BLECK EYH EDEBAL NVERSTES MHENDSLK FAKLTES BLGSAYAR MHENDSL BLM

SNORT SALDIRI TESPT SSTEM

PROJE 2 Danman: r. Gr. Murat ZALP

YASN KILI OCAK - 2013 BLECK

ZET SNORT SALDIRI TESPT SSTEM

YASN KILI

Bilecik eyh Edebali niversitesi Mhendislik Fakltesi Bilgisayar Mhendislii Blm

Danman: r. Gr. Murat ZALP

(2013, 34 Sayfa)

Jri yeleri Yrd. Do. Dr. Cihan KARAKUZU Yrd. Do. Dr. Salim CEYHAN r. Gr. Murat ZALP

mza .. .. ..

Bu proje, snort saldr sistemi kurulumu yapp, trafik analizini gerekletirmek ve snortu test etmek iin yaplmtr.

Anahtar Kelimeler: Snort, IDS, IPS, Test

ABSTRACT SNORT INTRUSON DETECTON SYSTEM

Yasin KILI Bilecik eyh Edebali University Faculty of Engineering Department of Computer Engineering Supervisor: r. Gr. Murat ZALP (2013, 34 Pages)

Members of the Jury Yrd. Do. Dr. Cihan KARAKUZU Yrd. Do. Dr. Salim CEYHAN r. Gr. Murat ZALP

Sign .. .. ..

Bu proje, snort saldr sistemi kurulumu yapp, trafik analizini gerekletirmek ve snortu test etmek iin yaplmtr.

Keywords: Snort, IDS, IPS, Test

TEEKKR
Proje almalarm sresince gerek pratikte, gerekse aratrmalar konusunda yardmlarn esirgemeyen sayg deer r. Gr. Murat ZALP hocama ok teekkr ederim.

EKLLERN LSTES ekil Sayfa

ekil 1. IDS Intrusion Detection System ....................................................................... 3 ekil 2. IPS Intrusion Protection System ....................................................................... 3 ekil 3. Basit bir a topolojisinde Snort STSnin konulandrlmas ............................... 6 ekil 4. NIDS Network Based Intrusion Detection Systems ............. Hata! Yer iareti tanmlanmam. ekil 5. WinPcap Uygulamasnn Kurulumu ................................................................. 10 ekil 6. Snort Program Kurulum Ekran ........................................................................ 11 ekil 7. snortrules-snapshot-2922.tar.gz Dosyasnn erii ......................................... 11 ekil 8. snort.conf Temel erii .................................................................................... 12 ekil 9. Kural Bal Ayrntl Aklama ....................................................................... 13 ekil 10. snort.conf Dosyasnn Bulunduu Dizin .......................................................... 14 ekil 11. "snort.conf" dosyasnn "Notepad++" ierisinden grnm .......................... 14 ekil 12. Snort.conf yaplandrma dosyas - 1 ................................................................ 15 ekil 13. Snort.conf yaplandrma dosyas - 2 ................................................................ 15 ekil 14. Snort.conf yaplandrma dosyas - 3 ................................................................ 16 ekil 15. Komut stemi Penceresi ................................................................................... 16 ekil 16. Snort.conf yaplandrma dosyas - 4 ................................................................ 17 ekil 17. Snort.conf yaplandrma dosyas - 5 ................................................................ 17 ekil 18. Snort.conf yaplandrma dosyas - 6 ................................................................ 18 ekil 19. Snort.conf yaplandrma dosyas - 7 ................................................................ 18 ekil 20. Snort kaytlarnn kaydedilecei dosyann yaplandrlmas ............................ 19 ekil 21. Snort.conf yaplandrma dosyas - 8 ................................................................ 19 ekil 22. Snort.conf yaplandrma dosyas - 9 ................................................................ 20 ekil 23. Dosya Uzants Gizle Ekran............................................................................ 20 ekil 24. white_list.rules Dosyasn Oluturduk ............................................................. 21 ekil 25. Snort.conf yaplandrma dosyas - 10 .............................................................. 21 ekil 26. Snort.conf yaplandrma dosyas - 11 .............................................................. 22 ekil 27. Snort.conf yaplandrma dosyas - 12 .............................................................. 22 ekil 28. Yardm Penceresi ............................................................................................. 23 ekil 29. cd komutu ile yerel dizine geilir. ................................................................ 24 ekil 30. interface no ...................................................................................................... 24 ekil 31. Akan Trafik ...................................................................................................... 25 ekil 32. Ayrntl Trafik ................................................................................................. 26 ekil 33. Daha Ayrntl Trafik ....................................................................................... 26 ekil 34. Uygulama Katman .......................................................................................... 27 ekil 35. alr durumda Snort ekran grnts ........................................................... 28 ekil 36. Log Ksm ........................................................................................................ 28

NDEKLER

ZET I ABSTRACT ....................................................................................................................II TEEKKR ................................................................. Hata! Yer iareti tanmlanmam. EKLLERN LSTES .............................................................................................. III NDEKLER............................................................................................................. IV 1. 2. GR .................................................................... Hata! Yer iareti tanmlanmam. SALDIRI TESPT VE ENGELLEME SSTEMLER ......................................... 2 2.1. Genel Bilgi ......................................................................................................... 2 Anormallik tespiti ...................................................................................... 2 Ktye kullanm tespiti ............................................................................. 2

2.1.1. 2.1.2. 3. 4. 5. 6.

IDS Intrusion Detection System ........................................................................... 2 IPS Intrusion Protection System.......................................................................... 3 IDS/IPS YERLEM .............................................................................................. 3 SNORT ...................................................................................................................... 4 6.1. 6.2. 6.3. TCP/IP Protokol Nedir? ................................................................................ 4 Snort Bileenleri ................................................................................................ 6 Snort alma Modlar ..................................................................................... 6 Sniffer modu .............................................................................................. 6 Paket kaydedici modu ............................................................................... 6 NIDS Network Based Intrusion Detection Systems ............................ 7

6.3.1. 6.3.2. 6.3.3. 6.4. 6.5. 6.6. 6.7.

Gerekli Aralar ................................................................................................. 7 Snortu Kurulduu Bilgisayarn letim Sistemi ve zellikleri ................... 8 Snort Kurulumu in Gerekli Olan WinPcap Programnn Kurulmas .... 8 Snort Kurulumu in zlenecek Admlar ....................................................... 9

7.

TEMEL SNORT YAPILANDIRMASI................................................................ 11 7.1. 7.2. 7.3. n lemciler (Preprocessors) ....................................................................... 11 Kural Bal ve Kural Seenekleri .............................................................. 12 snort.conf Yaplandrmas ............................................................................ 12

8. 9.

SNORT TEST ......................................................................................................... 24 SONULAR ........................................................................................................... 33

KAYNAKLAR ............................................................................................................... 34 ZGEM ................................................................................................................... 35

SMGELER VE KISALTMALAR Bu almada kullanlm simgeler ve ksaltmalar, aklamalar ile birlikte aada sunulmutur. Ksaltmalar STS IDS IPS NIDS HIDS RAM IP ISP LAN PDP TCP DMZ Aklama Saldr Tespit Sistemi Intrusion Detection System Intrusion Protection System Network Based Intrusion Detection Systems Host Based Intrusion Systems Random Access Memory Internet Protocol Internet Service Provider Local Area Network Packet Data Protocol Transmission Control Protocol DeMilitarized Zone

1. GR

Gnmz modern insannn hayat iki farkl dnyadan olumaktadr. Bu dnyalardan biri fiziksel olarak yaadmz sosyal hayatmz dieri de en az sosyal hayat kadar vakit geirdiimiz ve baml olduumuz siber dnyadr. Siber dnyann sunduu olanaklar arttka, gerek hayattaki bir ok ilev siber/sanal versiyonuyla yer deitirmektedir ki bu da insanlarn siber dnyaya daha fazla baml olmasna sebep olmaktadr. Siber dnya kavram detayl olarak incelenirse bu dnyann iki farkl profilde insanlara olanak salad ortaya kacaktr. Profillerden biri ilerini daha rahat yapabilmek iin siber dnyann olanaklarn kullanan masum vatanda, dieri de bu dnyay kt amal kullanmak isteyen su ebekeleri. 2000li yllardan itibaren ilenen sular yakndan incelenirse siber dnyann -dolaysyla da biliimin- su rgtleri tarafndan ciddi bir ekilde kullanld grlecektir Bu dokmann amac bir tr Saldr Tespit Sistemi (Intrusion Detection System) olan Snort. 2.9.2.3nn Windows 7 Home Premium iletim sistemi zerine kurulabilmesini salamaktr.

2. SALDIRI TESPT VE ENGELLEME SSTEMLER

2.1. Genel Bilgi Sisteme deiik amalarla dardan szan veya szmaya alan saldrganlar ve sistem kaynaklarn uygunsuz ya da yetkilerini aan biimde kullanan kullanclar tespit etmeyi amalayan sistemlerdir. A bazndaki saldrlar tespit eden sistemlere: A Tabanl Saldr Tespit Sistemleri(Network Based Intrusion Detection Systems NIDS) Tek bir bilgisayar sistemine yaplan saldrlar tespit eden sistemlere ise Bilgisayar Tabanl Saldr Tespit Sistemleri (Host Based Intrusion Systems HIDS) denir. Saldr tespit sistemleri alma mantna gre ikiye ayrlr; 2.1.1. Anormallik tespiti Normal ve anormal davran mantna gre alr. Normal koullar altnda belirli bir sre renmesi iin altrlmas gerekir. Sistem rendii dnda meydana gelen olaylarda alarm verir. Gnmzde bu model ok sayda yanl alarm rettii iin ve tanmlama evresinin ok zahmetli ve saf olmadndan tercih edilmez [1] 2.1.2. Ktye kullanm tespiti Bu modelde saldrlar nceden sisteme tantlmtr. Devaml olarak akan ip trafiini dinler, Paketleri kendi elinde tanmlanm saldr kurallar ile karlatrr. Eer aksi bir durum meydana gelirse alarm retir. Tabi ki saldr kurallarnn da devaml olarak takip edilip gncellenmesi gerekir.[2] Normal davran

3. IDS Intrusion Detection System

IDS gelen ve giden trafii inceler. Gvenlik duvarlarnn yetersizlii sonras IDS kavram ortaya kt. Alarm sistemlerinde ncelikli hedef saldrnn belirlenmesidir, saldrnn engellenmesi deil. Hatt sadece dinledii iin hatta bir yavala yol amamaktadr.

ekil 1. IDS Intrusion Detection System

4. IPS Intrusion Protection System

IDS yetenei vardr. Sadece belirlemek yetmez, engellemek lazm dncesinin ve piyasann istekleri sonucu ortaya km bir teknoloji. Yeterli nem verilmedii takdirde etkisiz eleman roln iyi oynar. Karmak web ataklarna kar yeterli koruma salayamyor.

ekil 2. IPS Intrusion Protection System

5. IDS/IPS YERLEM
Gnmzde gvenlik duvarlar btnleik olarak IDS/IPS mekanizmalarna sahip olduklar gibi, bu sistemler ayr olarak da kurulabilmektedir. yi yaplandrlm bir IDS/IPS sistemi; a pek ok kt yazlmdan izole edebilecei gibi, sorunun kaynan tespitini de

hzlandrmaktadr. Ancak bu sistemlerin iyi bir ekilde ayarlanmamas ve devaml takip edilmemesi, yanl tespitler sonucu sorununu da karabilmektedir. Bu sistemler iin, ticari zmler kullanabilecei gibi Snort gibi ak kaynak koduna sahip zmler de kullanlabilir.
[3]

An durumuna gre yerleim nemli Firewall n Ykl miktarda uyar, gereksiz trafik Tehditleri daha iyi belirler Firewall arkas Sadece firewallan geen paketler, trafik younluu az Tehditleri daha az belirleyebilir.

6. SNORT
Snort dnyada en fazla tercih edilen ak kaynak kodlu IDS/IPS yazlmdr. Snortu kiisel bilgisayarda ve gigabit alara kadar her ortamda kullanabiliriz. Snort eer iyi yaplandrlrsa i ortamlarnda en az dier rakipleri kadar baarl olur. Gnmzde Snortun kullanm genelde IPS olarak deil IDS olarak yaygndr. Snort yksek trafiklerde iyi bir ekilde konfigre edilmelidir. lk aamada saldr tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisi iyi deil ise ileri seviyeye tamak gerekiyor. [4] 6.1 TCP/IP Protokol Nedir? TCP/IP, her geen gn deien, gelien ve iinde birok alararas iletiim (internetworking) protokolleri barndran bir protokol ytdr. Amerikan Savunma Bakanl tarafndan nkleer sava durumunda bile alabilecek bir sistem olarak tasarlanmtr. Daha ok akademik ortamlarda gelitirilen bu protokol, firmalardan bamsz olduu iin dnya apnda farkl sistemler arasnda iletiim iin (yani Internette) en yaygn kullanlan protokoldr. TCP/IP, Interneti yaratan protokoldr dersek yanl olmaz. TCP/IP Protokol yt, OSI modelin 7 katmanna karlk gelen 4 katmandan olumaktadr: Uygulama: OSInin son katmanlarna (5-6-7) karlk gelir

 Transport: Gvenilirlik, ak (flow) kontrol ve hata dzeltme gibi servis kalitesini belirleyen parametrelerle urar. Balantl (TCP) ve balantsz (UDP) servisleri ierir. Internet: Ama izlenen yollardan ve alardan bamsz olarak hedef cihaza veri iletiminin salanmasdr. Yol (path) belirleme ve veriyi o yola ynlendirmek (routing) iin paket anahtarlama bu seviyede yaplr. IP protokol kullanlr. Network Access: OSInin ilk iki katmanna (1-2) karlk gelir. [5]

ekil 3. Basit bir a topolojisinde Snort STSnin konulandrlmas

6.2. Snort Bileenleri Libpcap : Snortun Ethernet kartndan ham verileri almasna yarayan bileen. Decoder: Libpcapin gnderdii 2. katman verisini ayrtrarak(2.katman iin Ethernet, 802.11, 3. katman iin IP, ICMP ,4. katman iin tcp/udp gibi) ve bir st katmana sunar. Preprocessor: zmlenmi paketleri Snortun anlayaca daha anlaml paralar haline getirir. Snort yaplandrma dosyasndan aktif edilebilir ya da devre d braklabilir. Mesela port tarama aktif hale getirilirse Snort port tarama ilemlerini baar ile yakalayacaktr. Detection Engine: Snortun kalbi olarak da nitelendirilebilecek bu bileen paket decoder ve prep. bileenlerinden gelen paketleri detection pluginlerini ve nceden belirlenmi saldr imzalarn kullanarak 4. katman ve zerinde ileme sokar. Output: Snort tm bu ilemler sonucu bir uyar verir ve bu uyary kaydeder. Output plugini bu uyarnn nasl olaca ve nereye kaydedilecei konusunu ynetir. eitli output pluginler: Mysql, Oracle , syslog , ikili dosya format ve text dosyadr. [6]

6.3. Snort alma Modlar 6.3.1. Sniffer modu A trafiini izleme modudur. Bu modda altrmak iin aadaki komutlar kullanlabilir; Snortu, sadece geen paketleri izlemek zere sniffer modda altrabiliyorsunuz. Bu ekilde network aktivitelerini inceleme ansnz oluyor. [7] 6.3.2. Paket kaydedici modu Kayt ilemlerini ktk dosyas eklinde yapan alma eklidir. Paketleri diske loglamak iin kullanlan mod. eitli formatlarda paket kaydetme rnek, snort -dev -l ./log -h 192.168.0.0/24 Loglama seenekleri

 -d paketin veri ksmn da kaydetmek iin -e Layer2 balklarn kaydetmek iin -l Loglamann hangi dizine yaplacan belirtir 6.3.3. NIDS Network Based Intrusion Detection Systems Olay kayna olarak a zerinden akan paketler kullanlr. Genel geer kullanm alan olan, szma giriimlerini tespit etme modu. Bu modda, snort aksiyonlarn uygulanmasn salyor. [8] veri akn analiz ederek daha nceden tanmlanm kurallarla eletirme ilemi yapp ilgili kurallarda belirtilmi

ekil 4. A Tabanl Saldr Tespit Sistemleri

6.4. Gerekli Aralar Gerekli uygulamalar indiriyoruz. Snort_2_9_2_3_Installer.exe

http://www.snort.org

Snortrules-snapshot-2922.tar.gz WinPcap_4_1_2.exe

http://www.snort.org http://www.winpcap.org

6.5. Snortu Kurulduu Bilgisayarn letim Sistemi ve zellikleri Windows 7 Home Premium 32 Bit 3GB RAM

6.6. Snort Kurulumu in Gerekli Olan WinPcap Programnn Kurulmas WinPcap Win32 platformunda paket yakalama ve a analizi iin ak kaynak kodlu bir ktphanedir. Baz uygulamalarn adaki paketlere direk erimesi gerekir. WinPcap'in amac da bu tip eriimi Win32 uygulamalarna salamaktr. rnek olarak a trafii hakknda istatistiki bilgi toplama [9] WinPcap srm 4.1.2 yklemek iin izlenecek admlar: WinPcap_4.1.2.exe zerine ift tklayn WinPcap ekran>Sonraki >Sonraki ekran Hogeldiniz. Lisans ekran> l dmesine Agree zerine tklayn> tklayn Sonu.

ekil 5. WinPcap Program Kurulum Ekran

6.7. Snort Kurulumu in zlenecek Admlar Snortu C:\Snort dizinine kuruyoruz. Snort_2_9_2_3_Installer.exeift tklyoruz. Lisans Szlemesi ekran , Kabul Ediyorum dmesine tklayn Bileenleri sein ekran o 1.Tm bileenler kontrol edip leriyi tklayn. Ykleme konumunu seiyoruz. o 1.Varsaylan ykleme konumu not edin ve Kabul>leriyi tklayn. Kapat tklatn>Tamam tklatn.

ekil 6. Snort Program Kurulum Ekran

Kurulum sonras Snortrules-snapshot-2922.tar.gz sktrlm dosyann iindeki dosyasnn ieriini C:\Snort\rules iine kopyalyoruz.

rules

ekil 7. snortrules-snapshot-2922.tar.gz Dosyasnn erii

7. TEMEL SNORT YAPILANDIRMASI

Tm yaplandrmay tek dosyadan: Snort.conf (C:\Snort\etc) erisinde bulunan ksmlar:[10] Deikenler n lemciler k Eklentileri Harici Eklemeler Kurallar

ekil 8. snort.conf Temel erii

7.1. n lemciler (Preprocessors) Packet Decode -->Preprocessors -->Detection Engine Ama: Paket normalletirme Ip defragmentation Portscan Alglama

 Web trafik normalletirme vs Temel Kullanm preprocessor <name>: <options> Sk Kullanlan n ilemciler: Frag3, Stream4, Portscan, Telnet Decode, HTTP Inspect, SSH, DNS vs.

7.2. Kural Bal ve Kural Seenekleri Snort kural tanmlama dilinde her bir kural iki ksmdan oluur: Kural bal ve Kural seenekleri. Kural bal be blmdr; kural tepkisi (saldr tespit edildiinde verilecek tepki), ular arasndaki kaynak ve hedef bilgisi (protokole zg kaynak ve hedef IP adresleri ve port numaralar), trafik ak yn bilgisi ve protokol tr (TCP, UDP veya ICMP).

ekil 9. Snort Kural Yaps

Kural bal: paketin nerden gelip nereye gittiine ,eidine(tcp, udp, icmp, ip vs .) ve kurala uyan paketlerin akibetine karar verir. Kural seenekleri, belirtilen ktye kullanm ileminin gerekleip gereklemediine karar vermede kullanlan eitli koullardan oluur. rnek bir Snort kural ekil-9de verilmektedir. Her kuraln ilk alan eylemdir. ekil-9daki kuralda seilen eylem alerttir. Bunun anlam kuralda belirtilen kriterle eleen bir giri geldiinde, bir alarm oluturulacadr. Sonraki alan protokol bilgisini gstermektedir. rnek kuraldaki protokol TCPdir. nc ve drdnc alanlar kaynak adreslerden oluur; ilk ksm IP adresi, ikinci ksm kaynak port numarasdr. Eer bu alanda any any eklinde deerler bulunuyorsa bu, paketlerin herhangi bir IP adresinden ve herhangi bir TCP portundan gelebileceini gsterir. Beinci alan bilgi ak ynn gstermektedir. Altnc ve yedinci alanlar hedef adreslerden oluur. rnek kuraldaki hedef IP adresi 10.1.2.0/24 olarak verilmitir ve ilgili bir adaki btn IP adreslerini eler. Bu

rnekte TCP hedef portu 25 olarak ayarlanmtr. 25 numaral port, Simple Mail Transfer Protocol (SMTP) iin kullanlmaktadr [6]. Hedef adresi takiben parantez iinde seenekler listesi bulunmaktadr. Her seenek bir seenek ismi, varsa seenek deeri ve seenein bitiini gsteren bir noktal virglden oluur. ekil- 9da gsterilen kuralda ilk seenek msgdir ve eylem mesajn belirtmek iin kullanlmtr. kinci seenek olan content, bir ablon eleme kriterini belirtmektedir. rnekte giriin veri alan ksmnda expn root karakter dizisi aratlmaktadr. TCP veri alannda bu karakter dizisine rastland zaman, koul gereklemi olur. Bu kriterlerden birinin bile salanmamas halinde alarm retilmez. [11] 7.3. snort.conf Dosyasnn Yaplandrmas Snort ile ilgili tm ayarlamalar "snort.conf " dosyasndan yaplmaktadr. "snort.conf " dosyasnda ilk olarak a ayarlarnn yapld blm bulunmaktadr. Bu blmde mmkn olduunca ayrntl yaplandrlma yaplmasnda yarar vardr. Snort a yapsn ne kadar iyi bilirse o kadar performansl alacak ve daha az false positive retecektir. "snort.conf" dosyasnda IP adresleri "ipvar", port adresleri "portvar", genel bir deiken ise "var" anahtar szc kullanlarak tanmlanmaktadr. Korumaya altmz a HOME_NET, saldr beklediimiz a EXTERNAL_NET olarak tanmlanmtr. Korumaya altmz sunucularmz iin gerekli deikenler de burada tanmlanmtr. Bir varlk veya a adresi iin IP adresi tek bana veya liste olarak tanmlanabilir. A adresleri iin CIDR notasyonu da kullanlabilir. Liste veya CIDR notasyonu kullanlmas durumunda bu yaplandrma [] arasnda ifade edilir. Bir a veya IP listesinin dndakiler ifadesi iin ! sembol kullanlabilir. ipvar HOME_NET [1.1.1.1, 192.168.1.0/24, ![192.168.1.10, 192.168.1.11] ] .

Bu rnekte ev adresimiz 1.1.1.1 IP adresinden ve 192.168.1.0/24 andan olumaktadr ancak 192.168.1.10 ve 192.168.1.11 IP adresleri ev amza dahil deildir denilmi olunur. [11]

ekil 10. snort.conf Dosyasnn Bulunduu Dizin

ekil 11. "snort.conf" dosyasnn "Notepad++" ierisinden grnm

Aada ipvarlar var haline getiriliyor. Deitirmek zorunda deiliz.ipvar Pv6 y ve Pv4 destekliyor. Pv4 kullandmzdan dolay var yeterli.

ekil 12. snort.conf Yaplandrma Dosyas - 1

Kurallarn

bulunduu

yerin

yaplandrma

dosyasnda

tanmlanmas

gerekmektedir. ve

Yaplandrma

dosyasnda

"RULE_PATH,

SO_RULE_PATH

PREPROC_RULE_PATH deikenleri kurallarn bulunduu dizine gre dzenlenir.

ekil 13. snort.conf Yaplandrma Dosyas - 2

Slalarn

tersini

alyoruz. ve

Windows

zerinde dosyasnda

yaptmzdan

dolay de

uygulamay. ayarlanmas ve

"WHITE_LIST_PATH" gerekmektedir.

"BLACK_LIST_PATH"

deikenlerinin

Yaplandrma

WHITE_LIST_PATH

BLACK_LIST_PATH deikenleri whitelist.rules ve blacklist.rules dosyalarnn iinde bulunduu dizini gstermelidirler. Bu dosyalar C:\Snort\rules dizini altnda olacaktr.

ekil 14. snort.conf Yaplandrma Dosyas - 3

Komut stemi penceremizden ekranda iaretli ksm kopyalk. Kopyaladmz ksm bir altta belirtilen ksma yaptrdk.

ekil 15. Komut stemi Penceresi

ekil 16. snort.conf Yaplandrma Dosyas - 4

Zaman ve boyut ksmlarn sildik.

ekil 17. snort.conf Yaplandrma Dosyas 5

247. satr # karakteri ve directory ksmlarn silip, kalan ksm ise kopyalayp aada belirtilen satrlara ekliyoruz. snort.conf da yer alan n ilemciler(Preprocessors) ksmnda ki dzenlemeyi ifade ediyor.

ekil 18. snort.conf Yaplandrma Dosyas - 6

Aada da belirtilen satrlarda ki n ilemciler satr bana # karakteri eklenerek aktif durumdan pasif durumuna aldk.

ekil 19. snort.conf Yaplandrma Dosyas - 7

Yaplandrma dosyasnda ilk olarak ayarlanmas gereken blmlerden birisi de kt (output) ayarlarnn yapld blmdr. Snort farkl formatlarda kt retme yeteneine sahiptir. Bu formatlar ksaca yledir: alert_fast: Tek satrdan oluan, IP balklar gibi ayrntl bilgiler iermeyen ksa formatta ktlardr

alert_full: IP balklarn da ieren ayrntl formatta ktlardr. log_tcpdump: tcpdump formatnda ktlardr. alert_syslog: ktlar bir syslog sunucuya gnderilebilir. database: Snort ktlar veritabanna yazabilir. Ancak performans nedenlerinden dolay Snortun kaytlarn veritabanna yazmas tavsiye edilmemektedir. Veritabanna yazma ilemi barnyad2 uygulamas ile yaplabilir. unified: Snortun hzl bir ekilde loglar kaydetmesi iin gelitirilmi, binary formattaki kt trdr. unified2: unified formatnn yerine gelitirilmitir. unified formatndaki ktlar ile ayn performansta alr ancak kayt format birazck farkldr. Barnyard2 unified2 formatn kullanr. Belirtilen kt formatlarndan bizim kullanacamz kt format Snortun performansl alabilmesi iin gelitirilmi alert_fast formatdr. [11] Snort tm bu ilemler sonucu bir uyar verir ve bu uyary kaydeder. Output plugini bu uyarnn nasl olaca ve nereye kaydedilecei konusunu ynetir.543. satrda uyarnn fast olacan ve alerts.idsye kaydedeceimizi ifade ediyor.

ekil 20. Snort kaytlarnn kaydedilecei dosyann yaplandrlmas

ekil 21. snort.conf Yaplandrma Dosyas - 8

ekil 22. snort.conf Yaplandrma Dosyas 9

C:\Snort\rules dizininde white_list.rules kural dosyasn oluturuyoruz. Olutururken dosya uzantlarn gizlemeliyiz aksi durumda metin belgesi (.txt ) uzantl olarak alglyor.

ekil 23. Dosya Uzants Gizle Ekran

Bu ilemlerden sonra C:\Snort\rules dizini altnda white_list.rules ve black_list.rules dosyalarnn bulunup bulunmad test edilir. white_list.rules dosyas burada olmad iin bu dosya oluturulur.

ekil 24. white_list.rules Dosyasn Oluturduk

Yaplandrma dosyasnda yaplabilecek bir baka ayar kurallarn yazl olduu alt ksmda istenen kurallarn aktif edilmesi, istenmeyen kurallarn da kapatlmasdr. Basit olarak bir kuraln, rnek olarak ICMP ile ilgili kurallarn tamam kapatlmak istenirse kuraln tanml olduu satrn bana # koymak yeterli olacaktr.

ekil 25. snort.conf Yaplandrma Dosyas - 11

Bu durumda ICMP ile ilgili kurallarn tamam kapatlm olur. ICMP bal altndaki tm kurallarn kapatlmas yerine baz kurallarn kapatlmas istenirse ICMP kurallarnn tanml olduu dosya ierisinde (rnein "C:\Snort\rules\ icmp.rules" dosyas) istemediimiz kurallar kapatmak iin kuraln bana # eklemek, istediimiz kurallar amak iin kuraln bandaki # kaldrmak yeterlidir. Bu durumda snort.conf dosyasnda ICMP ile ilgili kuraln aktif olmas gereklidir.

ekil 26. snort.conf Yaplandrma Dosyas 12

ekil 27. snort.conf Yaplandrma Dosyas - 13

SNORT TEST

C:\>Snort\bin\snort ve C:\>Snort\bin\snort -? Yardm penceresini grntler.

ekil 1

Genel olarak kullanlan komutlar. Seenekler -c -l Anlam ana yaplandrma dosyasn belirtir log dosyas

-v -i

Verbose modu nterface numarasn belirtir

Komut stemi penceresi an ve unu yazn: cd c:\snort\bin

ekil 26 cd komutu ile yerel dizine geilir.

Interface Numaras snort W

ekil 27

snort-v-i 2 (2 bizim interface numaramz.) Snort servisinin altn test etmek amacyla Snort sniffer modunda altrldnda

aadaki gibi bir kt olacak ve Snort'un dinledii trafik grnecektir. [12]

ekil 28

Snort dna kn: ctrl + c

Daha ayrntl dinleme iin u komut kullanlr C:\>snort -vd i 2 C:\snort\bin>snort d -d=Uygulama katmanndaki paketlerin verilerini gstermek iin.Snort dinleyicisi

ekil 29

-e=balant katman iinde paket verilerini grntlemek iin -v=verbose mode -V Ayrntl saldr verileri vurgulamak ve tm verileri gsterir IDS Modunda Snort Burada -c parametresi ile hangi yaplandrma dosyasnn kullanlaca belirtiliyor. C:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log -K ascii -c =Yaplandrma dosyasn kullanyoruz(kural dosyasn kullanmak iin) -l =Dizin rehberi. -K =Logging mode. Eer tm admlar doru tamamlamsanz grdnz ekran aadaki gibi olmaldr.

ekil 30 alr durumda Snort ekran grnts

C:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log -i 2

ayrntl modda Snort alr ve Snort kurulum dizini altnda gnlk olarak adlandrlan dizinin tm bulgular kaydeder.

ekil 37 alerts.ids

T ve e parametreleri kullanlarak yakalanan paketlere ait sadece belirli alanlarn ekrana baslmas salanabilir( kaynak_ip hedef_ip port_numaras vs).

9. SONULAR Bu dkmnda snort Windows iletim sistemi zerine kurulumu test ksm ve saldr tespit sistemleri ile ilgili genel bilgiler iermektedir..lk aamada saldr tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisi iyi deil ise ileri seviyeye tamak gerekir.

KAYNAKLAR

[1] http://www.bga.com.tr/calismalar/ip_forensic.pdf [Ziyaret Tarihi: 05 Ocak 2012] [2] www.uyarer.com/linux/snort.odp [Ziyaret Tarihi: 05 Ocak 2012] [3] http://web.itu.edu.tr/~akingok/ab08/ZararliYazilimlarlaMucadele_AB08.pdf [Ziyaret

Tarihi: 05 Ocak 2012] [4] http://web.itu.edu.tr/~akingok/ab08/ZararliYazilimlarlaMucadele_AB08.pdf [Ziyaret

Tarihi: 05 Ocak 2012] [5] http://web.itu.edu.tr/~akingok/ab08/ZararliYazilimlarlaMucadele_AB08.pdf [Ziyaret

Tarihi: 05 Ocak 2012] [6] http://seminer.linux.org.tr/wp- tent/uploads/senlik07_acikod_saldiri_tespit_engelleme.pdf [Ziyaret Tarihi: 05 Ocak 2012] [7] http://www.syslogs.org/snort_inline-kurulumu/ [Ziyaret Tarihi: 05 Ocak 2012] [8] http://seminer.linux.org.tr/wp-content/uploads/snort.pdf [Ziyaret Tarihi: 05 Ocak 2012] [9] http://www.sorsana.co/132/winpcap-nedir#axzz2HWFXgLzE [Ziyaret Tarihi: 05 Ocak 2012] [10] http://security.metu.edu.tr/Documents/linuxguvenligi.txt [Ziyaret Tarihi: 05 Ocak 2012] [11] http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/snort-2.9.2-kurulumu-1.html [Ziyaret Tarihi: 05 Ocak 2012] [12] http://www.cozumpark.com/blogs/gvenlik/archive/2010/11/28/tshark-kullanarak-paketanalizi.aspxv [Ziyaret Tarihi: 05 Ocak 2012

ZGEM

KSEL BLGLER Ad Soyad Uyruu : Yasin KILI : T.C 11.09.1991

Doum Yeri ve Tarihi : Yldzeli

Adres

BEKTA MAH. MAV KENT STELER C BLOK DARE NO:6 MERKEZ/BLECK

Telefon e-mail

: 507 591 03 40 : yasin.dk58@gmail.com

ETM AKDAMADEN LSES BLECK NVERSTES

Lise niversite

: :

LG ALANLARI: C# ve C programlama

YABANCI DLLER: Orta dzey ngilizce