Menu Utama

Login

Nama Samaran:

Kata Laluan:

Lupa Kata Laluan?
Daftar Sekarang!

Carian

Pencarian Lanjut
Mambang News : Dari IDS ke IPS
Dihantar oleh oshiri on 2006/11/22 21:03:16 (542 bacaan) News by the same author

Sebab ramai sukakan logo menggiurkan snort, maka aku akan bercerita lagi tentang snort.
Semua telah maklum bahawa snort adalah applikasi untuk Intrusion Detection System (IDS). Digunakan untuk menganalisa protokol serta menglog traffic network secara real time. Ia mampu mengesan pelbagai jenis serangan serta probes seperti stealth scan, OS fingerprinting, serangan cgi, samba probes, buffer overflows dan lain-lain menggunakan rules yang flexibles.
Selain itu ia berupaya memberi amaran real time tentang cubaan-cubaan yang berlaku secara gabungan dengan syslog.

3 kegunaan utama snort:
i) sebagai sniffer
ii) sebagai packet logger
iii) sebagai IDS

Walaupun berkeupayaan untuk mengesan, tapi tak begitu berfaedah bagi orang seperti aku kerana mengesan dan memberi amaran sahaja tidak mencukupi. Apa maknanya amaran jika system telah pun dicerobohi.
Seperti kata Saiful Apek * Takder maknanye............*.
Untuk itu, snort_inline datang membantu.

Snort_inline merupakan ubahsuaian daripada snort. Berfungsi sama seperti snort tetapi dengan tambahan keupayaan untuk menghalang packet network apabila kriteria tertentu di capai. Kerana itu ia bukan sahaja IDS tetapi juga IPS (Intrusion Prevention System).

Untuk berfungsi sebagai IPS, ia perlu berinteraksi dengan firewall iptables. Ia membaca packet dan mengambil tindakan seperti drop, sdrop, reject dan sebagainya dengan mengubah iptables bergantung pada rules yang telah di tetapkan. Rules yang sama seperti snort diguna pakai, dengan sedikit ubahsuaian.

Contoh log snort_inline:

# tail -f /var/log/snort_inline/snort_inline-fast
11/22-13:49:39.616571  [**] [1:2000537:3] BLEEDING-EDGE SCAN NMAP -sS [**] 
[                                     ] [Priority: 2] 
{TCP} 216.118.117.112:39844 -> 192.168.0.10:9090
11/22-13:49:39.616571  [**] 
[1:2000545:3] BLEEDING-EDGE SCAN NMAP -f -sS 
[**                                     eak] 
[Priority: 2] {TCP} 216.118.117.112:39844 -> 192.168.0.10:9090 


# tail -f /var/log/snort_inline/snort_inline-full
[Xref => http://www.whitehats.com/info/IDS162]

[**] [1:2000545:3] BLEEDING-EDGE SCAN NMAP -f -sS [**]
[Classification: Attempted Information Leak] [Priority: 2]
11/22-13:49:39.616571 216.118.117.112:39844 -> 192.168.0.10:9090
TCP TTL:18 TOS:0x0 ID:26235 IpLen:20 DgmLen:44
******S* Seq: 0xCE8903D6  Ack: 0x0  Win: 0x800  TcpLen: 24
TCP Options (1) => MSS: 1460
[Xref => http://www.whitehats.com/info/IDS162]


Info lanjut: http://snort-inline.sourceforge.net/

Tutorial...coming soon.
Printer Friendly Page Send this Story to a Friend
Komen ini dimiliki oleh pengirim. Kami tidak bertanggungjawab dengan isi kandungannya.
Pengirim Thread
Copyright © 2008. Maitsco.com