Wikibooks

Snort: differenze tra le versioni

Naviga nella cronologia in modo interattivo
← Differenza precedenteDifferenza successiva →
Contenuto cancellato Contenuto aggiunto
VisualeWikitesto
Fale (discussione | contributi)
44 modifiche
Nessun oggetto della modifica
Nessun oggetto della modifica
Riga 9:
Rileva l'attività dei port scan, "esplorazione" che precede generalmente un attacco;
Segnala tutte le possibili minacce identificate da queste attività di controllo.
 
== Requisiti Hardware ==
Per implementare Snort in una rete e realizzare un buon sistema di intrusion detection è opportuno disporre di 2 macchine, ciascuna dotata di due schede di rete e un hub. La prima macchina funzionerà da sensore, l’altra verrà utilizzata per archiviare i log e per permettere il monitoraggio delle statistiche da remoto.
Più grande sarà la rete da monitorare, migliori dovranno essere le caratteristiche tecniche delle macchine usate. Bisognerà infatti disporre di una quantità sufficiente di memoria RAM, di un adeguato spazio per archiviare i log e di una CPU sufficientemente rapida per processare tutti i pacchetti in tempo reale.
Per poter quantificare le risorse necessarie è opportuno valutare:
* la dimensione della rete in cui sarà posto il sensore NIDS;
* la quantità di traffico normalmente vista dalla rete;
* dove e per quanto tempo saranno archiviati i log;
* quante regole saranno abilitate;
* quale forma di output sarà utilizzata;
* in che modo saranno generati gli allarmi.
Concretamente, per monitorare una rete domestica è consigliabile disporre di un processore da almeno 2Ghz per l’analisi dei pacchetti e 5Gb di spazio libero da dedicare all’archiviazione dei log.
 
== Modalità di Funzionamento ==
Snort ha diverse opzioni di funzionamento che possono essere adottate a seconda del contesto in cui viene installato.
* -A alert-mode : Permette di specificare la modalità di generazione degli allarmi che può essere di tipo ful l, fast, none e unsock. L’opzione full è impostata di default e permette di avere informazioni complete sull’attacco, fast invece permette di rendere più rapido il sistema generando allarmi in un formato più semplice che contiene solo il timestamp, il messaggio di allarme e gli indirizzi IP sorgente e di destinazione. La modalità none permette di non generare allarmi, mentre unsock è un’opzione sperimentale che invia le informazioni ad un altro processo attraverso un socket UNIX.
* -b : Effettua il logging dei pacchetti in formato binario.
* -c config-file : Utilizza le regole trascritte nel file di configurazione
specificato.
* -D : Avvia snort in modalità daemon.
* -h home-net : Imposta la rete domestica nel formato 192.168.1.0/16.
* -i interface : Imposta l’interfaccia di rete sul quale effettuare lo sniffing.
* -k logging-mode : Imposta la modalità di logging. Quella di default è pcap ma può essere anche cambiata in ascii o none, che permette di non effettuare il logging dei pacchetti.
* -l log-dir : Imposta il percorso del file nel quale saranno archiviati i log.
* -N : Disabilita il logging dei pacchetti ma continua a generare allarmi.
* -s : Invia messaggi di allarme ad un server Syslog.
* -v : Visualizza l’header dei pacchetti.
* -V : Visualizza la versione di Snort.
 
== Bibliografia ==
* [http://www.danilovizzarro.it Danilo Vizzarro], "[http://www.danilovizzarro.it/papers/Tesi%20Laurea%20Danilo%20Vizzarro.pdf Progettazione di un Intrusion Detection System]", December 2007.
 
==creatore==
Estratto da "https://it.wikibooks.org/wiki/Snort"