Действия правил

Структура правил

Var HTTP_PORTS 8080.

Файл конфигурации snort.conf

В дистрибутиве СОВ Snort уже имеется готовый шаблон файла конфигурации. В файле используются переменные, в том числе встречающиеся в правилах. Это довольно удобно: при смене какого-либо параметра затем не придется его переписывать несколько раз. Кроме того, некоторые опции вынесены во внешние файлы, которые подключаются директивой include с именем файла. Все параметры снабжены комментариями, начинающимися традиционно со знака решетки. Для удобства восприятия файл разбит на шесть частей:

- установка переменных;

- указание динамически подгружаемых библиотек;

- настройка препроцессоров;

- настройка вывода информации;

- установка дополнительных директив;

- модификация правил.

Параметр HOME_NET определяет IP-адреса, которые СОВ Snort будет считать «домашними» (то есть защищаемыми). Возможно задание отдельного адреса или диапазона. Если требуется указать несколько адресов, то они перечисляются через запятую. Ключевое слово ANY означает любой адрес. Например:

var HOME_NET 192.168.1.0/24;

var HOME_NET [10.1.1.0/24,192.168.1.0/24].

Параметр EXTERNAL_NET указывает на внешние узлы. По умолчанию значение данного параметра установлено в ANY. Вместо данного значения можно указать, что все, не являющееся домашними IP-адресами, будет внешним:

var EXTERNAL_NET!$HOME_NET.

Далее в конфигурационном файле идет список серверов (DNS, SMTP, web, SQL, Telnet и SNMP), используемых в сети. Можно оставить без изменений, то есть $HOME_NET, или указать конкретный IP-адрес(а).

Далее задаются номера портов, используемых серверами. Это позволяет СОВ Snort не распылять ресурсы, а искать атаку более конкретно (прицельно). Необходимо обратить внимание, что номер порта может быть задан как единичный (80) и как непрерывный (80:8080). Поэтому, если web-сервер использует два порта, то писать необходимо так:

var HTTP_PORTS 80;

Модель правил можно представить следующим образом:

<действие_правила> <протокол> <IP-адрес отправителя> <порт> <опера-тор_направления> < IP-адрес получателя> <порт> ([мета_данные] [да-ные_о_содержимом_пакета] [данные_в_заголовке] [дей-ствие_после_обнаружения])

Действия правил делятся на следующие категории:

- alert – создать предупреждение, используя выбранный метод, и передать ин-формацию системе журналирования;

- log – использовать систему журналирования для записи информации о пакете;

- pass – игнорировать пакет;

- activate – использовать другое динамическое правило;

- dynamic – после того, как выполнится активное правило, задействуется прави-ло с процедурой журналирования;

- drop – отбросить пакет, используя программный межсетевой экран, и передать информацию системе журналирования. Работает только в режиме inline;

- sdrop – отбросить пакет при помощи программного брандмэуера и не исполь-зовать систему журналирования. Работает только в режиме inline;

- reject – используя брандмэуер, отбросить пакет в том случае, если протокол TCP, или же записать в файл журнала сообщение: ICMP порт недоступен, если па-кет приходит по протоколу UDP. Работает только в режиме inline.

Дата добавления: 2017-02-01; Просмотров: 61; Нарушение авторских прав?; Мы поможем в написании вашей работы!