Snort (IDS/IPS ) part (4)

[H4x0r]

السلام عليكم

هذا الجزء 4 من استخدام snort tool اليوم رح نشغل ال tool في وضع IDS و IPS المفترض انك قرأت part 1 و تعرفت على مفهوم IDS and IPS خلونا نبلش …

رح ندردش و نراجع بعض الامور

لا تقتصر قدرات Snort على sniffing فقط او تسجيلها. يساعدك وضع IDS/IPS على إدارة network حسب القواعد للقواعد المحددة من قبل المستخدم و القواعد هاي انت بتحددها حسب الوظيفة و البيئة .

:Let’s run Snort in IDS/IPS Mode

لنبدأ باستخدام كل سويتش ونشوف الفرق بينها يحتاج Snort إلى trafic نشطة على شبكتك لذلك نحتاج إلى إنشاء حركة مرور لرؤية Snort أثناء العمل

تمام كيف رح نعمل traffic اذا عندك ملف Pcap بنقدر نخلي نفس الحركة الموجود بل pcap file تصير traffic على جهازك كيف ؟؟
في tool اسمها (tcpreplay) بتعيد حركة traffic خلينا نشوف كيف …

​

tcpreplay -i eth0 <pcap name<​

-i eth0 هو كرت الشبكة يلي رح تتوجه الو ال traffic
بدي افتح ال wireshark و اعمل sniff على الشبكة الحالية و خلونا نشوف …

رح اختار eth0

و ابلش

و الان ببلش يعيد حركة ال trafficعلى شبكتك …

هيك احنا عملنا حركة على شبكتنا خلونا نشوف كيف رح نشغل وضع IDS AND IPS عشان بعد هيك نوصل للمهم لانو وضع IPS and IDS رح يحتاج لقوانين و قواعد عشان يقدر يعترض الtfaffic و رح نشوف كيف بنقدر نكتب هاي القواعد
…
​

IDS/IPS mode with parameter “-D”​

Start the Snort instance in background mode with the following command: sudo snort -c /etc/snort/snort.conf -D
الان لما تشغل الحركة traffic رح يبلش يعالج و يعطيك النتائج …
​

IDS/IPS mode with parameter “-A”​

في كثير اوضاع ممكن نستخدمها مه سويتش A-​

• console: Provides fast style alerts on the console screen.​
• cmg: Provides basic header details with payload in hex and text format.​
• full: Full alert mode, providing all possible information about the alert.​
• fast: Fast mode, shows the alert message, timestamp, source and destination ıp along with port numbers.​
• none: Disabling alerting.​

توفر المعلمات “console” و"cmg" فقط معلومات التنبيه في وحدة التحكم من المستحيل تحديد الفرق بين بقية أوضاع التنبيه عبر الجهاز. يمكن التعرف على الاختلافات من خلال عملية تحليل ملفات pcap
​

IDS/IPS mode with parameter “-A console”​

console alert mode (-A console ) with the following command sudo snort -c /etc/snort/snort.conf -A console
خلونا نشغل الامر مع traffic يلي عملنها رح يبلش يعطيك تنبيهات بناء على القواعد يلي رح نستخدمها

​

IDS/IPS mode with parameter “-A cmg”​

يوفر وضع Cmg تفاصيل head الأساسية مع الحمولة بتنسيق hexadicmal and text>>
cmg alert mode (-A cmg ) with the following command sudo snort -c /etc/snort/snort.conf -A cmg

خلونا نقارن مخرجات وحدة console وcmg قبل الانتقال إلى أنواع اخرى. كما ترون في المخرجات يلي عرضناها ، يوفر وضع console معلومات أساسية عن الرأس والقاعدة يوفر وضع Cmg تفاصيل الحزمة الكاملة بالإضافة إلى معلومات القاعدة.
​

IDS/IPS mode with parameter “-A fast”​

يوفر الوضع fast رسائل تنبيه وطوابع زمنية وعناوين IP للمصدر والوجهة
​

fast alert mode (-A fast ) with the following command sudo snort -c /etc/snort/snort.conf -A fast​

طبعا رح يقوم بانشاء ملف alarm رح يخزن alarm حسب rules المحطوطة

زي ما انتو شايفين بتحتوي على معلومات حول action like direction and alert header.
​

IDS/IPS mode with parameter “-A full”​

يوفر وضع التنبيه full جميع المعلومات الممكنة حول التنبيه

خلونا نشوف ملف alarm

تمام تعرفنا ع الاوضاع يلي رح نشتغل فيهممم اغلبهم تقريبا …

IDS/IPS mode: “Using rule file without configuration file”

طبعا لما بدنا نشغل وضع IPS or IDS بدنا rules و هذا يلي نشوفو المقال القادم رح نستخدم ملف rules

IPS mode and dropping packets
زي ما بنعرف IPS بعمل prevent رح يوقف ال tfaffic حسب القواعد

وضع Snort IPS باستخدام سويتش Q --daq afpacket-.

Activate the Data Acquisition (DAQ) modules and use the afpacket module to use snort as an IPS: -i eth0:eth1

عشان عمل prevent لل traffic يلي بتوصل شبكتك حسب القواعد طبعا يختلف ( eth0 ممكن تغيرو حسب البيئة )
هون ما رح يعطيك alarm بس رح يوقف العملية

إن أحسنت فمن الله و إن اسأت فمن نفسي و الشيطان

الجزء الخامس [اضغط هنا] ​