Snort IPS Eğitimi Açık kaynak kodlu Saldırı Tespit ve Engelleme Sistemi Snort‘un kurumsal iş ortamlarında etkin kullanılması için gerekli bileşenlerin anlatıldığı bir eğitimdir.
Snort IPS Eğitimi Açık kaynak kodlu Saldırı Tespit ve Engelleme Sistemi Snort‘un kurumsal iş ortamlarında etkin kullanılması için gerekli bileşenlerin anlatıldığı bir eğitimdir.
IDS’ler iki temel çalışma yöntemi vardır. İmza tabanlı ve anormallik tabanlı olarak çalışırlar. İmzalar vulnerability tabanlı olabilir veya imzalar Exploit tabanlı olabilir. IDS’lerde kural ve imza mantığı, trafik içerisinde “imza (xyz gibi)” arama yapabilme, imza ve başka parçaları kontrol etme şeklindedir.
Snort imza tabanlı değil, kural tabanlı bir IPS’dir!
Kural kategorisi işlevi; Backdoor.rules, çeşitli trojanlar ve rootkitler tarafında oluşturulan trafiği saptamak için yazılmıştır. Ddos.rules bilinnen DDOS saldırılarını saptamak için kullanılır. Oracle.rules oracle veritabanı sunucusuna yapılabilecek saldırıları tespit eder. Scan.rules çeşitli ağ ve servis tarama araçlarının yaptığı taramaları tespti eder. Web-iis.rules Microsoft IIS’e yapılacak saldırıları tespit eder, eğer ağınızda IIS çalışıyorsa bu kural ailesinini aktif edilmesine gerek yoktur. P2p.rules P2P trafiği tespit etmek için kullanılır. Bu ve benzeri birçok konuda Snort IPS (Intrusion Prevention System) Eğitimine katılarak bilgi sahibi olabilirsiniz.
Snort IPS Eğitimi
Snort kural başlığının en önemli alanlarından biridir. İmzaya uyan paket için ne yapılacağını belirtir. Aksiyon İşlevi Alert Uyan paketler için uyarı vermek. Loglamak için Log Uyarı vermden sadece loglamak. Pass Paketi önemseme Activate Uyarı verip dinamik bir kuralı tetiklemek. Dynamic Activate aracılığı ile gelen emirleri bekleyerek işleme almak için Drop Iptables’ın paketi bloklaması ve loglaması. Sdrop Iptables’in paketi bloklaması için (Loglama yok). Reject Iptables’in saldırgana TCP RST ya daIcmp port unreachabel mesajı göndererek loglaması için gerekli olan tüm bilgi anlatılmaktadır.
