Qual è il modo più semplice per testare Snort IDS dopo l'installazione? Usare e scrivere una regola che cattura tutto il traffico funziona?
alert ip any any -> any any ( msg: "ICMP packet detected!"; sid: 1; )
Cioè, usando le sue regole.
Un modo che conosco per testare Snort è usando alcuni programmi come Nmap , Metasploit , e qualcos'altro, ma come può essere fatto?
Ci sono due cose sottilmente diverse che potresti voler testare.
Per testare il caso 1, fai una regola facile da sparare, come il tuo esempio, e sparagli. Per testare il caso 2, devi tentare un'intrusione di tipo X e confermare che viene rilevato.
Sembra che voglia testare il caso 1 (che l'installazione sia stata eseguita correttamente) usando il metodo nel caso 2, ma non è necessario. L'utilizzo di una regola "falso" è un test perfettamente valido che Snort sta lavorando nel primo senso. Ed è più facile. I test facili sono buoni. Non ti va di dilungarti con Metasploit quando stai solo controllando che le email di avviso vadano alla persona giusta. Soprattutto se non sei abile nell'eseguire le intrusioni - cosa succede se fai un'intrusione sbagliata e ottieni un risultato falso? Cosa succede se il tentativo di intrusione arresta il bersaglio (che è molto probabile su molti tipi di intrusione).
Hai solo bisogno di testare il caso 2, che una regola specifica funziona contro un tentativo di intrusione reale, se non ti fidi del tuo set di regole (nel qual caso - perché lo stai usando?) o se stai sviluppando nuove regole.
Potrebbe anche valere la pena dare un'occhiata a IDSWakeUp .
IDSwakeup is a collection of tools that allows to test network intrusion detection systems.
The main goal of IDSwakeup is to generate false attack that mimic well known ones, in order to see if NIDS detects them and generates false positives.
Like nidsbench, IDSwakeup is being published in the hopes that a more precise testing methodology might be applied to network intrusion detection, which is still a black art at best.
Per verificare che le tue regole predefinite funzionino, supponendo che le hai tirate giù con pullpork, oinkmaster o qualcos'altro, puoi semplicemente andare al link da un client il cui traffico verrà visualizzato dall'IDS, tramite il dispositivo IDS in linea o come intervallo di porte.
La risposta http contiene il seguente testo:
uid=0(root) gid=0(root) groups=0(root)
che corrisponderà a una delle regole di snort predefinite che cerca "contenuto" contenente root. Questa è una vecchia regola per verificare l'escalation dei privilegi quando un utente malintenzionato esegue i comandi di tipo id o whoami per verificare di avere accesso root.
Ecco un (vecchio) blog che parla anche di come testare snort: Come faccio a sapere se la mia implementazione di Snort funziona? .
So che è vecchio ma lo lancerei comunque ...
Scopri snort -T
Questo interruttore è progettato esattamente per la domanda che è stata posta. È integrato, non è necessario scimmiottare le regole, non è necessario inviare traffico dannoso (anche se è "controllato"), non è necessario inviare alcun traffico. Vi dirò anche dove sono i vostri problemi.