مجتمع الحماية العربي » IDS

سلسلة تعلم كاشف الدخلاء (Snort IDS/IPS) خطوة بخطوة: الجزء الثاني:- التثبيت

صبري صالح — Wed, 08 Feb 2012 18:28:44 +0000

1. معلومات النظام

- نظام التشغيل: Linux – CentOS 6.2

- المنصة: 64-bit

- إصدار الكيرنال: 2.6.32-220.2.1.el6.x86_64

2. المتطلبات و الاعتماديات

سأقوم بتنصيب المتطلبات كلها مرة واحدة لتسهيل الأمر (قد تحتاج مخازن إضافية كـ EPEL و rpmfusion)

yum -y install gcc gcc-c++.x86_64 httpd mysql-server mysql-bench mysql-devel mysql++-devel.x86_64 mysqlclient10 libpcap libpcap-devel pcre-devel bison flex libdnet.x86_64 libdnet-devel.x86_64

3. التحميل

ملاحظات:

- التحميل من Snort موقع يشترط التسجيل

- عند تحميل الـRules يجب أن تكون متوافقة مع إصدار Snort . مثال: (إصدار Snort هو snort-2.9.2 إذن يجب أن تنيزل الـRules صاحبة الإصدار 2920 تجدها بهذا الشكل snortrules-snapshot-2920.tar.gz )

- Snort: وهو البرنامج نفسه
- DAQ: اختصارا لـ Data Acquisition library وهو برنامج لتحسين إدخال و إخراج الحزم
- Rules: وهي القواعد أو بالأصح التواقيع التي يعتمد عليها Snort في كشف الأحداث
- barnyard2: مشروع تم برمجته خصيصا لدعم (تعامل و تحليل) المخرجات على هيئة unified2 من برنامج Snort

4. التثبيت

لاحظ في التثبيت يجب أن تتبع الترتيب نفسه

4.1 تثبيت DAQ

tar -xzf daq-0.6.2.tar.gz ; cd daq-0.6.2

./configure

make ; make install ; cd ..

4.2 تثبيت Snort

2.4.a تثبيت Snort كـ IDS

tar -xzf snort-2.9.2.tar.gz ; cd snort-2.9.2

./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/ --with-mysql-includes=/usr/include/mysql/ --enable-sourcefire

make ; make install

ln -s /usr/local/bin/snort /usr/sbin/snort

2.4.b تثبيت Snort كـ IPS — طبقها فقط إن أردت تحويله إلى IPS و شرحنا سيكون على الـ IDS mode

./configure --enable-inline --with-mysql --with-mysql-libraries=/usr/lib64/mysql/ --with-mysql-includes=/usr/include/mysql/ --enable-sourcefire

make ; make install

modprobe ip_queue

- لنتأكد من تحميل الموديول

lsmod | grep -i ip_queue

ln -s /usr/local/bin/snort /usr/sbin/snort

حيث أن:

–with-mysql: لدعم MySQL أي أن مخرجات Snort ستخزن في قاعدة بيانات

–with-mysql-includes / –with-mysql-libraries: لدعم مكتبات الـMySQL ربنا لا تحتاج هذا الاختيار على منصة 32-bit لأن Snort يبحث هناك في الأمكان الصحيحة

–enable-sourcefire: لدعم عدة إضافات تفضلها شركة Sourcefire.

- لمعرفة المزيد من خيارات التثبيت

./configure --help

- إنشاء مجلدات Snort

mkdir -p /etc/snort/rules mkdir /var/log/snort/

- مازلنا في المجلد(snort-2.9.2)

cp etc/* /etc/snort/

cp -r preproc_rules/ /etc/snort/

- إنشاء مستخدم باسم Snort

useradd snort -s /sbin/nologin

- إعطاء التصاريح لمجلد السجلات

chown -R snort:snort /var/log/snort/

2.4.c إضافة قواعد Snort

- نخرج من مجلد (snort-2.9.2) ثم نفك ضغط القواعد بداخل (/etc/snort)

tar xzf snortrules-snapshot-2920.tar.gz -C /etc/snort/

- نسخ الـ Dynamicrules لتفادي الخطأ(ERROR: parser.c(5161) Could not stat dynamic module path “/usr/local/lib/snort_dynamicrules”: No such file or directory.)

mkdir /usr/local/lib/snort_dynamicrules

cp -a /etc/snort/so_rules/* /usr/local/lib/snort_dynamicrules

chown -R snort:snort /usr/local/lib/snort_dynamicrules

4.3 تثبيت Barnyard2

- تحميل barnyard2 و فك ضغطه

wget -c http://www.securixlive.com/download/barnyard2/barnyard2-1.9.tar.gz

tar -xzf barnyard2-1.9.tar.gz ; cd barnyard2-1.9

- التثبيت مع دعم MySQL

./configure --with-mysql --with-mysql-libraries=/usr/lib64/mysql/ --with-mysql-includes=/usr/include/mysql/

make ; make install

-ما زلنا في مجلد(barnyard2-1.9), ننسخ ملف إعدادات barnyard2

cp etc/barnyard2.conf /etc/snort/ ; cd ..

5. الإعدادات الأولية

5.1 إعداد MySQL

- شغل خدمة MYSQL

service mysqld start

- أنشئ قاعدة بيانات باسم snort
- ثم أنشئ مستخدم للقاعدة باسم snort و كلمة مرور (في شرحنا كلمة المرور 123123)
- ثم اعطه الصلاحيات الازمة

mysql -u root -p
Enter password:>

Mysql> create database snort;
Query OK, 1 row affected (0.00 sec)

mysql> grant create, insert, select, delete, update on snort.* to snort@”localhost”;
Query OK, 0 rows affected (0.00 sec)

mysql> set password for snort@”localhost”=password(’123123′);
Query OK, 0 rows affected (0.00 sec)

mysql> exit

- استورد السكيما الخاصة بـ Snort

cd snort-2.9.2/schemas
mysql -usnort -p < create_mysql snort
Enter password:

- تأكد من عملية الاستيراد عن طريق عرض الجداول

رائع!!

5.2 إعداد Snort

- افتح ملف إعدادات Snort

vim /etc/snort/snort.conf

- اذهب إلى الاختيارات التالية

var RULE_PATH ../rules

var SO_RULE_PATH ../so_rules

var PREPROC_RULE_PATH ../preproc_rules

- بدل المسارات إلى التالي

var RULE_PATH /etc/snort/rules

var SO_RULE_PATH /etc/snort/so_rules

var PREPROC_RULE_PATH /etc/snort/preproc_rules

- اذهب إلى الاختيار

# output database: log, , user= password= test dbname= host=

- استبدله بالتالي

output database: log, mysql, user=snort password=123123 dbname=snort host=localhost

\!/ تنبيهات:
- لاحظ أننا أزلنا test يجب أن تترك مسافة واحدة فقط بين كلمة المرور و المعامل dbsname إن زادت عن مسافة واحدة ستواجه خطأ عند التشغيل.
- إذا واجهك الخطأ التالي عند تشغيل الخدمة

ERROR: /etc/snort/snort.conf(490) => Unable to open address file /etc/snort/rules/white_list.rules, Error: No such file or directory

- الرجاء تهميش (وضع علامة # أول السطر) للتالي

preprocessor reputation: \
memcap 500, \
priority whitelist, \
nested_ip inner, \
whitelist $WHITE_LIST_PATH/white_list.rules, \
blacklist $BLACK_LIST_PATH/black_list.rules

- لتصبح كالتالي

#preprocessor reputation: \
# memcap 500, \
# priority whitelist, \
# nested_ip inner, \
# whitelist $WHITE_LIST_PATH/white_list.rules, \
# blacklist $BLACK_LIST_PATH/black_list.rules

5.3 إعداد Barnyard2

سأقوم بتأجيل إعدادات Barnyard لمرحلة أخرى

6. تشغيل الخدمات

التشغيل سيشمل بدء الخدمة و ضمان عملها بشكل تلقائي بعد إعادة التشغيل.

6.1 تشغيل MySQL

- شغل الخدمة و تأكد أنه ستعمل تلقائيا بعد إعادة تشغيل الخادم

service mysqld start ; chkconfig mysqld on

6.2 تشغيل Barnyard

لن نقوم بتشغل الخدمة الأن

6.3 تشغيل Snort

- حمل سكريبت خدمة سنورت و اعطه تصريح

wget -c http://internetsecurityguru.com/snortinit/snort -O /etc/init.d/snortd ; chmod 755 /etc/init.d/snortd

- شغل الخدمة و تأكد أنه ستعمل تلقائيا بعد إعادة تشغيل الخادم

service snortd start ; chkconfig snortd on

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2012. | Permalink | 7 comments | Add to del.icio.us
Post tags: Attack, Deep Inspection, DoS, Flood, IDS, Intrusion Detection System, IPS, snort

Feed enhanced by Better Feed from Ozh

سلسلة تعلم كاشف الدخلاء (Snort IDS/IPS) خطوة بخطوة: الجزء الأول:- المقدمة

صبري صالح — Sat, 14 Jan 2012 20:19:14 +0000

Intrusion Detection System

مقدمة

في موضوعنا اليوم سنتكلم عن واحده من أكثرالتكنولوجيات أهمية في حماية الشبكات , ألا وهي تكنولوجيا نظام كشف أو مراقبة البيانات المتسللة من/إلى الشبكة. هذ النظام اللذي يعمل بامتزاج مع الجدار الناري Firewall , هذا النظام تكمن وظيفته عندما يحدث أي تلاعب مع الجدار الناري خاصة .

ملاحظة هامة: في هذا الموضوع سنتعرض للمفاهيم اللتي تؤهلك للتعامل مع كل برامج IDS مهما كان إسمها فلا تعتقد –حفظك الله – أن المفاهيم مبنية على برنامج معين بل العكس تماما.

أهداف استخدام Intrusion Detection System

بحكم أن في وقتنا الحاضرقد ازداد عدد الاحتكاك بالإنترنت حيث أصبح الركن الأساسي في الاتصال بالعالم الخارجي و ايضا حاجة الشركات -بغض النظر عن حجمها- بالسماح للموظفين أو للعملاء أيضا بالدخول إلى الشبكة الداخلية للشركة أو حتى اتصال الشركة نفسها بفروعها في أماكن مختلفة , فأقد أصبح لزاما تحديد المناطق أو الأفراد الموثوق بهم Trusted zones و مع ذلك فإن الموضوع تعقد إلى أن المشكلة أصبحت ليست فقط تحديد النقاطة الموثوق بها فقط بل أيضا كيفية التأكد من هذه الجهة الموثوق بها أو بمعنى أخر كيف أحمي نفسي أيضا ممن أثق بهم!! , و في وقتنا هذا صاحب تقديم هذه الخدمة هو نظامنا في هذا الموضوع .

# هناك ثلاث مكونات يجب أن نضعهم في حسابنا عند تأمين الشبكات

(...)
Read the rest of سلسلة تعلم كاشف الدخلاء (Snort IDS/IPS) خطوة بخطوة: الجزء الأول:- المقدمة (3,706 words)

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2012. | Permalink | 6 comments | Add to del.icio.us
Post tags: Attack, Deep Inspection, DoS, Flood, IDS, Intrusion Detection System, IPS, snort

Feed enhanced by Better Feed from Ozh

في دقائق: ثبّت أنظمة كشف الدّخلاء في شبكتك

علي الشّمري — Fri, 21 Jan 2011 01:25:00 +0000

في الكثير من الأحيان حين نريد تجربة نظام أو برنامج أو أداة جديدة، نخسر الكثير من الوقت في عملية تحميل الحزم المطلوبة ومن ثم تركيبها وعمل الإعدادات اللازمة للبرنامج الجديد … وأحياناً أخرى نكتشف بإننا بحاجة الى حزم أخرى نضطر الى تركيبها بعد صراع طويل من خلال الكومبايل وتعدداته !

ما كتبته بالأعلى هو واقع تجربة حدثت مع كاتب هذه الكلمات وأنا متأكد إنها حدثت مع الكثير من قراءها !

توزيعة Security Onion مشكوراً مطورها السيد Doug Burks سهل علينا من خلالها الكثير من المتاعب التي كنا نلاقيها حين قمنا بتجربة تنصيب وإعداد برمجيات مثل: Snort و Sguil و Suricata وغيرها من الأدوات المتعلقة بمجال أنظمة كشف الدخلاء.

إذن ما هي Security Onion ؟
هي ببساطة عبارة عن توزيعة لينوكس مبنية على توزيعة Xubuntu وذلك لتركيب، إعداد وتجربة أنظمة كشف الدخلاء وتحليلها … يشرف على تطويرها السيد Doug Burks … وتحتوي على برمجيات عدة مثل: Snort، Suricata, Sguil, ,Xplico ,nmap و scapy, hping, netcat, tcpreplay وغيرها الكثير …

التوزيعة يأتي عليها نسخة Snort 2.9.0 بشكل أساسي وكذلك نظام كشف الدخلاء الآخر Suricata والذي يمكنك التحول من واحد الى آخر بسهولة وذلك لتجربة كلاهما … وأيضاً يمكنك إضافة القوانين أو كتابة القوانين الخاصة بك مع إمكانية تحديث القوانين إما من خلال Emerging Threats أو من خلال Snort VRT … كذلك يمكنك تحليل هذه البيانات إما من خلال Sguil أو من خلال واجهته الأخرى Squert التي تعمل من المتصفح …

كذلك يوجد مجموعة من أفضل أدوات الـ Packet Crafting وذلك لإختبار أنظمة كشف الدخلاء هذه أو أي أنظمة أخرى، مثل: nmap و hping3 و inundator و ostinato و scapy و metasploit الى آخره …

صراحة التوزيعة رائعة وعملية تنصيبها مثلها مثل تنصيب أي توزيعة أوبنتو أخرى، وإعداد Sguil عليها عبارة عن بعض الضغطات من الأزرار ليس إلا … كل ما عليك فعله هو وضعها في المكان الصحيح سواءاً من خلال TAP أو من خلال Inline mode … أختر ما يناسبك … للحصول على التوزيعة، أضغط هنا … وللذهاب للموقع الرسمي أضغط هنا …

وكذلك عزيزي القاريء إن كنت جديد على التوزيعة بشكل عام وعلى الأداة Sguil بشكل خاص؟ أنصحك بمتابعة السلسلة التي يقوم بها مطور الأداة، والتي يمكن أن تجدها هنا:
Introduction to Sguil and Squert: Part 1
Introduction to Sguil and Squert: Part 2
Introduction to Sguil and Squert: Part 3
Introduction to Sguil and Squert: Part 4

© Ali for مجتمع الحماية العربي, 2011. | Permalink | 2 comments | Add to del.icio.us
Post tags: hping, IDS, inundator, IPS, Metasploit, netcat, Nmap, ostinato, scapy, Security Onion, Sguil, snort, Squert, Suricata, tcpreplay, Xplico, Xubuntu

Feed enhanced by Better Feed from Ozh

AlienVault إدارة موحدّة لأمنك

بشار — Thu, 23 Dec 2010 04:03:57 +0000

AlienVault هي عبارة عن نظام إدارة لأمن المعلومات. يحتوي العديد من الأدوات التي تمّ دمجها بحيث تعمل بشكل متكامل. النظام يعمل كنظام لكشف المتسللين سواء على الانظمة أو الشبكة السّلكية واللاسلكيّة. كذلك يعمل على كشف الثغرات الموجودة في الأنظمة. كذلك يقوم النظام بإخراج تقارير متوافقة مع العديد من الأنظمة العالمية كـ ISO 27001 و PCI DSS وغير ذلك الكثير.

النّظام يأتي بإصدارتين الأولى مفتوحة المصدر، والآخرى احترافيّة تجاريّة. النّظام مبني فوق توزيعة Debian، و عملية تنصيبه سهلة للغاية.

بعض الأدوات التي يحتويها النّظام

1- Snort برنامج لكشف المتسلّلين (IDS) وبإمكانه كذلك التّصدي لهم (IPS).

2- Ntop لمراقبة استخدام الشّبكة.

3- Nagios مراقبة تواجديّة (Availability) الأنظمة والخدمات المثبّتة عليها.

4- OpenVas للكشف عن الثّغرات.

5- OSSEC نظام كشف متسلّلين على مستوى الأنظمة. (Host)

6- Kismet يعمل على التنصت على الشبكات اللاسلكيّة والتصدّي لمحاولات التّسلسل.

وغيرها الكثير. (1)

صور لبعض خصائص النّظام

واجهة النّظام

تقرير تفصيلي بالأحداث

تفاصيل حزم ملتقطة

تفاصيل نظام في الشّبكة

إخراج تقارير بصيغ مختلفة

لتحميل النّظام

المصادر

(1) http://www.slideshare.net/alienvault/alienvault-integrated-tools-in-ossim

© بشار for مجتمع الحماية العربي, 2010. | Permalink | 3 comments | Add to del.icio.us
Post tags: IDS, IPS, سنورت

Feed enhanced by Better Feed from Ozh

Snorby واجهة جديدة لبرنامج Snort

بشار — Mon, 20 Dec 2010 00:42:12 +0000

صدر مؤخّراً الإصدار الثاني من Snorby، وهو واجهة مطوّرة لبرنامج كشف الدّخلاء Snort. بالإضافة إلى Insta-Snorby 0.5 وهو عبارة عن إسطوانة مخصصّة مبنيّة على ابنتو 10.04 تقوم بتثبيت Snort 2.9.0.1 بالإضافة إلى Snory 2.0 و Barnyard.

قرص الإقلاع Insta-Snorby 0.5

هذا الإصدار يجعل عمليّة تثبيت Snort وإدارته (إلى حدّاً ما) أمراً سهلاً.

واجهة Snorby

بعد انتهاء عملية التّثبيت، ستظهر لك واجهة تخبرك بكيّفية الاتصال ب Snorby سواء عن طريق المتصفح أو سطر الأوامر.

اسم المستخدم الافتراضي للواجهة هو
snorby@snorby.org
وكلمة المرور هي
snorby

إذا قمت بتثبيت Snort بنفسك في السّابق مع الواجهة BASE، ستقدّر جدّاً الجهد الذي بذله مطوّروا Snorby.

موقع البرنامج

http://www.snorby.org/

© بشار for مجتمع الحماية العربي, 2010. | Permalink | One comment | Add to del.icio.us
Post tags: IDS, snorby, snort

Feed enhanced by Better Feed from Ozh

التقاط الحزم باستخدام سنورت

صبري صالح — Fri, 25 Jun 2010 12:25:54 +0000

كلنا نعرف برنامج Snort على أنه IDS/IPS و هذا صحيح و لكن جزء من عمله هوSniffer و Logger . سنتطرق في هذا الموضوع الصغير لكيفية عمله كـ sniffer و Logger بشكل سريع و أترك الباقي لكم

ملاحظات هامة:

قد تكون هذه الطريقة ليست الطريقة الأفضل لالتقاط البيانات, لكن أفضل دوما أن أعرف أكثر من طريقة لشيئ واحد.

يحتاج الـ Snort برامج إضافية (LibPcap)

يعمل Snort كـ sniffer مع طبقات كم طبقات الـ OSI وهن (2 – 7)

يحتاج إلى صلاحيات الـ root لكي يحول وضع كارت الشبكة إلى Promiscuous mode

بشكل افتراضي, يقوم بجمع البيانات العابرة خلال الكارت eth0

يعيب الـ snort في وضع الـ Sniffer و الـ Logger عيب مهم و هو البطئ و قد يسقط/يفقد بعض البيانات و هو يوضح مقدار الحزم المفقودة بعد كل انتهاء العملية.

لنبدأ,,

(...)
Read the rest of التقاط الحزم باستخدام سنورت (1,599 words)

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2010. | Permalink | 17 comments | Add to del.icio.us
Post tags: ascii, binary, eth, IDS, IPS, Lipcap, logger, sniffer, snort, tcpdump

Feed enhanced by Better Feed from Ozh

BotHunter – A Network Based Malware Infection Detection System

صبري صالح — Fri, 05 Feb 2010 16:51:46 +0000

BotHunter هو أول و أفضل برامج كشف أجهزة الشبكة المصابة بالملفات الخبيثة(Malware) الموجودة و قد ظل الأفضل بين قرنائه في مراقبة البرامج الخبيثة على مستوى الشبكة بأكملها, حيث يقوم بمراقبة الاتصالات الداخلة و الخارجة من وإلى أجهزة الشبكة و المتصلة بالإنترنت حيث تكمن الخطورة و يقوم بمراقبة و مقارنة زيادة تداول البيانات (Traffic) لكشف أي سلوك قد تسلكه هذه البرامج إذا تواجدت على أجهزة الشبكة حيث من المهم جدا اكتشاف و إمساك اتصالاتها المركزية بمصدر خارجي أو اكتشاف إتصلاتها العشوائية و التي تسبب في إبطاء الشبكة و إعاقتة طبيعة عملها.

إن برنامج BotHunter يساعدك -كمديرشبكة- بالإمساك بتلك البرامج الخبيثة و التي عادة لا تكتشفها برامج مكافحة الفايروسات و قد لا يتم كشفها من أنظمة كشف التسلل (IDS) التقليدية.

برنامج BotHunter هو برنامج مجاني, تم برمجته لغة الـ Java على يد فريق برمجي من معمل علوم الحاسب الدولي SRI و هي منظمة مهتمة بأمور الحماية و إقامة إختبارات الحماية بطرق غير تقليدية لإيجاد نتائج مختلفة و قوية.

تحميل البرنامج | الموقع الرئيسي

© Eng. Sabri Saleh for مجتمع الحماية العربي, 2010. | Permalink | One comment | Add to del.icio.us
Post tags: BotHunter, botnet, IDS, malwarm, netwrok

Feed enhanced by Better Feed from Ozh