شرح إستخدام اداة snort لكشف التسلل في الشبكة (IDS)

اداة سنورت SNORT تم تطويرها من قبل Martin Roesh عام 1998. والآن يتم تطويرها من قبل شركة sourcefire. تم تصنيف الأداة كأحد افضل البرامج مفتوحة المصدر المستخدمة في أمن المعلومات في عام 2009. 

ثلاث مكونات أساسية يتم الإعتماد عليها عند حماية الشبكات: 
 

1- الحماية والتصدي Prevention 

2- مراقبة وكشف التسلل Detection 

3-الاستجابة وإتخاذ القرارات Response 

تعمل اداة سنورت في ثلاثة انماط وهي : 

  • التنصت على الشبكة (Sniffer mode): يتم قراءة حزم البيانات المٌرسلة من والى الشبكة وعرضها بشكل مباشر في التيرمنال. 
  • تخزين وحفظ حزم البيانات (Packet logger mode): حيث يتم حفظ ملف يحتوي على حزم البيانات المٌرسلة من والى الشبكة في الجهاز. 
  • نظام كشف التسلل Intrusion Detection System (IDS): حيث يتم كشف محاولات التسلل عبر الشبكة وعرض تحذيرات بذلك عن طريق التيرمنال، وهذا النمط هو الأكثر شيوعاً. 

سنقوم بضبط إعدادات سنورت ليعمل كنظام كشف التسلل IDS 

اولا نقوم بتثبيت الأداة عبر الأمر التالي: 

sudo apt-get install snort 

ثانياً نقوم بكتابة امر ifconfig لمعرفة اي بي الشبكة الداخليه وفي الغالب ستكون بأسم eth0  

ifconfig

كما ترون عنوان الاي بي الخاص بالشبكة هو 192.168.0.8

الآن نقوم بتعديل ملف الإعدادات الخاص بالأداة عن طريق محرر النصوص nano عن طريق الأمر التالي 

sudo nano /etc/snort/snort.conf 

ملاحظة: يمكنك إستخدام محرر النصوص الذي تفضله مثل gedit, vi, nano الخ. 

والآن لنقم بالتعديل على الأمر التالي لإضافة اي بي الشبكة كما هو موضح في الصورة التالية 

يجب مراعاة كتابة السطر في المكان الموضح في الصورة 

حيث نقوم بإضافة اي بي الشبكة ونستبدل اخر رقم بصفر وإضافة 24/ وذلك ليتم التنصت على جميع أجهزة الشبكة. 

بعد اضافة عنوان الاي بي الخاص بالشبكة نقوم بحفظ الملف 

الخطوة التالية هي اضافة القواعد والإعدادات التي نريدها (rules) عن طريق التعديل على ملف /etc/snort/rules/local.rules 

الملف فارغ ولا يوجد به أي شيء, لذلك سنقوم بكتابة السطر التالي الخاص بفحص أوامر الـ ping في الشبكة ومن ثم سنقوم بحفظ الملف و إغلاقه

 
alert icmp any any -> $HOME_NET any (msg:”ICMP Detected”; sid:1000001; rev:1; classtype:icmp-event;)

دعونا الآن نوضح المقصود بالسطر السابق والذي أضفناه على ملف قواعد الـ Snort :

  • alert : تعني بأن يتم إظهار تحذير ان تحقق الشرط في القاعدة المكتوبة.
  • icmp : تعني بأن هذه القاعدة تتحقق فقط على الحزم الخاصة ببروتوكول ICMP (المستخدم من قبل الأمر ping).
  • any الأولى : تشير الى عنوان الإنترنت للجهاز الذي يقوم بتنفيذ الأمر ping وهي تعني أن الأداة ستراقب جميع عناوين الإنترنت.
  • any الثانية : تشير الى رقم المنفذ الذي سيتم المراقبة عليه وهي تعني أن الأداة ستراقب جميع المنافذ.
  • الإشارة <- : تعني هذه الإشارة اتجاه الحزم من عنوان الاي بي المصدر الى عنوان الاي بي للجهاز المقصود.
  • $HOME_NET : عنوان الإنترنت للجهاز المراد تنفيذ الأمر ping عليه
  • any : تشير الى رقم المنفذ على الجهاز المراد فحصه وهي تعني أن الأداة ستراقب جميع المنافذ.
  • آخر جزء في القاعدة والموجود بين الأقواس هو جزء إختياري وشرحه كالآتي :
  • msg:”ICMP Detected” : سيتم اضافة هذه الرسالة التحذيريه عندما تكتشف الأداة اي من القواعد التي تم ضبطها في الملف .
  • sid:1000001 : هو رقم القاعدة الخاصة بالأداة حيث أن الأرقام التي هي أقل من “مليون” محجوزة مسبقاً في الأداة.
  • rev:1 : يستخدم لتوثيق القاعدة ولتسهيل عمليات معالجتها وتتبعها في المستقبل.
  • classtype:icmp-event : تصنيف القاعدة بأنها من نوع icmp-event وهي تصنيفات معرفة مسبقاً في هذه الأداة. حيث تساعدنا في عملية تنظيم القواعد.

سنقوم الآن بتشغيل الأداة مع تفعيل الإعدادات التي قمنا بوضعها في ملف local.rules وللقيام بذلك سنقوم بكتابة الأمر التالي في سطر الأوامر :

sudo snort -A console -q -c /etc/snort/snort.conf -i eht0
  • A – طباعة التحذيرات على الشاشة.
  • q – إظهار بعض المعلومات مثل الـ banner وغيرها عند التشغيل.
  • c – لتحديد مسار ملف إعدادت الأداة.
  • i – تحديد كرت الشبكة.

بعد كتابة الأمر نقوم بعمل ping من جهاز أخر الى النظام الوهمي وسنرى بأنه تم تسجيل العملية في التيرمنال كما هو موضح في الصورة.

عن ns339

شاهد أيضاً

شرح تثبيت نظام باروت سيكيورتي parrot security كنظام وهمي

نظام باروت سيكيورتي يعتبر ثالث افضل نظام متُقدم للإختراق في العالم، حيث يأتي نظام كالي …

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *