Поля заголовка правила

В заголовку правила указується, яка дія повинна виконуватися при його " спрацьовуванні", протокол і задані IP-адреси, а також порти відправника і одержувача. При дотриманні всіх цих умов будуть перевірені параметри правил (параметри правил Snort детально розглянуті на розділі 3.3, " Параметри правил Snort").

Поле " Дія" Поле " Дія" (Action) є першим полем в заголовку правила. В цьому полі Snort повідомляється про те, яка дія повинна виконуватися при " спрацьовуванні" правила. Нижче перераховані доступні значення для цього поля.

Alert (попередження). Якщо в полі " Дія" міститься це значення,
то при отриманні пакету, відповідного даному правилу, Snort створює
запис в спеціальному файлі (файл реєстрації попереджень) і реєструє цей пакет. За умовчанням інформація, що зберігається у файлі реєстрації попереджень, є копією заголовка підозрілого пакету. Реєстрація пакету полягає в збереженні цієї ж інформації в окремому файлі в створюваному каталозі, ім'я якого звичайно співпадає з IP-адресою відправника підозрілого пакету (при використовуванні в командному рядку параметра “-d” може також зберігатися корисне навантаження пакету).

Log (реєстрація). Це значення поля визначає тільки реєстрацію пакету,
що задовольняє правилу. Записи у файл реєстрації попереджень (alertfile) не додаються. У файли реєстрації (log file) можуть записуватися дані
вкладеного пакету, якщо в командному рядку буде вказаний параметр -d.

Pass (пропуск). Якщо отриманому пакету відповідає правило, в полі
”Дія” якого міститься значення pass, система Snort припиняє
дослідження пакету. Це може стати в нагоді, наприклад, при відстежуванні
спроб встановити анонімне з'єднання із звичайним (не анонімним)
FTP-сервером. І цьому випадку можна сформулювати правило, яке б
дозволило організувати проходження пакетів із спробами анонімного
підключення до анонімного FTP-серверу локальної мережі. Друге правило
попередження дозволить виявити всю решту спроб анонімних FTP-
з'єднань.

Activate (запуск). Це значення дозволяє не тільки видати попередження, але і запустити інші (динамічні) правила.

Dynamic (динамічне). Правила з цим значенням поля " Дія" залишаються неактивними до тих пір, поки не будуть виконані правила із значенням асtivate. Після активації цих правил їх дії аналогічні звичайним правилам реєстрації.

Слід звернути увагу на те, що дії асtivate і dynamic заміщаються параметром tag, який може бути заданий в другій частині правила - в його параметрах. Параметр tag дозволяє організувати динамічну реєстрацію пакетів на певний період часу або реєстрацію вказаної кількості пакетів після " спрацьовування" правила.

Крім того, можна визначити власні дії, що дозволяє вказати, куди слід вивести інформацію про " спрацьовування" правила. Тут не розглядатимуть такі можливості, а всі охочі можуть отримати інформацію, що цікавить, на офіційному сайті Snort (www. snort. org). Як вже указувалося, за умовчанням правила виконуються в наступному порядку: попередження, пропуск, реєстрація. Змінити цей порядок дозволяє параметр -о в командному рядку запуску Snort. Параметр -о дозволяє організувати обробку першими правил пропуску, потім - правил попередження і останніми - реєстрації. Прийнята за умовчанням послідовність виконання правил призначена для недосвідчених користувачів і не дозволяє випадково заданому правилу пропуску відключити всі попередження і реєстрацію небезпечних пакетів.

Поле " Протокол"

Інформація цього поля указує Snort на те, пакети якого протоколу слід перевіряти. Snort підтримує роботу з наступними протоколами: TCP, UDP, ICMP і IP. В майбутньому планується додати підтримку ARP, RARP, GRE, OSPF, RIP і IPX. Система Snort працює з дейтаграммами протоколу IP тільки версії 4, тому вона не визначить використання для пакету протоколу IPv6. Snort не підтримує специфікацію IPSec, тому не здатна розшифрувати інформацію полів пакетів цього набору протоколів.

Поля " IP-Адрес відправника" і " IP-адресу одержувача"

За інформацією полів IP-адрес відправника і одержувача можна визначити, звідки виходить і куди прямує підозрілий трафік. Як IP-адреси може бути вказаний IP-адреса хосту, підмережі або декількох хостів або підмереж. IP-адреси записуються згідно простому і зрозумілому стандарту запису CIDR (Classless Inter-Domain Routing - безкласова між доменна маршрутизація). Цей формат запису містить необхідну IP-адресу і кількість бітів, що використовується для маски підмережі. Давайте розглянемо цей формат на прикладі декількох IP-адрес.

Формат:

адрес/маска_підмережі або any або [адрес/маска_підмережі, адрес/маска_підмережі]

адреса = х.х.х.х

маска підмережі = кількість бітів мережної частини адреси

24.0.0.0/8 = Мережа класу А

135.1.0.0/16 = Мережа класу В

192.168.5.0/24 = Мережа класу C

192.168.5.5/32 = Адреса хоста

Ключові слова:

any - всі можливі адреси;

! - символ заперечення;

$НОМЕ_NЕТ - змінна, значення якої визначено у файлі правила.

Таким чином формат CIDR визначає базову адресу і кількість бітів, яка відведена для зберігання мережної частини адреси. Наприклад, запис 24.0.0.0/8 означає, що це адреса мережі класу А, перший байт якого (24) є мережною частиною адреси, а решта байтів використовується для позначення хостів цієї мережі. Хоча в наших прикладах використаний стандартний формат CIDR для мереж класів А, Б і C, основна перевага цього формату, полягає в тому, що розділова лінія між мережною і вузловою частиною адреси може відділяти будь-яке число бітів 32-розрядної IP-адреси, і не обов'язково розділяти його по байтах.

Можна задати перелік контрольованих IP-адрес, вказавши їх в квадратних дужках і розділивши комами (ніякі пропуски не допускаються). Наприклад, якщо необхідно відстежувати трафік, призначений хосту 1.2.3.4 і підмережі 2.3.4.x, можна використовувати наступний запис.

[1.2.3.4.2.3.4.0/24]

Ключове слово any означає будь-яку IP-адресу. Символ заперечення (!) дозволяє зробити в правилі виключення для якоїсь IP-адреси. І, нарешті, можна задавати IP-адреси за допомогою значення змінної, що забезпечує додаткову гнучкість і переносність правил. Для вказівки адреси локальної мережі в правилах Snort часто застосовується змінна $HOME_NET. Можна використовувати будь-яке інше ім'я змінної, але оскільки в багатьох правилах вже існують посилання на змінну $HOME_NET, то краще скористатися саме нею. Ця змінна повинна бути визначена у файлі правила, в. конфігураційному файлі або в командному рядку (за допомогою параметра “-S”) до її використовування. Змінні можуть використовуватися і в інших полях правил Snort.

Поля " Порт відправника" і " Порт одержувача"

Ці поля використовуються для вказівки контрольованих портів відправниками одержувача. Може бути заданий окремий номер порту, діапазон номерів або використано ключове слово “any”, яке позначає всі можливі порти. Нижче показано декілька прикладів визначення портів.

статичний порт 111

всі порти any

діапазон 33000: 34000

виключення 180

менше або рівно: 1 0 2 3

більше або рівно 1024:

Перший приклад відповідає вказівці номера статичного порту, наприклад, порту 111, який звичайно використовується RPC-службою роrtmapper, Як і для IP-адрес ключове слово “any” дозволяє позначити всі можливі порти. Також може бути вказаний діапазон контрольованих портів, наприклад 33000-34000 (33000: 34000) для виявлення дій UNIX-програми Traceroute. За допомогою символу заперечення можна організувати виключення конкретного порту з контрольованого діапазону (! 80). Можна задати перевірку пакетів для портів, номери яких менше (: 1023) або більше (1024:) певного значення, наприклад для перевірки доступу до тимчасових портів. Крім того, можна задати номер порту як змінну, значення якої повинне бути привласнено до посилання на цю змінну.

Синтаксис написання правил вимагає задати номер порту, тому в даному випадку потрібно використовувати якийсь заповнювач, частіше всього це ключове слово “any”.