Приклади

preprocessor реrfmonitor: time 30 events flow file stats.profile max \

console pktcnt 10000

preprocessor реrfmonitor: time 300 file з: \Snort\contrib\snortstat pktcnt 10000

Http inspect

Httpinspect є загальним декодером http для програм користувачів. Одержуючи буфер даних, httpinspect декодує буфер, знаходить http-поля, і нормалізує їх. Httpinspect працює як над запитами клієнта, так і над відповідями серверу.

Поточна версія httpinspect обробляє тільки stateless-дескриптори. Це значить, що httpinspect перевіряє http поля в пакеті використовуючи базисний пакет, і працюватиме не коректно, якщо пакети не будуть перебрані. Це добре працює, коли є інший модуль, обробляючий перебірку, але є обмеження в аналізі протоколу. Майбутні версії матимуть режим обробки “stateful”, який перехоплюватиме в перебірки різних модулях.

Httpinspect має дуже багату призначену для користувача конфігурацію. Користувачі можуть настроїти індивідуальні http-сервери з різноманітністю елементів настройки, які повинні дозволити користувачу емулювати будь-який вид web серверу. В межах httpinspect є дві області конфігурації, global і server.

Глобальна конфігурація

Глобальні настройки мають справу з настройками, які визначають глобальне функціонування httpinspect. Наступний приклад дає загальний глобальний конфігураційний формат:

Формат

preprocessor http_inspect: global \

iis_unicode_map < map_filename> \

codemap < integer> \

[detect_anomalous_servers] \

[proxy_alert]

Допускається наявність тільки однієї глобальної конфігурації, і буде видана помилка, якщо конфігурацій більш ніж одна.

Конфігурування

1. is_unicode_map < і’мя карти> [codemap < ціле> ]

Це глобальний “iis_unicode_map” файл. “iis_unicode_map” є обов'язковим параметром конфігурації. Файл карти може знаходитися в тій же директорії що і “snort.conf” або визначений через повний шлях до файлу карти.

“iis_unicode_map” файл є картою “unicode codepoint”, яка указує “httpinspect” який код сторінки використовувати при декодуванні символів “unicode”. Для серверів США, “codemap” як за звичай є 1252.

За умовчанням використовується карта “unicode codepoint” від Microsoft, яка знаходиться в початковій директорії Snort “etc”. Вона називається “unicode.map” і повинна використовуватися, якщо ніяка інша карта “codepoint” не доступна. Разом з Snort поставляється інструмент для генерації інших карт “unicode”. (“ms_unicode_generator.c” в директорії “contrib.”)

2. detect_anomalous_servers

Цей глобальний елемент настройки конфігурації дозволяє загальну інспекцію трафіку серверу http на не-http орієнтовані порти, і попереджає, якщо помічений http трафік. Цю настройку не слід включати, якщо немає конфігурації типового серверу, яка охоплює всі порти http серверів, до яких можуть звернутися користувачі. В майбутньому перевірка трафіку буде обмежена в конкретних мережах, оскільки це більш корисно, але зараз інспектується весь трафік мережі.

3. proxy_alert

Дозволяє використовувати глобальні попередження на уповноваженому http сервері. Настроїв сервери httpinspect і включивши “alow_proxy_use”, поступатимуть тільки попередження використовування проксі для веб користувачів, які не використовують настроєні проксі або використовують проксі сервер “rogue”.

Слід відмітити, що якщо не буде потрібна настройка використання веб проксі, то буде отримано багато проксі попереджень. Отже, слід використовувати цю особливість тільки з традиційними проксі оточеннями (проксі “blind firewall” не в рахунок).

Приклад глобальної конфігурації:

Preprocessor http_inspect: global iis_unicode_map unicode.map 1252

Конфігурація серверу

Є два види конфігурування серверу: за умовчанням і за ip адресою.

Default: ця конфігурація забезпечує настройки серверу за умовчанням для будь-якого серверу, який не є індивідуально конфігурованим. Більшість з web серверів найбільш ймовірно використовуватиме типову конфігурацію.

Приклад конфігурації за умовчанням

Preprocessor http_inspect_server: server default profile all роrts { 80 }

Конфігурація за ip адресами - цей формат дуже подібний формату “default” з однією лише різницею, що можуть бути конфігуровані специфічні ips.

Приклад ip конфігурації

preprocessor http_inspect_server: server 10.1.1.1 profile all роrts { 80 }

Елементи конфігурації серверу

Важливе зауваження: деякі елементи конфігурації мають аргумент “yes” або “no”. Цей аргумент визначає, незалежно від того чи хоче користувач, щоб елемент конфігурації генерував httpinspect-попередження чи ні. Аргумент “yes/no” не визначає незалежно елемент конфігурації як “on” або “off”, тільки застережливе призначення. Іншими словами незалежно від того, що встановлено (так чи ні), http нормалізація все ж таки відбуватиметься, і заснований на правилах http трафік все ж таки ініціюватиметься.

1. profile < all|apache|iis>

Користувачі можуть конфігурувати httpinspect за допомогою використовування заздалегідь визначених профілів http-серверу. Профілі дозволяють користувачу легко настроїти препроцесор для певного виду серверу, але не потрібні для відповідної дії. Є три профілі: all, араche, і iis.

1-1. all

Профіль “all” покликаний нормалізувати використовування uri з більшості загальнодоступних хитрощів. Слід попередити про більш серйозні форми ухилень. Це великий профіль для виявлення всіх видів атак, не дивлячись на сервер http. “profile all” встановлює наступні елементи настройки.

1-2. араche

Профіль “араche” використовується для араche web-серверів. Відрізняється від “is” профілю тільки відсутністю стандартного кодування “unicode utf-8” і не приймає зворотні слеші в ролі законних слешів, подібно iis. Apache також допускає табуляцію як пропуски. “Profile араche” встановлює наступні елементи конфігурації.

1-3. iis

“iis профіль” імітує iis сервер. Таким чином, використовується “iis unicode codemaps” для кожного серверу, “%u” кодування, “bare-byte” кодування, “double” декодування, зворотні слеші, і т.п. “iis” профіль встановлює наступні елементи конфігурації:

Профілі повинні бути визначені як початкові опції серверу і не можуть бути з'єднані з будь-якими іншими настройками окрім:

1. роrts

2. iis_unicode_map

3. alow_proxy_use

4. flow_depth

5. no_alerts

6. inspect_uri_only

7. oversize_dir_length ці опції повинні бути визначені після опції “profile”.

Таблиця 2.9: Опції профілю “all”

Таблиця 2.10: Опції профілю “араche”

Таблиця 2.11: Опції профілю " iis"