it-swarm.dev

Test dell'installazione di Snort IDS

Qual è il modo più semplice per testare Snort IDS dopo l'installazione? Usando e scrivendo una regola che cattura tutto il traffico funzionerebbe?

alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )

Cioè, usando le proprie regole.

Un modo che conosco per testare Snort è usare alcuni programmi come Nmap, Metasploit e qualcos'altro, ma come si può fare?

13
Mohsen Gh.

Ci sono due cose leggermente diverse che potresti voler testare.

  1. Snort funziona nel senso che è in esecuzione, è in grado di annusare il traffico, metterlo alla prova in base alle regole e avvisarti quando viene attivato?
  2. Snort funziona nel senso che l'attuale set di regole rileva un'intrusione specifica di tipo X?

Per testare il caso 1, fai una regola che è facile da usare, come il tuo esempio, e lo fai. Per testare il caso 2, è necessario tentare un'intrusione di tipo X e confermare che sia stata rilevata.

Sembra che tu voglia testare il caso 1 (che l'installazione è stata eseguita correttamente) usando il metodo nel caso 2, ma non è necessario. L'uso di una regola "falsa" è un test perfettamente valido che Snort sta lavorando nel primo senso. Ed è più facile. I test facili sono buoni. Non vuoi andare in giro con Metasploit quando stai solo controllando che le email di avviso vadano alla persona giusta. Soprattutto se non sei esperto nell'esecuzione di intrusioni: cosa succede se si fa un'intrusione errata e si ottiene un risultato falso del test? Che cosa succede se il tentativo di intrusione blocca il bersaglio (che è molto probabile su molti tipi di intrusione).

Devi solo testare il caso 2, che una regola specifica funziona contro un vero tentativo di intrusione, se non ti fidi del tuo set di regole (nel qual caso - perché lo stai usando?) O se stai sviluppando nuove regole.

10
Graham Hill

Potrebbe anche valere la pena dare un'occhiata a IDSWakeUp [Apr 2019: link is dead].

IDSwakeup è una raccolta di strumenti che consente di testare sistemi di rilevamento delle intrusioni in rete.

L'obiettivo principale di IDSwakeup è generare un falso attacco che imiti quelli ben noti, al fine di vedere se il NIDS li rileva e genera falsi positivi.

Come nidsbench, IDSwakeup viene pubblicato nella speranza che una metodologia di test più precisa possa essere applicata al rilevamento delle intrusioni nella rete, che è ancora un'arte nera nella migliore delle ipotesi.

9
Petey B

Per verificare che le tue regole predefinite funzionino, supponendo che tu le abbia abbattute con pullpork, oinkmaster o qualcos'altro, puoi semplicemente cercare http://testmyids.com/ da un client il cui traffico verrà visualizzato dall'IDS, tramite il dispositivo IDS in linea o come intervallo di porte.

La risposta http contiene il seguente testo:

uid=0(root) gid=0(root) groups=0(root)

che corrisponderà a una delle regole di snort predefinite che cercano "contenuto" contenente root. Questa è una vecchia regola per verificare la corretta escalation dei privilegi quando un utente malintenzionato esegue i comandi di tipo id o whoami per verificare che disponga dell'accesso root.

Ecco un (vecchio) blog che discute anche su come testare snort: Come faccio a sapere se la mia implementazione di Snort sta funzionando? .

6
Mark Hillick

So che questo è vecchio ma lo lancerò comunque comunque ...

Check-out snort -T

Questo interruttore è progettato esattamente per la domanda che è stata posta. È integrato, non è necessario cercare le regole, non è necessario inviare traffico dannoso (anche se è "controllato"), non è necessario inviare traffico any. Ti dirà anche dove sono i tuoi problemi.

2
user1801810

A partire dal 2019 il test di Suricata/Snort più robusto che ho trovato è:

Dig a 3wzn5p2yiumh7akj.onion

Il che innesca la seguente regola da emerge-trojan.rules :

alert dns $HOME_NET any -> any any (msg:"ET TROJAN Cryptowall .onion Proxy Domain"; 
dns_query; content:"3wzn5p2yiumh7akj"; depth:16; nocase; 
reference:url,www.bleepingcomputer.com/news/security/cryptowall-4-0-released-with-new-features-such-as-encrypted-file-names; 
classtype:trojan-activity; sid:2022048; rev:2; metadata:created_at 2015_11_09, 
updated_at 2015_11_09;)

Contesto: le firme sopra menzionate non sono aggiornate e la maggior parte di esse non contiene specifiche di flusso adeguate che renderanno cieco Snort o Suricata. Anche per raggiungere testmyids.com hai bisogno di un proxy funzionante e questo aumenta la complessità. Il .onion L'avviso di risoluzione DNS non richiede tuttavia una connessione Internet funzionante poiché viene attivato da un semplice tentativo di risolvere il nome da parte del client.

0
kravietz