In questo tutorial verranno spiegate le modalità di avviso di Snort per istruire Snort a segnalare gli incidenti in 5 modi diversi (ignorando la modalità "nessun avviso"), veloce, completo, console, cmg e unsock.
Se non hai letto gli articoli sopra menzionati e non hai esperienza precedente con snort inizia con il tutorial sull'installazione e l'utilizzo di Snort e continua con l'articolo sulle regole prima di continuare questa lezione. Questo tutorial presuppone che tu abbia già Snort in esecuzione.
Per essere diciamo che Snort ha 6 modalità di avviso:
Veloce: in questa modalità Snort riporterà il timestamp, il messaggio di avviso, l'indirizzo IP di origine e la porta e l'indirizzo IP e la porta di destinazione. (-un veloce)
Pieno: oltre all'avviso in modalità veloce, la modalità completa include: TTL, pacchetto IP e lunghezza dell'intestazione IP, servizio, tipo ICMP e numero di sequenza. (-Un pieno)
Console: stampa avvisi veloci nella console. (-una console)
cmq: Questo formato è stato sviluppato da Snort a scopo di test, stampa un avviso completo sulla console senza salvare i report sui log. (-un cmg)
Slacciare: esportare report in altri programmi tramite Unix Socket. (-Un calzino)
Nessuna: Snort non genererà avvisi. (-uno nessuno)
Tutte le modalità di avviso sono precedute da a -UN che è il parametro per gli avvisi. Gli avvisi vengono salvati nel registro /var/log/snort/alert. Le regole predefinite di Snort sono in grado di rilevare attività irregolari come la scansione delle porte. Testiamo ogni modalità di avviso:
Test di avviso rapido:
snort -c /etc/snort/snort.conf -q -A veloce
Dove:
sbuffare= chiama il programma
-c= percorso del file di configurazione, in questo caso quello predefinito (/etc/snort/snort.conf)
-q= impedisce a snort di visualizzare le informazioni iniziali
-UN= definisce la modalità di avviso, in questo caso veloce.
Mentre da un altro computer ho avviato una scansione nmap contro le prime 1000 porte, gli avvisi hanno iniziato a essere registrati su /var/log/snort/alert.
Test di allerta completo:
snort -c /etc/snort/snort.conf -q -A full
Dove:
sbuffare= chiama il programma
-c= percorso del file di configurazione, in questo caso quello predefinito (/etc/snort/snort.conf)
-q= impedisce a snort di visualizzare le informazioni iniziali
-UN= definisce la modalità di avviso, in questo caso piena.
Come vedi il rapporto fornisce informazioni aggiuntive a quello veloce.
Test di avviso della console:
Con il test degli avvisi della console otterremo gli avvisi stampati nella console, per questa esecuzione
snort -c /etc/snort/snort.conf -q -A console
Dove:
sbuffare= chiama il programma
-c= percorso del file di configurazione, in questo caso quello predefinito (/etc/snort/snort.conf)
-q= impedisce a snort di visualizzare le informazioni iniziali
-UN= definisce la modalità di avviso, in questo caso console.
Come vedi, le informazioni stampate sono più vicine a un avviso rapido che a uno completo.
Test di avviso Cmg:
Ora otteniamo un report nella console con le informazioni di un report completo e altro. Questa modalità è stata sviluppata a scopo di test e non registra i risultati.
snort -c /etc/snort/snort.conf -q -A cmg
Dove:
sbuffare= chiama il programma
-c= percorso del file di configurazione, in questo caso quello predefinito (/etc/snort/snort.conf)
-q= impedisce a snort di visualizzare le informazioni iniziali
-UN= definisce la modalità di avviso, in questo caso cmg.
Affinché l'avviso di sgancio funzioni, dovrai integrarlo in un programma o plug-in di terze parti.
La modalità di avviso predefinita di Snort è la modalità completa, se non hai bisogno delle informazioni aggiuntive di un veloce, una modalità veloce aumenterebbe le prestazioni.
Spero che questo tutorial abbia aiutato a capire le modalità di avviso di Snort.