Решетневские чтения. 2017
УДК 004.492.3
АНАЛИЗ НАБОРОВ ПРАВИЛ ДЛЯ СИСТЕМ ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
SNORT И SURICATA
А. Л. Белова1, Д. А. Бородавкин2
1 Сибирский федеральный университет Российская Федерация, 660041, г. Красноярск, просп. Свободный, 79 2АО «Информационные спутниковые системы» имени академика М. Ф. Решетнева» Российская Федерация, 662972, г. Железногорск Красноярского края, ул. Ленина, 52
E-mail: [email protected]
Представлены результаты анализа наборов правил для СОВ Snort и Suricata в рамках определения оптимальной конфигурации СОВ для использования в сетях крупных предприятий.
Ключевые слова: система обнаружения вторжений, система предотвращения вторжений, сетевая атака.
ANALISYS OF RULESETS FOR INTRUSION DETECTION SYSTEMS SNORT
AND SURICATA
A. L. Belova1, D. A. Borodavkin2
1 Siberian Federal University 79, Svobodny Av., Krasnoyarsk, 660041, Russian Federation
2JSC Academician M. F. Reshetnev Information Satellite Systems 52, Lenin Str., Zheleznogorsk, Krasnoyarsk region, 662972, Russian Federation E-mail: [email protected]
The article presents the results of analysis of rulesets for intrusion detection systems Snort and Suricata to determine the optimal configuration IDS to use it in networks of large enterprises.
Keywords: intrusion detection system, intrusion prevention system, network attack.
Введение. Данная работа посвящена сравнительному анализу наборов правил Talos subscriber rules и Emerging Threats open rules и определению их совместимости для СОВ Snort и Suricata. Исследование проведено в рамках определения оптимальной конфигурации СОВ для использования в сетях аэрокосмических предприятий.
Цель и актуальность исследования. Целью работы является проведение анализа наборов правил для систем Snort и Suricata: Talos community rules, Talos subscriber rules, Emerging Threats open rules. Работа является актуальной, так как используются актуальные в настоящее время СОВ и наборы правил для них. Также актуальность исследования заключается в том, что в открытых источниках информации нет сведений, подтвержденных испытаниями, о том, какой из наборов правил наиболее совместим с определенной СОВ.
Набор правил Talos subscriber rules. В ходе проведения испытаний было определенно, что данный набор полностью совместим с СОВ Snort 2 [4-5].
При запуске Snort 3 с данным набором правил возникают проблемы по распознаванию незначительной части набора правил. Также данная система не запустится, пока все ошибки в правилах не будут исправлены, в отличии от системы Suricata, которая «отбрасывает» нераспознанные правила.
СОВ Suricata не распознала из данного набора 8 115 правил.
Основные ошибки, возникающие при использовании набора:
1) не распознает параметр content, содержащий более 255 символов;
2) не распознает параметры sip_stat_code, sip_method, sip_header, sip_body;
3) отсутствует плагин для обнаружения уязвимо-стей CVS (системы управления версиями);
4) параметр «rawbytes» не может одновременно использоваться с «file_data». Ключевое слово «rawbytes» позволяет правилам искать указанное значение в «сырых» пакетных данных, игнорируя декодирование, выполняемое препроцессорами. Это ключевое слово является модификатором content. «file_data» устанавливает указатель для обнаружения данных, если трафик распознается как HTTP/SMTP/POP/IMAP [1-3].
5) не распознает параметр «http_raw_cookie». Ключевое слово http_raw_cookie также является модификатором content и используется для поиска UNNORMALIZED cookie-заголовков из HTTP-запросов клиента или HTTP-ответов сервера (согласно конфигурации Httplnspect) [1-3].
Набор правил Emerging Threats open rules. Данный набор практически полностью совместим с СОВ Suricata (не распознано незначительное количество правил). У систем Snort возникает значительное количество ошибок при работе с данным набором. В табл. 1 приведены примеры ошибок.
Методы и средства защиты информации
Таблица 1
Примеры нераспознаваемых опций
alert udp !$DNS_SERVERS any -> $DNS_SERVERS 53 (msg:"ET CURRENT_EVENTS Wordpress possible Malicious DNS-Requests-flickr.com.* ";content: "|05|flickr|03|com";nocase;content:!"|00|";wi1:hin:1;reference:url,markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/;classtype:web-application-attack;id:2013353; rev:3;) !$DNS_SERVERS is not allowed
alert tcp $HOME_NET any -> $EXTERNAL_NET 6666:7000 (msg:"GPL DELETED IRC nick change"; flow:to_server,established; content:"NICK"; depth:5; fast_pattern:only; classtype:policy-violation; sid:2100542; rev:13;) Fast pattern only contens cannot be relative or have non-zero offset/depth content modifiers
Таблица 2
Наличие сигнатур по полю User-Agent
Инструмент Набор правил
Talos subscriber rules ET open rules
Wpscan - +
Joomscan - -
Nmap + +
Nessus - -
Nikto - +
metasploit + +
Наличие сигнатур по полю User-Agent. Необходимо проанализировать наборы правил Talos subscriber и ET open rules на наличие сигнатур по полю User-Agent для инструментов на проникновение, которые были использованы при проведении испытаний СОВ [4; 5]. Табл. 2 отражает наличие сигнатур по полю User-Agent в наборах правил Talos subscriber rules и ET open rules.
Библиографические ссылки
1. Snort 3.0 [Электронный ресурс]. URL: http:// www.opennet.ru/opennews/art.shtml?num = 4i255 (дата обращения: 02.i2.20i5).
2. Официальный сайт IDS Snort [Электронный ресурс]. URL: http://snort.org (дата обращения: 02.i2.20i5).
3. Официальный сайт IDS Suricata [Электронный ресурс]. URL: http://suricata-ids.org (дата обращения: 02.i2.20i5).
4. Белова А. Л., Бородавкин Д. А. Сравнительный анализ систем обнаружения вторжений // Актуальные проблемы авиации и космонавтики : материалы XII Междунар. науч.-практ. конф. (ii-i5 апреля 20i6, г. Красноярск) : в 2 ч. Т. i. / под общ. ред. Ю. Ю. Логинова; Сиб. гос. аэрокосмич. ун-т. Красноярск, 20i6. С. 742-744.
5. Белова А. Л., Бородавкин Д. А. Определение оптимальной конфигурации системы обнаружения
вторжений на базе свободно распространяемого программного обеспечения // Решетневские чтения : материалы XX Юбилейной междунар. науч.-практ. конф. (09-12 ноября 2016, г. Красноярск) : в 2 ч. Ч. 2 / под общ. ред. Ю. Ю. Логинова ; Сиб. гос. аэрокосмич. ун-т. Красноярск, 2016. С. 244-246.
References
1. Snort 3.0. Available at: http://www.opennet.ru/ opennews/art.shtml?num = 41255 (accessed: 02.12.2015).
2. IDS Snort. Available at: http://snort.org (accessed: 02.12.2015).
3. IDS Suricata. Available at: http://suricata-ids.org (accessed: 02.12.2015).
4. Belova A. L., Borodavkin D. A. [Comparative analysis of intrusion detection systems] // Materialy XII Mezhdunar. nauch.-prakt. konf. "Aktual'nye problemy aviacii i kosmonavtiki" [Materials XII Intern. Scientific. Pract. Conf "Actual problems of aviation and cosmonautics"]. Krasnoyarsk, 2016. P. 742-744. (In Russ.)
5. Belova A. L., Borodavkin D. A. [Determining the optimal configuration of open source intrusion detection system] // Materialy XX Yubileynoy mezhdunar. nauch.-prakt. konf. "Reshetnevskie chteniya" [Materials XX Jubilee Intern. Scientific. Pract. Conf "Reshetnev readings"]. Krasnoyarsk, 2016, P. 244-246. (In Russ.)
© Белова А. Л., Бородавкин Д. А., 2017