Система обнаружения вторжений

СИСТЕМЫ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ

Введение

 Целью данной работы является изучение принципов работы с системами обнаружения вторжения и их настройки на примере Snort и

Suricata.

1. Ход работы

1.1 Работа с Snort

         При конфигурировании Snort необходимо указать Ip-адрес машины

(Рис. 1).

[pic 1] 

Рисунок 1 – Настройка Ip-адреса

Для запуска Snort необходимо в терминале ввести команду Snort –v

(Рис. 2, 3).

[pic 2] 

Рисунок 2 – Запуск Snort с ключом v

[pic 3] 

Рисунок 3 – Фиксируемые пакеты

Для более подробного вывода необходимо ввести команду Snort –vde

(Рис. 4).

[pic 4] 

Рисунок 4 – Запуск Snort с ключом vde

         При прекращении работы Snort выдаст статистику (Рис. 5).

[pic 5] 

Рисунок 5 – Заключительная статистика по работе Snort

 Далее требуется ввести правило в файл local.rules как показано на рисунке 6.

[pic 6] 

Рисунок 6 – Правила реагирования на пинг

На рисунке 7 показано, что при запуске Snort с помощью специальной команды и пинге с параллельного терминала будет выводиться сообщение, указанное в правиле.

[pic 7] 

Рисунок 7 – Реакция на пинг

1.2 Работа с Suricata

 Для выполнения первого задания необходимо было подключить в конфигурационном файле логирование dns.log и stats.log и сгенерировать логи (Рис. 8 – 11).

[pic 8] 

Рисунок 8 – Включение dns-log

[pic 9] 

Рисунок 9 – Dns.log

[pic 10] 

Рисунок 10 – Включение stats

[pic 11] 

Рисунок 11 – Stats

 Для выполнения второго задания требовалось раскомментировать строки с правилами для файлов с расширениями bmp и exe в файле files.rules (Рис. 12, 13).

[pic 12]