ЦЕПНЫЕ ПСЫ

Vitls (vitls@chat.ru)

Спецвыпуск Xakep, номер #032, стр. 032-022-3

3. Режим обнаружения вторжений. Этот режим является основным. snort -dev -l <log directory> -h <host|net> -c <config>

Snort очень выгодно отличается тем, что у администратора есть возможность составления своих собственных правил обнаружения. Это означает очень быструю реакцию на новые типы атак и появление защитных механизмов. В Сети есть много источников, с которых можно скачать наборы правил для snort.

TRYSENTRY

Самая простая, но не менее надежная система обнаружения вторжений состоит аж из трех программ. Все вместе это называется Trysentry, а компоненты по отдельности - Postsentry, Hostsentry и Logsentry. Все три программы самостоятельны и распространяются независимо. Разрабатывала их компания Psionic. Нынче же эту фирму на корню скупила компания Cisco Systems? и ссылка www.psionic.com ведет на сайт Cisco. Тем не менее, в Сети есть архивы, на которых что-то еще осталось. Поиск по слову portsentry.tar.gz (например, на сайте filesearch.ru) может дать тебе некий список.

Logsentry является утилитой контроля целостности системных журналов. Ничего сложного - следит за тем, чтобы в них без разрешения никто не лез.

Назначение программы hostsentry для меня осталось загадкой, на практике я ее так и не применил. Гораздо интереснее возиться с portsentry. Основная задача этой проги - отследить соединение к охраняемому порту, выявить тип соединения и принять меры по блокировке атакующего.

Программа существует в двух версиях: 1.1 и 2.0beta. После распаковки и сборки пакета (инструкция есть в файлах INSTALL и README) следует настроить сторожа. В файле portsentry.conf указываются номера портов, которые необходимо охранять по типам пакета (tcp, udp), способы реагирования на атаку (можно прибить маршрут командой route или применить пакетный фильтр ipchains/iptables). Практический пример есть на сайте http://ruwa.te.ru. В файле portsentry.ingore указываются сети и узлы, которые не являются атакующими. История атак хранится в файлах portsentry.history и portsentry.blocked.

Версия 1.1 (1.0) и 2.0 отличаются немного. Версию 1.0(1) нужно запускать два раза: отдельно для tcp и отдельно для udp. Во второй версии в конфиг добавлена возможность указать адрес контролируемого интерфейса, а также совмещен просмотр tcp и udp. В Сети полно статей по работе с portsentry. Поисковик тебе в зубы.

У данной IDS есть теоретический недостаток. Возможность использовать нестандартные параметры соединения с разрешенным портом. Так возникает возможность, к примеру, использовать http-туннелирования для передачи нелегального трафика. Snort в этом отношении гибче за счет настраиваемых правил отлова пакетов.

Теперь ты многое знаешь о том, что тебя подстерегает. И еще... IDS практически не обнаруживаются. По крайней мере сканерами портов. Лишь косвенным подтверждением может служить недоступность узла, который за секунду до сканирования был доступен.

IDS практически не обнаруживаются сканерами портов. Косвенным подтверждением может служить недоступность узла, который за секунду до сканирования был доступен.

У IDS есть теоретический недостаток. Возможность использовать нестандартные параметры соединения с разрешенным портом. Так возникает возможность, к примеру, использовать http-туннелирования для передачи нелегального трафика.