實驗十二 建置入侵偵測防禦系統及弱點偵測掃瞄系統 教師： 助教：

大綱 入侵偵測防禦系統 (IDS/IPS) Snort Sniffer mode Inline mode 規則格式 實驗環境 實驗方法

入侵偵測防禦系統 入侵偵測系統 (Intrusion Detection System ) 透過特徵(signature)比對，決定是否警告管理者。 入侵防禦系統 (Intrusion Protection system) 與IDS相似 能進一步決定是否將封包丟棄。 本實驗透過 Snort 軟體的 inline 模式，掃瞄封包的內容決定作取代或丟棄等動作。

attack-responses.rules Snort Snort 為一 Open Source 軟體 作者是 Martin Roesch，在 1998 年寫出來，目的是要做一個”輕量級”的 IDS。 目前約有 4000 條 rules。他的 rule 分類如下： 通訊協定偵測 攻擊 其他(病毒，內容過濾) chat.rules dns.rules finger.rules icmp.rules icmp-info.rules imap.rules multimedia.rules mysql.rules netbios.rules nntp.rules oracle.rules p2p.rules pop2.rules pop3.rules rpc.rules rservices.rules smtp.rules sql.rules telnet.rules tftp.rules web-*.rules x11.rules attack-responses.rules backdoor.rules ddos.rules dos.rules exploit.rules scan.rules shellcode.rules bad-traffic.rules experimental.rules info.rules local.rules misc.rules other-ids.rules policy.rules porn.rules virus.rules

Snort Sniffer Mode 在封包通過網路介面時，複製一份做比對，如果偵測到符合 rule，就會做 log，但是不能做封鎖之類的後續防護。

Snort Inline Mode 直接對封包掃瞄(inline)，決定要做警告、替換內容、拒絕及通過封包等動作。

規則格式 (1/3) 過濾格式如下： Action <action> <protocol> <from_ip> <from_port> <direction> <dest_ip> <dest_port> (<rules>) Action 設定值 說明 alert 使用 rule 中設定的方法警告，並且記錄下來 log 記錄下來 pass 略過封包 drop 告訴 iptables 丟棄封包 sdrop 告訴 iptables 丟棄封包，並且不做紀錄 reject 告訴 iptables拒絕封包 active 如同 alert，然後啟動另一條 rule dynamic 如同 log，但只會由 active 啟動

規則格式 (2/3) From/Dest Port Protocol <Protocol> := tcp | udp | icmp | ip From/Dest IP 可以直接設定 IP，或用 CIDR 設定一段網域。也可以用中括號設定多個 IP、CIDR，中間用逗號隔開。在前面前上 ! 代表不包含這些 IP。 From/Dest Port 指定一個 port，或用 : 限制一段範圍。如果冒號左邊/右邊不指定代表無下限/上限。 Direction -> 由左至右，<-> 雙向。 Rule Msg - 設定 log 及 alert 動作時顯示的訊息。 Content - 設定要比對的封包，符合的話才會啟動 rule。 Replace - 將前一個符合 content 的字串取代成 replace 指 定的內容。

規則格式 (3/3) Example 1 Example 2 記錄來自任何IP、Port，到192.168.1.0/24 Port為1到1024的所有封包。 Example 2 若封包含有00 01 86 a5的內容，以” external mountd access”的訊息警告。 log udp any any -> 192.168.1.0/24 1:1024 alert tcp any -> any (content: "|00 01 86 a5|"; msg: "external mountd access";)

實驗環境 使用 Linux 電腦建立 bridge，做為內部 server 及外部 client 之間的防火牆。 各台主機的用途 Server(Linux)：安裝被 client 模擬攻擊的伺服器，以及觀察被 Snort過濾後的封包。 Firewall(Linux)：安裝 Snort，以及記錄 Snort 的 log。 Client(Windows)：送出網路封包來驗證 Snort 是否正常工作。

實驗方法 (1/2) 第一階段 第二階段 Snort 的安裝。 設定過濾條件。 測試Snort過濾條件。 針對各種通訊協定的封包作分析，比對。 將連線網址 http://192.168.0.1/admin 替換成 http://192.168.0.1/Admin 若FTP傳輸的檔案名為Virus.zip，則禁止紀錄

實驗方法 (2/2) 使用實際攻擊做練習。 Win2k IIS UNICODE 漏洞 請使用Snort 記錄及抵擋這種連線 http://www.thisisanesample.com/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\