snort IPS | Complexity is the enemy of Security

Snort Çıktılarında IP Adreslerini Gizleme

Huzeyfe ONAL — Wed, 11 Aug 2010 19:34:15 +0000

Zaman zaman e-posta listelerine örnek trafik çıktıları gönderilmektedir, bu trafik çıktılarında gereksiz yere şirketin internete doğrudan verilmemiş ip adresleri yer alabilir. Bunun önüne geçebilmek amacıyla Snort, ağ üzerinden yakaladığı trafikteki IP adreslerini gizleme özelliği sunmaktadır.

-O parametresi kullanılarak alınan örneklerde kaynak ve hedef IP adresi alanlarında xxx.xxx.xxx.xxx değeri gözükecektir.

# snort -O -vd
Snort BPF option: …
Running in packet dump mode

–== Initializing Snort ==–
Initializing Output Plugins!
Verifying Preprocessor Configurations!
***
*** interface device lookup found: pflog0
***

Initializing Network Interface pflog0
OpenPcap() device pflog0 network lookup:
pflog0: no IPv4 address assigned
Decoding OpenBSD PF log on interface pflog0

–== Initialization Complete ==–

,,_ -*> Snort! <*- o” )~ Version 2.8.2.1 (Build 16) ”” By Martin Roesch & The Snort Team: http://www.snort.org/team.html (C) Copyright 1998-2008 Sourcefire Inc., et al. Using PCRE version: 7.7 2008-05-07 Not Using PCAP_FRAMES 06/30-20:34:10.870543 xxx.xxx.xxx.xxx:25 -> xxx.xxx.xxx.xxx:35115
TCP TTL:64 TOS:0×0 ID:23256 IpLen:20 DgmLen:68 DF
***AP*** Seq: 0x76B02441 Ack: 0x544CF27E Win: 0xFFFF TcpLen: 20
32 35 30 20 6F 6B 20 31 32 37 37 39 31 39 32 35 250 ok 127791925
30 20 71 70 20 36 32 39 37 34 0D 0A 0 qp 62974..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:10.939840 xxx.xxx.xxx.xxx:17758 -> xxx.xxx.xxx.xxx:25
TCP TTL:64 TOS:0×0 ID:23257 IpLen:20 DgmLen:60 DF
******S* Seq: 0x3A8F4747 Ack: 0×0 Win: 0xFFFF TcpLen: 40
TCP Options (5) => MSS: 1460 NOP WS: 3 SackOK TS: 2581132713 0

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:11.064449 xxx.xxx.xxx.xxx:35115 -> xxx.xxx.xxx.xxx:25
TCP TTL:51 TOS:0×0 ID:51893 IpLen:20 DgmLen:46 DF
***AP*** Seq: 0x83D0FA73 Ack: 0x5DF9D6FF Win: 0×6180 TcpLen: 20
51 55 49 54 0D 0A QUIT..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

06/30-20:34:11.064509 xxx.xxx.xxx.xxx:25 -> xxx.xxx.xxx.xxx:35115
TCP TTL:64 TOS:0×0 ID:23261 IpLen:20 DgmLen:64 DF
***AP*** Seq: 0x76B0245D Ack: 0x544CF284 Win: 0xFFFF TcpLen: 20
32 32 31 20 6D 61 19 6C 2E 73 69 73 75 65 6D 62 221 mail.siber..
69 6C 2E 63 6F 65 0D 0A il.com..

#man snort
…

-O Obfuscate the IP addresses when in ASCII packet dump mode. This
switch changes the IP addresses that get printed to the
screen/log file to “xxx.xxx.xxx.xxx”. If the homenet address
switch is set (-h), only addresses on the homenet will be obfus-
cated while non- homenet IPs will be left visible. Perfect for
posting to your favorite security mailing list!

The post Snort Çıktılarında IP Adreslerini Gizleme first appeared on Complexity is the enemy of Security.

Snort Kullanımında “Not using PCAP_FRAMES” Hatası

Huzeyfe ONAL — Thu, 01 Jul 2010 18:11:46 +0000

Snort, IDS modda çalıştırıldığında paketleri libpcap üzerinden alır. Libpcap’in birden fazla sürümü vardır. Bu sürümlerden birisi de Phil Woods tarafından geliştirilmektedir. Snort’u IDS modda daha performanslı kullanmak için Phill Woods’un geliştirdiği libpcap sürümü tercih edilmektedir.

Phil Woods tarafından eklemeler yapılmış libpcap sürümünü indirip kurmak için http://public.lanl.gov/cpw/ adresinden gerekli dosyalar indirilmelidir.

Phil Woods tarafından libpcap üzerinde yapılan geliştirmelerin ne işe yaradığını teknik olarak incelemek isteyenler http://public.lanl.gov/cpw/pcapREADME.html adresinden başlayabilir. Snort içerisinde değişik libpcap sürümleri için seçenekler vardır. Bu seçeneklerden biri de PCAP_FRAMES değerinin belirtilmesidir. Eğer PCAP_FRAMES değeri belirtilmediyse Snort aşağıdakine benzer bir uyarı verecektir.

Genellikle bu hata alınır.

–== Initialization Complete ==–

,,_ -*> Snort! <*-

o” )~ Version 2.8.4.1 (Build 38)

”” By Martin Roesch & The Snort Team: http://www.snort.org/team.html

Using PCRE version: 7.9 2009-04-11

Rules Engine: SF_SNORT_DETECTION_ENGINE Version 1.10

Preprocessor Object: SF_Dynamic_Example_Preprocessor Version 1.0

Preprocessor Object: SF_DCERPC2 Version 1.0

Preprocessor Object: SF_SSLPP Version 1.1

Preprocessor Object: SF_DNS Version 1.1

Preprocessor Object: SF_DCERPC Version 1.1

Preprocessor Object: SF_SSH Version 1.1

Preprocessor Object: SF_SMTP Version 1.1

Preprocessor Object: SF_FTPTELNET Version 1.2

Not Using PCAP_FRAMES

Bu uyarıyı almamak için Snort başlatılırken PCAP_FRAMES=xyz gibi bir değer verilebilir. Burada tavsiye edilen değer “max” dır.

root@seclabs~#PCAP_FRAMES=”max” snort -c /etc/snort/snort.conf -D -i br0

NOT: PCAP_FRAMES özelliği sadece Phill Woods tarafından geliştirilen libpcap sürümünde işe yarayacağı için klasik libpcap kullanımlarında PCAP_FRAMES değerine birşey atansa bile işe yaramayacaktır.

The post Snort Kullanımında “Not using PCAP_FRAMES” Hatası first appeared on Complexity is the enemy of Security.

Snort IPS için bypass kiti

Huzeyfe ONAL — Fri, 25 Jun 2010 19:29:52 +0000

Snort’u ticari ortamlarda inline modda kullanıyorsanız Snort makinesinin çeşitli durumlarda çalışmaması tüm sistemi etkileyecektir. Bunun için genellikle tercih edilen yöntem bypass kit kullanmaktır. Bypass kiti hem Snort çalıştıran makinenin elektrik durumunu hem de Snort’u kontrol ederek bir aksilik durumda paket kaybı yaşatmadan trafiği normal olarak akıtmaya devam edecektir.

Bu konuda ben Netoptics cihazlarını tercih ediyorum. Kite http://www.netoptics.com/support/documents/BypassSolution.pdf adresinden bypass kitin çalışma mantığına ve özelliklerine erişebilirsiniz.

The post Snort IPS için bypass kiti first appeared on Complexity is the enemy of Security.