Intrusion Detection
Das Schlüsselwort preprocessor
Die Einführung der preprocessor-Extensions ermöglichte es Entwicklern, Snort um zusätzliche Module zu erweitern. So wurde beispielsweise ein Portscan-Detection-Modul entwickelt, das über die Anweisung "preprocessor" in Snort Verwendung findet. Mith Hilfe der Funktion "Portscan Detection" lässt sich bestimmen, wie viele TCP- und UDP-Ports eine Quelle innerhalb welcher Zeit anfragen muss, um als Portscan erkannt zu werden. Dabei erkennt die Routine auch spezielle Techniken wie X-Mas-, NULL-, FIN- und Stealth-Scan. Die preprocessor-Anweisung aktiviert diese Funktionalität folgendermaßen:
Das erste Argument ist die Angabe des zu überwachenden Netzwerks. Danach folgt die Anzahl der Ports, die in der an der dritten Stelle festgelegten Zeit vom Angreifer gescannt werden müssen. Die Zeitspanne wird dabei in Sekunden angegeben. Der letzte Parameter legt die Logdatei fest, in der die Protokollierung Portscans ablegen soll. Diese Informationen werden auch in die alert-Datei von snort geschrieben:
# Form
preprocessor portscan: <Netzwerk><Anzahl der Ports><Zeitlimit><Logdatei>
# Beispielsweise
preprocessor portscan: 10.34.53.0/24 5 10 /var/log/snort/scans
# Form
preprocessor portscan: <Netzwerk><Anzahl der Ports><Zeitlimit><Logdatei>
# Beispielsweise
preprocessor portscan: 10.34.53.0/24 5 10 /var/log/snort/scans
In diesem Beispiel muss ein Angreifer innerhalb von 10 Sekunden einen Bereich von mindestens fünf Ports scannen, bevor die Aktivität als Portscan eingestuft wird. Problematisch ist im Zusammenhang mit der Zeit, dass einige Tools Portbereiche absichtlich äußerst langsam scannen. Dies dauert zwar länger, ist aber auf obige Art und Weise sehr schwer zu entdecken.
Mit der Anweisung »portscan-ignorehosts« lassen sich aus einer Portscan-Liste Hosts gezielt austragen, so dass keine Benachrichtigung bei TCP-SYN- oder UDP-Portscans erfolgt.
preprocessor portscan-ignorehosts: 192.168.0.3
Dem interessierten Administrator bietet Snort noch einige weitere Module für die preprocessor-Anweisung, etwa stream4, flow (flow-port-scan), telnet_decode, rpc_decode, den Performance-Monitor oder auch http_inspect.
Das Schlüsselwort output
Mittels des Schlüsselwortes output ist es möglich, die von Snort protokollierten Meldungen weiterzuverarbeiten. Beispielsweise lassen sie sich via syslog oder in Form einer binären Datei im tcpdump-Format aufzeichnen. Zudem können die Meldungen in Datenbanken geschrieben werden.
output database: log, mysql, user=admin password=pass dbname=snort host=eygosun
Wie der im Listing enthaltene Ausdruck mysql zeigt, ist es möglich, Snort auf verschiedenste Datenbanken zugreifen zu lassen. Derzeit werden unter anderem Oracle, MySQL und PostgreSQL unterstützt.
Weitere Infos zur Nutzung dieser Datenbankanbindung finden Sie in der im Snort-tarball enthaltenen Dokumentationsdatei README.database im Verzeichnis "doc".
Lesen Sie auf der nächsten Seite:
Vorherige Seite
Seite 3 von 5
Nächste Seite
