Русская группа пользователей Snort

кто нибудь писал правило alert при попытке соединения не только с сайтом одноклассники а со всей его подсетью.

спасибо

В этом ролике Бакич Абдельхаким (Bakkich Abdelhakim), программист и системный администратор из Марокко, рассказывает о правилах Snort. В первой части ролика Хаким тестирует правила, отслеживающие сканирования портов (scan.rules). Для проверки функциональности используется сканер nmap. Сканер запускается на другом компьютере. Режимы сканирования — Fin и Xmas (рождественская елка). IDS Snort успешно определяет атаки и выводит алерты на экран и в лог-файл.

Во второй части ролика Хаким показывает как создавать свои правила для Snort. Правило примитивное, только что бы понять принцип. Каждый раз, когда пользователь заходит на сайт youtube, в лог должно выводиться соответствующее сообщение. Новое правило добавляется в папку к остальным правилам Snort. Путь к правилу прописывается в snort.conf.

Язык: английский

Дмитрий Рожков

UNIX-администратор ИД «Питер»

Как бы хорошо ни был защищен web-сервер или шлюз в интернет, всегда существует возможность его взлома. И для системного администратора было бы лучше узнавать о попытках взлома еще до того, как взлом произошел. Поэтому особенно важны средства, позволяющие не только обнаружить факт проникновения в систему, но и предупредить о предстоящем вторжении.

Существует два вида систем обнаружения вторжения (IDS, Intrusion Detection Systems): к первым относятся программы, выявляющие аномалии в функционировании системы, например, необычно большое количество одновременно работающих процессов, повышенный трафик, передаваемый интерфейсами системы, и т. п.; ко вторым относят IDS, работа которых заключается в поиске заранее известных признаков атаки. Что же касается великолепной программы Snort, то её можно смело отнести к обоим видам IDS. Благодаря своей открытой архитектуре, Snort легко может быть расширена для решения различных задач.

Эта статья не претендует на всеобъемлющее руководство по Snort, а лишь является моим очень вольным переводом руководства, написанного Martin Roesch (автором программы), вперемешку с моими собственными мыслями.

Павел Закляков

"Системный администратор" №10(11), октябрь 2003
По данным CERT[1], число инцидентов в сети растёт не по дням, а по часам - если грубо поделить 100 тысяч на 365 дней и на 24 часа, то получится примерно около 11 регистрируемых инцидентов в час. Ситуацию, сложившуюся в последнее время с червём Blaster, следует убрать из рассмотрения как исключение.

Мы видим, что число инцидентов растёт, а в то же время последние номера журнала не изобилуют статьями по вопросам сетевой безопасности, а тем более обнаружению телекоммуникационных атак. На мой взгляд, есть ряд удачных публикаций [2-4]; менее удачных в силу сложности непосредственной применимости [5-8] и неудачных, но все они далеки от обнаружения атак. Даже широко продаваемая литература [9-14] далека от жизни, и за красивыми названиями порой ничего не стоит, кроме полного отставания в вопросах практической реализации. Хотелось бы несколько заполнить этот вакуум полезной информацией, в частности информацией про систему обнаружения атак IDS Snort [15].

Так как теория не стоит на месте и все появляющиеся упоминания скорее неполные, чем неправильные, то хотелось бы закрыть этот вакуум, подведя читателя непосредственно подкованным к вопросу использования IDS Snort.

Замечания, обсуждение и критика вопросов обнаружения телекоммуникационных атак приветствуются.