Лабораторная работа 3.3 Применение системы обнаружения вторжений Snort

Обнаружение вторжений в сети Windows, установка и настройка Snort for Windows (EagleX), обнаружение сканирования портов, уведомления о попытках вторжений

Примечание. Эта лабораторная работа выполняется в паре.

Задание:

1) установите на своем компьютере систему обнаружения вторжений Snort (в преконфигурированном варианте для Windows - EagleX из каталога IDS EagleX на компакт-диске). Настройте ее таким образом, чтобы при обнаружении сканирования портов эта утилита выдавала предупреждающее сообщение по net send на консоль вашего сервера;

Примечание. Для удобства выбора сетевого адаптера переведите в режим Disabled все сетевые адаптеры для вашего компьютера, кроме адаптера Local Area Connection.

2) попросите партнера провести сканирование портов вашего компьютера при помощи GFI Languard Security Scanner. Убедитесь, что Snort выдает предупреждающие сообщения. Просмотрите оповещения, которые сгенерировал Snort.

3) После окончания работы удалите Snort.

Решение к ч.1 (установка и настройка Snort).

1) запустите программу установки EagleX из каталога IDS\EagleX на компакт-диске. Проведите установку с параметрами, предлагаемыми по умолчанию. После окончания установки откроется страница конфигурации EagleX 2.1.

2) На странице конфигурации EagleX введите следующие параметры:

·        DNS/IP - выберите IP-адрес сетевого соединения Local Network Connection;

·        порт - 8877;

·        Administrator E-Mail address - administrator@nwtraders.msft;

·        Username - Administrator;

·        Password - P@ssw0rd;

·        Home network - 192.168.5.0/24

·        Primary DNS Server - 192.168.5.200

·        Secondary DNS Server - 192.168.5.200

Затем нажмите на кнопку Setup. Появится окно IDSCenter, и иконка IDSCenter будет помещена в System Tray (кружок темного цвета).

3) Откройте консоль Services (Start -> Programs -> Administrative Tools -> Services), и, если они не запущены, запустите службы Alerter и Messenger.

4) Щелкните правой кнопкой мыши по иконке IDSCenter в System tray и в контекстном меню выберите Settings. В окне IDSCenter выберите в правом нижнем углу вкладку Alerts и нажмите на кнопку Alert notification. Установите флажок Start this program when receiving an alert и в строке ниже введите

net send имя_вашего_компьютера "Snort alert!"

5) Нажмите на кнопку Alert detection. Установите флажок Snort Alert log/XML log file, затем нажмите на кнопку Add alert log file и примите имя файла журнала, предлагаемого по умолчанию.

6) Нажмите на кнопку Apply в правом верхнем углу IDSCenter, а затем Stop Snort и Start Snort в левом верхнем углу.

7) Перейдите на вкладку General и нажмите на кнопку Overview. Просмотрите информацию в нижней части экрана. Для строки Execute Application when receiving alert должно стоять значение ON. Если в списке Configuration Errors присутствуют ошибки, то исправьте их и еще раз нажмите на кнопку Apply (если будет ошибка каталога Backup, до достаточно просто создать каталог C:\Temp) и нажмите на кнопку Apply еще раз.

Реешение к части 2: сканирование портов и просмотр оповещений Snort

Примечание: попросите партнера выполнить сканирование вашего компьютера со своего компьютера. При этом он должен временно остановить у себя Kerio Winroute Firewall.

1) запустите GFI Languard Security Scanner и нажмите на кнопку New scan. В окне New scan переставьте переключатель в положение Another computer и введите IP-адрес сканируемого компьютера (на котором запущен Snort). В списке Scan profile выберите Full TCP & UDP Port scan и нажмите OK.

2) Чтобы отключить всплывающие окна оповещений Snort, можно остановить службу Alerter.

3) Чтобы просмотреть оповещения Snort, необходимо нажать на кнопку View Alerts в окне IDS Center.

4) Для удаления Snort закройте консоль IDSCenter (в том числе в System tray) и воспользуйтесь консолью Add/Remove Programs.

Получить учебные материалы по этому курсу