Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Novija izmjena 		Starija izmjena
racfor_wiki:seminari2023:ids_sustav_snort [2024/01/18 15:37]
lcigula stvoreno 		racfor_wiki:seminari2023:ids_sustav_snort [2024/12/05 12:24] (trenutno)
Redak 2: Redak 2:
 ===== IDS Sustav Snort ===== ===== IDS Sustav Snort =====
  
 +[[https://ferhr-my.sharepoint.com/:v:/g/personal/lc50965_fer_hr/EX-EiWdePtdCtFJQU_ZdH5gBibfjt-7lsIlBwlu0d_XpUA?e=3xWPwH&nav=eyJyZWZlcnJhbEluZm8iOnsicmVmZXJyYWxBcHAiOiJTdHJlYW1XZWJBcHAiLCJyZWZlcnJhbFZpZXciOiJTaGFyZURpYWxvZy1MaW5rIiwicmVmZXJyYWxBcHBQbGF0Zm9ybSI6IldlYiIsInJlZmVycmFsTW9kZSI6InZpZXcifX0%3D|Videoprezentacija]]
  
 ===== Sažetak ===== ===== Sažetak =====
Redak 12: Redak 12:
  
 Snort je besplatan alat otvorenog koda koji se koristi kao sustav za otkrivanje (engl. Intrusion Detection System) i prevenciju upada (engl. Intrusion Prevention System) u mrežu.  Kao sustav za otkrivanje upada, Snort analizira IP pakete u stvarnom vremenu kroz sustav potpisa i pravila te ispisuje relevantne podatke na korisničko sučelje ili ih zapisuje u dnevnike za daljnju analizu. Kao sustav za prevenciju upada Snort primjenjuje sustav akcija koje definira korisnik sukladno analiziranom prometu te tako prevenira maliciozno ponašanje prema mreži [1].   Snort je besplatan alat otvorenog koda koji se koristi kao sustav za otkrivanje (engl. Intrusion Detection System) i prevenciju upada (engl. Intrusion Prevention System) u mrežu.  Kao sustav za otkrivanje upada, Snort analizira IP pakete u stvarnom vremenu kroz sustav potpisa i pravila te ispisuje relevantne podatke na korisničko sučelje ili ih zapisuje u dnevnike za daljnju analizu. Kao sustav za prevenciju upada Snort primjenjuje sustav akcija koje definira korisnik sukladno analiziranom prometu te tako prevenira maliciozno ponašanje prema mreži [1].  
- 
  
  
Redak 19: Redak 18:
 ===== Arhitektura ===== ===== Arhitektura =====
  
-Snort je dizajniran za prihvat maksimalne količine podataka te njihovu obradu, bez da kompromitira brzinu mreže ili zauzima preveliku količinu resursa. Njegova arhitektura je modularna te je svaka komponenta samostalna, a sve komponentne tvore cjelinu primarno komunikacijom preko programskog API-a.+Snort je dizajniran za prihvat maksimalne količine podataka te njihovu obradu, bez da kompromitira brzinu mreže ili zauzima preveliku količinu resursa. Njegova arhitektura je modularna te je svaka komponenta samostalna, a sve komponentne tvore cjelinu primarno komunikacijom preko programskog API-a [2].
  
 __Osluškivač__ (engl. Sniffer) služi za skupljanje samih paketa s mreže kao svojevrstan ulaz u aplikativni složaj. On je usko vezan uz mrežno sučelje na kojem se promet osluškuje. U IDS konfiguraciji mrežno sučelje se postavlja u promiskuitetan modus rada kako bi se prihvaćali svi paketi s mreže. __Osluškivač__ (engl. Sniffer) služi za skupljanje samih paketa s mreže kao svojevrstan ulaz u aplikativni složaj. On je usko vezan uz mrežno sučelje na kojem se promet osluškuje. U IDS konfiguraciji mrežno sučelje se postavlja u promiskuitetan modus rada kako bi se prihvaćali svi paketi s mreže.
Redak 28: Redak 27:
  
 __Sustav za zapisivanje ili upozorenje__ (engl. Alerts/Logging System) služi za stvaranje konačnog rezultata analize u vidu upozorenja ili dnevničkog zapisa. __Sustav za zapisivanje ili upozorenje__ (engl. Alerts/Logging System) služi za stvaranje konačnog rezultata analize u vidu upozorenja ili dnevničkog zapisa.
 +
 +Dijagram arhitekture samog složaja prikazan je na Slici 1.
 +
 +{{ :racfor_wiki:seminari2023:snort_architecture.png?400 |}}
 +                    Slika 1. Arhitektura Snort složaja
  
 Ovisno o implementaciji u arhitekturu sustava, Snort može obnašati dvije dužnosti: Ovisno o implementaciji u arhitekturu sustava, Snort može obnašati dvije dužnosti:
   * Sustava za otkrivanje upada   * Sustava za otkrivanje upada
   * Sustava za prevenciju upada   * Sustava za prevenciju upada
 +
 +
  
 ==== Snort kao IDS ==== ==== Snort kao IDS ====
  
-Snort primarno obnaša dužnost sustava za otkrivanje upada. To podrazumijeva nadzor mreže u stvarnom vremenu te zapisivanje u dnevnike ili upozoravanje korisnika prilikom događaju koji zadovoljavaju unaprijed definirana pravila. Snort se može koristiti u svojoj izvornoj formi u kojoj se dnevnici spremaju u ///var/log// direktorij, a upozorenja se ispisuju na standardni izlaz ljuske operacijskog sustava. Uobičajeno je koristiti Snort uz NoSQL bazu poput Elasticsearcha u koju se spremaju dnevnički zapisi, kako bi se olakšalo baratanje velikom količinom informacija. Također, moguće je integrirati Snort s drugim alatima poput Simple Watcher ili Syslog kako bi se proširila funkcionalnost upozoravanja. Snort nudi i mogućnost API-a kroz koji se mogu implementirati i proizvoljna rješenja poput primjerice okidanja komande ili skripte prilikom nekog događaja.+Snort primarno obnaša dužnost sustava za otkrivanje upada. To podrazumijeva nadzor mreže u stvarnom vremenu te zapisivanje u dnevnike ili upozoravanje korisnika prilikom događaju koji zadovoljavaju unaprijed definirana pravila. Snort se može koristiti u svojoj izvornoj formi u kojoj se dnevnici spremaju u ///var/log// direktorij, a upozorenja se ispisuju na standardni izlaz ljuske operacijskog sustava. Uobičajeno je koristiti Snort uz NoSQL bazu poput Elasticsearcha u koju se spremaju dnevnički zapisi, kako bi se olakšalo baratanje velikom količinom informacija. Također, moguće je integrirati Snort s drugim alatima poput Simple Watcher ili Syslog kako bi se proširila funkcionalnost upozoravanja. Snort nudi i mogućnost API-a kroz koji se mogu implementirati i proizvoljna rješenja poput primjerice okidanja komande ili skripte prilikom nekog događaja [3].
  
-Ukoliko je Snort u IDS konfiguraciji tada je preporučljivo da se nalazi na vanjskim rubovima mreže, odmah iza vatrozida. U ovom modu rada, dovoljno je na uređaj na kojem je Snort aktivan slati kopiju mrežnog prometa kako se ne bi stvaralo dodatno zagušenje mreže.+Ukoliko je Snort u IDS konfiguraciji tada je preporučljivo da se nalazi na vanjskim rubovima mreže, odmah iza vatrozida, kako je prikazano na Slici 2. U ovom modu rada, dovoljno je na uređaj na kojem je Snort aktivan slati kopiju mrežnog prometa kako se ne bi stvaralo dodatno zagušenje mreže.
  
 +{{ :racfor_wiki:seminari2023:snort_as_ids.png?400 |}}
 +             Slika 2. Arhitektura mreže u kojoj je snort u IDS konfiguraciji
  
 ==== Snort kao IPS ==== ==== Snort kao IPS ====
  
-Snort može obnašati dužnost sustava za prevenciju upada. Takvi sustavi podrazumijevaju tehnologiju (ili skup tehnologija) koji konstantno nadziru mrežu te identificiraju prijetnje koje se zatim otklanjaju definiranim pravilima i politikama. Sustavi za prevenciju upada nužno uključuju i sustave za otkrivanje upada s obzirom na to da je za primjenu pravila prvo potrebno razumijevanje sadržaja samog paketa. https://www.fortinet.com/resources/cyberglossary/what-is-an-ips +Snort može obnašati dužnost sustava za prevenciju upada. Takvi sustavi podrazumijevaju tehnologiju (ili skup tehnologija) koji konstantno nadziru mrežu te identificiraju prijetnje koje se zatim otklanjaju definiranim pravilima i politikama. Sustavi za prevenciju upada nužno uključuju i sustave za otkrivanje upada s obzirom na to da je za primjenu pravila prvo potrebno razumijevanje sadržaja samog paketa [4]
  
-Kako bi Snort radio kao IPS potrebno ga je konfigurirati u linijsku (engl. Inline) arhitekturu. U takvoj arhitekturi uređaj na kojem je Snort aktivan mora imati dva mrežna sučelja kako bi kroz njega aktivno prolazili izvorni paketi koji se onda po potrebi mogu odbaciti. +Kako bi Snort radio kao IPS potrebno ga je konfigurirati u linijsku (engl. Inline) arhitekturu, prikazanu na Slici 3. U takvoj arhitekturi uređaj na kojem je Snort aktivan mora imati dva mrežna sučelja kako bi kroz njega aktivno prolazili izvorni paketi koji se onda po potrebi mogu odbaciti [5]
  
 +{{ :racfor_wiki:seminari2023:snort_as_ips.png?400 |}}
 +           Slika 3. Arhitektura mreže u kojoj je snort u IPS konfiguraciji
  
 ===== Struktura pravila ===== ===== Struktura pravila =====
  
-Kako bi Snort mogao implementirati funkcionalnosti opisane u prethodna dva poglavlja, korisnik unaprijed mora definirati politike i pravila po kojima će se ponašati. Svako od pravila primjenjuje se na uhvaćene pakete (ili na korespondirajući mrežni tok) te se njihovim nadziranjem definiraju potrebne akcije.+Kako bi Snort mogao implementirati funkcionalnosti opisane u prethodna dva poglavlja, korisnik unaprijed mora definirati politike i pravila po kojima će se ponašati. Svako od pravila primjenjuje se na uhvaćene pakete (ili na korespondirajući mrežni tok) te se njihovim nadziranjem definiraju potrebne akcije [6].
 Pravila se sastoje od dvije cjeline:  Pravila se sastoje od dvije cjeline: 
   * Zaglavlja   * Zaglavlja
Redak 78: Redak 88:
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[https://hr.wikipedia.org/wiki/]]+[1] [[https://www.academia.edu/download/32524356/171-654-1-PB.pdf|Kumar, V., Sangwan, O., P. (Studeni 2012.). Signature Based Intrusion Detection System Using SNORT. International Journal of Computer Applications & Information Technology]] 
 + 
 +[2] [[https://books.google.hr/books?id=ZI1sfn4eJ8oC&lpg=PR3&dq=snort&lr&pg=PR3#v=onepage&q=snort&f=false|Baker, A., R., Elser, J. (2012.). Snort-IDS and IPS Toolkit. Syngress Publishing]]
  
 +[3] [[https://books.google.hr/books?id=1WKrLbh23LAC&lpg=PA1&ots=5s1656OJ8B&dq=snort&lr&pg=PA27#v=onepage&q=snort&f=false|Rehman, U., R. (2003.). Intrusion Detection Systems with Snort. Pearson Education]]
  
 +[4] [[https://www.fortinet.com/resources/cyberglossary/what-is-an-ips|What is Intrusion Prevention System?. Fortinet.]]
  
 +[5] [[https://openmaniak.com/inline_bridge.php|What is Snort Inline? Openmaniak.]]
  
 +[6] [[https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/snort-rules/|Snort Rules. (Travanj 2023.) Crowdstrike.]]
racfor_wiki/seminari2023/ids_sustav_snort.1705592251.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0