Paper per IDS-n me te njohur open-source SNORT

Pershendetje, shpresoj se po i kaloni mire pushimet :)
Ndoshta kjo teme mund te jete shume fitimprurese pasi do te trajtohet nje paper i gjat mbi temen “Owning Your Linux Box with Snort” .
Shpresoj qe kjo teme mos ti drejtohet vetem nje pakice siç i jane drejtuar tema te tjera si:
DRDOS – proof of concept (teknike e bazuar ne spoofing)
Teknika per Bypassimin e sistemeve mbrojtese me nmap
e te mos flasim per temat assembly :( .
Thash qe shpresoj te mos i drejtohet vetem nje pakice sepse realisht shumica e shqiptareve e sidomos ne,  nuk e perdorim linux e te mos flasim per konigurimet e IDS-ve dhe shnderrimet e tyre ne IPS , teknikat e mbrojtjes\sulmit.
Keshtu qe , nese doni te merrni vesh pak nga ato qe jane shkruajtur preferohet te keni njohuri mbi protokollin TCP\IP, IDS-t , dhe te keni intuite te mire.
Gjithsesi do te perpiqem ta trajtoj sa me kuptueshem qe te jete e mundur keshtu qe edhe ju qe nuk ja keni idene, gjat leximit do kuptoni shume shume shume gjera.

Permbajtja

1. Hello World
2. Instalimi dhe Konfigurimi i Snort
3. Plugins dhe Add-ons
4. Kunder Krakerit..?!
5. Snort Hardening – Snort si IPS?

1. Hello World

Realiteti Open-Source

Shumica e atyre qe kam pyetur se pse kane kaluar ne linux perveç motiveve te tjera eshte se ka egzistuar gjithmon tek ata deshira per ta njohur me themel sistemin operativ dhe shpesh me jane pergjigjur me:

“Duhet ta perdoresh ti sistemin dhe jo ai ty”

Ky per mendimin tim eshte çelesi me i fuqishem i filozofis open-source pasi te shohesh ate qe egzekutohet /kompilohet / interpretohet eshte me shume se liri, eshte Linux.

Por kjo perseri nuk na çon ne frazen qe sapo degjuam, kjo na çon thjesht ne ate qe ne e dime se ç’fare egzekutohet ne makinen tone dhe mund te kontrollojm dhe modifikojm gjithçka qe duam nese ne terminalin tone shkruhet ~#
Linux ne ndryshim nga windows ta jep pra mundesine per ta shfrytezuar, le ta shohim se a ka limite ky shfrytezim.

IDS (intrusion detection system)

Pse pikerisht nje teme rreth Intrusion Detection System?

Sot siguria eshte nje pik jetesore ne ardhmerine e nje biznesi dhe meqenese nuk mund te jete kurre 100% njerezit nuk mjaftohen kurre me te.

Keshtu qe , IDS-t jane nje pike shume e forte ne mbrojtjen e nje networku dhe ju jeni te interesuar ne mbrojtjen e networkut tuaj apo jeni nga ata qe thone “ajo qe nuk e di , nuk te vret?” e, nese jeni nga ata po u listoj motivet se pse nje intruder do te ishte i interesuar ne networkun tuaj.

1) Profit, vjedhje-shitje te dhenash themelore.

2) Konkurrenti juaj deshiron tju shohi down per nje kohe te mire, dhe ajo kohe qe ju jeni me probleme apo duke rregulluar probleme eshte lek i shkuar kot.

3) Ndonje kurioz, eshte duke testuar aftesite e tij ne networkun tuaj, dhe ka nga ata qe kujdesen qe te mos demtojn e ka nga ata te tjeret qe nuk e ka problem te japi nje rm -rf /

IDS-t ndahen ne 3 kategori:

NIDS – Network Intrusion Detection System nga vet emri monitoron segmentin e networkut dhe analizon trafikun e tij.

HIDS – Host Intrusion Detection System ne ndryshim nga NIDS mbron vetem hostin ne te cilin eshte instaluar, por ka avantazhet e veta ne aspektin e konsumit te proçesorit si dhe modifikimit te rregullave , psh nuk duhet analizuar nje host per exploite te DNS-ve kur ai nuk e ka ne egzekutim ate sherbim..

DIDS – Ketu behet fjale per networke te medhenj ku kemi shume NIDS\HIDS dhe DIDS eshte nje lloj menaxheri i cili te jep mundesine e kontrollit te centralizuar.

PO SNORT?

Tek http://www.snort.org lexojm:

Snort ® is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire..

Por snort nuk eshte vetem aq, ai eshte dhe nje dhe packet sniffer dhe nje packet logger shume i mire.

Snort eshte si nje hapesire vakumi qe thith te gjitha paketat dhe te lejon ty te besh shume gjera me to,, ne nje fare menyre mund te personifikohej me :
Snort

Perveç kesaj, Snort jep lajmerime ne kohe reale per intruzione te mundshme duke i dhene ne kete menyre nje aspekt IPS ketij IDS-je tejet te kompletuar.

Ne pergjithesi, te gjith IDS-t kane nje packet sniffer me te cilin kapin paketat dhe i depozitojn diku pastaj nje packet logger i analizon paketat ne baze te disa rregullave dhe kushteve qe mund te kete, por ç’fare e bene SNORT nje IDS kaq popullor?

Arsyet se pse Snort eshte kaq popullor jane pikerisht kapacitetet e tij si IDS ne rregulloren e tij me ane te se ciles mund te dalloj shume shpejt nje malware, nje port-scaning, nje buffer overflow e keshtu me rradhe, gjithashtu dallohet sepse eshte nje IDS qe nuk kerkon shume resurse dhe nuk kerkon ndonje platform\server te posatshem per tu egzekutuar.

Per shak te minutazhit dhe limitimit se ky shkrim eshte nje paper dhe jo nje liber do perpiqemi ti permbledhim “cilesite” e SNORT i cili mund te jete nje solucion perfekt per networke te nje shkalle te vogel dhe mesatare.

Gjithsesi, SNORT ne fillim eshte publikuar ne packetstoormsecurity dhe ne vitin 1998, ka pasur vetem 2 faile dhe gati 1600 rreshta kodi, ishte ne ate kohe nje snifer i ndertuar siper libcap (u ndoq shembulli i tcpdump).
Le te shohim realisht ato qe e bene SNORT IDS-n # 1 open-soruce.

PIKAT E FORTA TE SNORT [ARKITEKTURA]

Te shohim nje figure imagjinare te arkitektures qe ka serveri SNORT.

Arkitektura Snort

SNIFERI – eshte software ose hardware i cili “troket” leht ne network duke kapur paketat, e ne rastin e SNORT sniferi eshte shume i kompletuar dhe ofron monitorim si ne TCP\UDP\ICMP etj.

PREPROÇESORI – eshte pjese e cila kryen filtrimin e paketave raw (kujto raw-socket) dhe ne baze te plugineve percakton nese nje pakete eshte normale ose jo, duke e kaluar tek ‘MOTORRI’ ose duke e hedhur (drop).

MOTORRI – ky eshte vet SNORT ne pake fjale, pra zemra e tij. Pasi ka marre paketat nga Preproçesori i krahason keto paketa me rregullat (te cilat axhornohen dita dites) dhe nese paketat perkojn me njera-tjetren (ato te kapurat me ato qe gjenden tek motorri) atehere SNORT rregjistron logun ne databaze dhe krijon nje alarm ne kohe reale.MOTORRI i krahason paketat me rregullat ne baze te 2 parimeve:

Rregullorja e Headerit (duke kontrolluar flamurin [flag] te paktes pra nese eshte SYN\ACK\FIN\URG\PUSH

Rregullojra e Opcionit nese permbajtja e paketes apo “firma” (signature) e saj eshte e njejte me ato qe jane tek RREGULLAT.
ALARMET DHE DATABAZA – ketu kemi mundesi te gjere zgjedhjeje midis plugineve te ndryshme, si dhe databazave.
Te gjith keto komponent permirsohen nga dita ne dite, dhe algoritmet per analizimin e paketave , permirsohet databaza e signaturave dhe shtohen performancat dhe opcionet.

Perfundoi pjesa e pare e Paperit.