in dem Sinne, dass es läuft, in der Lage ist, Verkehr zu schnüffeln, ihn anhand der Regeln zu testen und Sie zu benachrichtigen, wenn einer ausgelöst wird?
  2. Funktioniert Snort in dem Sinne, dass der aktuelle Regelsatz einen bestimmten Eingriff vom Typ X erkennt?

Um Fall 1 zu testen, erstellen Sie eine Regel, die wie Ihr Beispiel leicht zu feuern ist, und feuern sie. Um Fall 2 zu testen, müssen Sie einen Eingriff vom Typ X versuchen und bestätigen, dass er erkannt wurde.

Sie möchten anscheinend Fall 1 (dass die Installation korrekt durchgeführt wurde) mit der Methode in Fall 2 testen, müssen dies aber nicht. Die Verwendung einer "gefälschten" Regel ist ein absolut gültiger Test dafür, dass Snort im ersten Sinne funktioniert. Und es ist einfacher. Einfache Tests sind gut. Sie möchten nicht mit Metasploit herumspielen, wenn Sie nur überprüfen, ob die Benachrichtigungs-E-Mails an die richtige Person gesendet werden. Vor allem, wenn Sie nicht in der Lage sind, Intrusionen auszuführen - was ist, wenn Sie die Intrusion falsch machen und ein falsches Testergebnis erhalten? Was ist, wenn der Angriffsversuch das Ziel zum Absturz bringt (was bei vielen Arten von Eindringlingen sehr wahrscheinlich ist)?

Sie müssen wirklich nur Fall 2 testen, dass eine bestimmte Regel einem echten Angriffsversuch entgegenwirkt, wenn Sie Ihrem Regelsatz nicht vertrauen (in welchem ​​Fall - warum verwenden Sie ihn?) Oder wenn Sie neue Regeln entwickeln.

10
Graham Hill

Es könnte sich auch lohnen, einen Blick auf IDSWakeUp zu werfen [April 2019: Link ist tot].

IDSwakeup ist eine Sammlung von Tools, mit denen Systeme zur Erkennung von Netzwerkeinbrüchen getestet werden können.

Das Hauptziel von IDSwakeup ist es, falsche Angriffe zu generieren, die bekannte Angriffe imitieren, um festzustellen, ob NIDS sie erkennt und falsch positive Ergebnisse generiert.

Wie nidsbench wird IDSwakeup in der Hoffnung veröffentlicht, dass eine genauere Testmethode auf die Erkennung von Netzwerkeinbrüchen angewendet werden kann, die bestenfalls noch eine schwarze Kunst ist .

9
Petey B

Um zu testen, ob Ihre Standardregeln funktionieren, können Sie einfach von einem Client, dessen Datenverkehr, zu http://testmyids.com/ navigieren, vorausgesetzt, Sie haben sie mit Pulledpork, Oinkmaster oder etwas anderem heruntergezogen wird vom IDS angezeigt, indem Ihr IDS-Gerät inline ist oder als Portspanne.

Die http-Antwort enthält den folgenden Text:

uid=0(root) gid=0(root) groups=0(root)

dies entspricht einer der Standard-Snort-Regeln, die nach "Inhalten" suchen, die root enthalten. Dies ist eine alte Regel, um zu überprüfen, ob Berechtigungen erfolgreich eskaliert wurden, wenn ein Angreifer die Befehle vom Typ id oder whoami ausführt, um zu überprüfen, ob er über Root-Zugriff verfügt.

Hier ist ein (alter) Blog, in dem auch erläutert wird, wie Snort getestet wird: Woher weiß ich, ob meine Snort-Implementierung funktioniert? .

6
Mark Hillick

Ich weiß, dass das alt ist, aber ich werde es trotzdem rauswerfen ...

Auschecken snort -T

Dieser Schalter ist genau für die gestellte Frage ausgelegt. Es ist integriert, Sie müssen keine Affen mit Regeln, Sie müssen keinen böswilligen Verkehr senden (obwohl es "kontrolliert" ist), Sie müssen keinen irgendeinen Verkehr senden. Wird Ihnen sogar sagen, wo Ihre Probleme sind.

2
user1801810

Ab 2019 ist der robusteste Suricata/Snort-Test, den ich gefunden habe:

Dig a 3wzn5p2yiumh7akj.onion

Was die folgende Regel von emergent-trojan.rules auslöst:

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Cryptowall .onion Proxy Domain"; 
dns_query; content:"3wzn5p2yiumh7akj"; depth:16; nocase; 
reference:url,www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names; 
classtype:trojan-activity; sid:2022048; rev:2; metadata:created_at 2015_11_09, 
updated_at 2015_11_09;)

Hintergrund: Die oben genannten Signaturen sind veraltet und die meisten enthalten keine ordnungsgemäße Flussspezifikation, wodurch Snort oder Suricata für sie blind werden. Um testmyids.com Zu erreichen, benötigen Sie einen funktionierenden Proxy, was die Komplexität erhöht. Die DNS-Auflösungswarnung .onion Erfordert jedoch keine funktionierende Internetverbindung, da sie durch einen bloßen Versuch ausgelöst wird, den Namen vom Client aufzulösen.

0
kravietz