Intrusion Detection
Angabe von Quelle und Ziel
Die Angabe einer Netzwerkadresse und eines Ports in Bezug auf die Quelle des Paketes mit anschließender Angabe der Destination erfolgt vor beziehungsweise nach dem Pfeil. Dabei steht "any" immer für einen beliebigen Wert.
msge, content und reference:
– "msg" gibt die Logmeldung aus, "content" legt die Werte, die im Paket enthalten sein müssen, fest, wobei entweder auf in Pipes gestellte Hex-Werte oder auch direkt auf ASCII-Zeichen, also beispielsweise "HEAD / HTTP/1.0", zurückgegriffen werden kann.
Referenzen bieten Ihnen die Möglichkeit, sich über eine Angriffsform zu informieren. Diese Referenzen werden explizit in den Logmeldungen, in der Regel durch Links zu den Problembeschreibungen in Bugtraq ausgegeben.
– "classtype" spezifiziert die Priorität der Regel, wobei zahlreiche Angaben mit verschiedenen Zwecken und der Priorität "high", "medium" oder "low" existieren. Diese Angaben sind in einer recht langen Tabelle im Snort-Manual zu finden.
– "sid" spezifiziert einen Eintrag in der so genannten Snort Signature Database (SID), die im Internet auf http://snort.org zu finden ist. "rev" legt die zugehörige Version dieser SID fest.
– "msg" gibt die Logmeldung aus, "content" legt die Werte, die im Paket enthalten sein müssen, fest, wobei entweder auf in Pipes gestellte Hex-Werte oder auch direkt auf ASCII-Zeichen, also beispielsweise "HEAD / HTTP/1.0", zurückgegriffen werden kann.
Referenzen bieten Ihnen die Möglichkeit, sich über eine Angriffsform zu informieren. Diese Referenzen werden explizit in den Logmeldungen, in der Regel durch Links zu den Problembeschreibungen in Bugtraq ausgegeben.
– "classtype" spezifiziert die Priorität der Regel, wobei zahlreiche Angaben mit verschiedenen Zwecken und der Priorität "high", "medium" oder "low" existieren. Diese Angaben sind in einer recht langen Tabelle im Snort-Manual zu finden.
– "sid" spezifiziert einen Eintrag in der so genannten Snort Signature Database (SID), die im Internet auf http://snort.org zu finden ist. "rev" legt die zugehörige Version dieser SID fest.
Es gelten auch hier wieder einige Besonderheiten bei der Erstellung der Regeln. Die wichtigsten sind: Ausrufezeichen haben eine logische Verneinung zur Folge. Wenn also alle Pakete mit einer IP-Adressangabe außer "192.168.0.1" auf eine Regel zutreffen sollen, können Sie Folgendes schreiben:
!192.168.0.1.
Gruppierungen werden durch eckige Klammern gebildet. Die Separierung von Werten erfolgt durch Kommata. Strings werden in Anführungszeichen eingeschlossen. Zeilenumbrüche können über einen Backslash ("\") realisiert werden. Weitere ausführliche Informationen zu diesem Thema finden Sie in der Datei README.alert_order.
Mehr Infos
Mehr Infos
Dieser Artikel stammt auszugsweise aus "Linux – Das distributionsunabhängige Handbuch", das bei Galileo Computing unter der ISBN 978-3-8362-1090-4 für 40 Euro erschienen ist. Auf 1117 Seiten führen die Autoren in die Linux-Grundlagen und die Arbeitsweise des Systems ein und geben wertvolle Praxistipps rund um das Thema Sicherheit. Weitere Infos erhalten Sie unter www.galileocomputing.de/1579.
Vorherige Seite
Seite 5 von 5
Nächste Seite
