it-swarm-id.com

Menguji pemasangan IDS Snort

Apa cara termudah untuk menguji IDS Snort setelah menginstal? Apakah menggunakan dan menulis aturan yang menangkap semua lalu lintas berfungsi?

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

Artinya, menggunakan aturannya sendiri.

Salah satu cara yang saya ketahui untuk menguji Snort adalah dengan menggunakan beberapa program seperti Nmap, Metasploit, dan sesuatu yang lain, tetapi bagaimana hal itu dapat dilakukan?

13
Mohsen Gh.

Ada dua hal berbeda yang mungkin ingin Anda uji.

  1. Apakah Snort berfungsi dalam arti berjalan, mampu mengendus trafik, mengujinya terhadap aturan, dan mengingatkan Anda ketika ada yang dipicu?
  2. Apakah Snort berfungsi dalam arti bahwa aturan yang ditetapkan saat ini mendeteksi gangguan tipe X yang spesifik?

Untuk menguji kasus 1, Anda membuat aturan yang mudah diaktifkan, seperti contoh Anda, dan jalankan. Untuk menguji kasus 2, Anda harus mencoba intrusi tipe X dan mengonfirmasi bahwa terdeteksi.

Anda tampaknya ingin menguji kasus 1 (bahwa pemasangan telah dilakukan dengan benar) menggunakan metode dalam kasus 2, tetapi Anda tidak perlu melakukannya. Menggunakan aturan "palsu" adalah tes yang benar-benar valid yang digunakan Snort dalam arti pertama. Dan itu lebih mudah. Tes mudah itu bagus. Anda tidak ingin bermain-main dengan Metasploit ketika Anda hanya memeriksa apakah email peringatan masuk ke orang yang tepat. Terutama jika Anda tidak terampil menjalankan intrusi - bagaimana jika Anda melakukan intrusi yang salah, dan mendapatkan hasil tes yang salah? Bagaimana jika upaya intrusi menabrak target (yang sangat mungkin terjadi pada banyak jenis intrusi).

Anda benar-benar hanya perlu menguji kasus 2, bahwa aturan tertentu bekerja melawan upaya intrusi nyata, jika Anda tidak mempercayai kumpulan aturan Anda (dalam hal ini - mengapa Anda menggunakannya?) Atau jika Anda mengembangkan aturan baru.

10
Graham Hill

Mungkin juga layak untuk melihat IDSWakeUp [Apr 2019: tautannya sudah mati].

IDSwakeup adalah kumpulan alat yang memungkinkan untuk menguji sistem deteksi intrusi jaringan.

Tujuan utama IDSwakeup adalah untuk menghasilkan serangan palsu yang meniru yang terkenal, untuk melihat apakah NIDS mendeteksi mereka dan menghasilkan positif palsu.

Seperti nidsbench, IDSwakeup sedang diterbitkan dengan harapan bahwa metodologi pengujian yang lebih tepat dapat diterapkan untuk deteksi intrusi jaringan, yang masih seni hitam yang terbaik.

9
Petey B

Untuk menguji apakah aturan default Anda berfungsi, dengan asumsi Anda telah mencabutnya dengan pullpork, oinkmaster, atau lainnya, Anda dapat menjelajah ke http://testmyids.com/ dari klien yang lalu lintasnya akan terlihat oleh IDS, melalui perangkat IDS Anda yang sejajar atau sebagai rentang port.

Respons http berisi teks berikut:

uid=0(root) gid=0(root) groups=0(root)

yang akan cocok dengan salah satu aturan mendengus default yang mencari "konten" yang berisi root. Ini adalah aturan lama untuk memeriksa eskalasi hak istimewa yang berhasil ketika penyerang menjalankan perintah tipe id atau whoami untuk memeriksa apakah ia memiliki akses root.

Berikut ini adalah blog (lama) yang juga membahas cara menguji dengusan: Bagaimana saya tahu jika implementasi Snort saya berfungsi? .

6
Mark Hillick

Aku tahu ini sudah tua tapi bagaimanapun aku akan membuang ini ...

Periksa snort -T

Switch ini dirancang untuk pertanyaan yang diajukan. Ini bawaan, Anda tidak perlu menggunakan aturan, Anda tidak perlu mengirim lalu lintas jahat (meskipun "dikontrol"), Anda tidak perlu mengirim apa saja lalu lintas. Bahkan akan memberi tahu Anda di mana masalah Anda.

2
user1801810

Pada 2019, tes Suricata/Snort paling kuat yang saya temukan adalah:

Dig a 3wzn5p2yiumh7akj.onion

Yang memicu aturan berikut dari emerging-trojan.rules :

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Cryptowall .onion Proxy Domain"; 
dns_query; content:"3wzn5p2yiumh7akj"; depth:16; nocase; 
reference:url,www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names; 
classtype:trojan-activity; sid:2022048; rev:2; metadata:created_at 2015_11_09, 
updated_at 2015_11_09;)

Latar belakang: tanda tangan yang disebutkan di atas sudah ketinggalan zaman dan kebanyakan dari mereka tidak mengandung spesifikasi aliran yang tepat yang akan membuat Snort atau Suricata buta terhadapnya. Juga untuk mencapai testmyids.com Anda memerlukan proxy yang berfungsi dan ini menambah kompleksitas. .onion Peringatan resolusi DNS tidak memerlukan koneksi Internet yang berfungsi karena dipicu oleh upaya semata-mata untuk menyelesaikan nama oleh klien.

0
kravietz