Professional Documents
Culture Documents
YasinKilic PDF
YasinKilic PDF
YASN KILI
(2013, 34 Sayfa)
Jri yeleri Yrd. Do. Dr. Cihan KARAKUZU Yrd. Do. Dr. Salim CEYHAN r. Gr. Murat ZALP
mza .. .. ..
Bu proje, snort saldr sistemi kurulumu yapp, trafik analizini gerekletirmek ve snortu test etmek iin yaplmtr.
Yasin KILI Bilecik eyh Edebali University Faculty of Engineering Department of Computer Engineering Supervisor: r. Gr. Murat ZALP (2013, 34 Pages)
Members of the Jury Yrd. Do. Dr. Cihan KARAKUZU Yrd. Do. Dr. Salim CEYHAN r. Gr. Murat ZALP
Sign .. .. ..
Bu proje, snort saldr sistemi kurulumu yapp, trafik analizini gerekletirmek ve snortu test etmek iin yaplmtr.
TEEKKR
Proje almalarm sresince gerek pratikte, gerekse aratrmalar konusunda yardmlarn esirgemeyen sayg deer r. Gr. Murat ZALP hocama ok teekkr ederim.
ekil 1. IDS Intrusion Detection System ....................................................................... 3 ekil 2. IPS Intrusion Protection System ....................................................................... 3 ekil 3. Basit bir a topolojisinde Snort STSnin konulandrlmas ............................... 6 ekil 4. NIDS Network Based Intrusion Detection Systems ............. Hata! Yer iareti tanmlanmam. ekil 5. WinPcap Uygulamasnn Kurulumu ................................................................. 10 ekil 6. Snort Program Kurulum Ekran ........................................................................ 11 ekil 7. snortrules-snapshot-2922.tar.gz Dosyasnn erii ......................................... 11 ekil 8. snort.conf Temel erii .................................................................................... 12 ekil 9. Kural Bal Ayrntl Aklama ....................................................................... 13 ekil 10. snort.conf Dosyasnn Bulunduu Dizin .......................................................... 14 ekil 11. "snort.conf" dosyasnn "Notepad++" ierisinden grnm .......................... 14 ekil 12. Snort.conf yaplandrma dosyas - 1 ................................................................ 15 ekil 13. Snort.conf yaplandrma dosyas - 2 ................................................................ 15 ekil 14. Snort.conf yaplandrma dosyas - 3 ................................................................ 16 ekil 15. Komut stemi Penceresi ................................................................................... 16 ekil 16. Snort.conf yaplandrma dosyas - 4 ................................................................ 17 ekil 17. Snort.conf yaplandrma dosyas - 5 ................................................................ 17 ekil 18. Snort.conf yaplandrma dosyas - 6 ................................................................ 18 ekil 19. Snort.conf yaplandrma dosyas - 7 ................................................................ 18 ekil 20. Snort kaytlarnn kaydedilecei dosyann yaplandrlmas ............................ 19 ekil 21. Snort.conf yaplandrma dosyas - 8 ................................................................ 19 ekil 22. Snort.conf yaplandrma dosyas - 9 ................................................................ 20 ekil 23. Dosya Uzants Gizle Ekran............................................................................ 20 ekil 24. white_list.rules Dosyasn Oluturduk ............................................................. 21 ekil 25. Snort.conf yaplandrma dosyas - 10 .............................................................. 21 ekil 26. Snort.conf yaplandrma dosyas - 11 .............................................................. 22 ekil 27. Snort.conf yaplandrma dosyas - 12 .............................................................. 22 ekil 28. Yardm Penceresi ............................................................................................. 23 ekil 29. cd komutu ile yerel dizine geilir. ................................................................ 24 ekil 30. interface no ...................................................................................................... 24 ekil 31. Akan Trafik ...................................................................................................... 25 ekil 32. Ayrntl Trafik ................................................................................................. 26 ekil 33. Daha Ayrntl Trafik ....................................................................................... 26 ekil 34. Uygulama Katman .......................................................................................... 27 ekil 35. alr durumda Snort ekran grnts ........................................................... 28 ekil 36. Log Ksm ........................................................................................................ 28
NDEKLER
ZET I ABSTRACT ....................................................................................................................II TEEKKR ................................................................. Hata! Yer iareti tanmlanmam. EKLLERN LSTES .............................................................................................. III NDEKLER............................................................................................................. IV 1. 2. GR .................................................................... Hata! Yer iareti tanmlanmam. SALDIRI TESPT VE ENGELLEME SSTEMLER ......................................... 2 2.1. Genel Bilgi ......................................................................................................... 2 Anormallik tespiti ...................................................................................... 2 Ktye kullanm tespiti ............................................................................. 2
2.1.1. 2.1.2. 3. 4. 5. 6.
IDS Intrusion Detection System ........................................................................... 2 IPS Intrusion Protection System.......................................................................... 3 IDS/IPS YERLEM .............................................................................................. 3 SNORT ...................................................................................................................... 4 6.1. 6.2. 6.3. TCP/IP Protokol Nedir? ................................................................................ 4 Snort Bileenleri ................................................................................................ 6 Snort alma Modlar ..................................................................................... 6 Sniffer modu .............................................................................................. 6 Paket kaydedici modu ............................................................................... 6 NIDS Network Based Intrusion Detection Systems ............................ 7
Gerekli Aralar ................................................................................................. 7 Snortu Kurulduu Bilgisayarn letim Sistemi ve zellikleri ................... 8 Snort Kurulumu in Gerekli Olan WinPcap Programnn Kurulmas .... 8 Snort Kurulumu in zlenecek Admlar ....................................................... 9
7.
TEMEL SNORT YAPILANDIRMASI................................................................ 11 7.1. 7.2. 7.3. n lemciler (Preprocessors) ....................................................................... 11 Kural Bal ve Kural Seenekleri .............................................................. 12 snort.conf Yaplandrmas ............................................................................ 12
8. 9.
SMGELER VE KISALTMALAR Bu almada kullanlm simgeler ve ksaltmalar, aklamalar ile birlikte aada sunulmutur. Ksaltmalar STS IDS IPS NIDS HIDS RAM IP ISP LAN PDP TCP DMZ Aklama Saldr Tespit Sistemi Intrusion Detection System Intrusion Protection System Network Based Intrusion Detection Systems Host Based Intrusion Systems Random Access Memory Internet Protocol Internet Service Provider Local Area Network Packet Data Protocol Transmission Control Protocol DeMilitarized Zone
1. GR
Gnmz modern insannn hayat iki farkl dnyadan olumaktadr. Bu dnyalardan biri fiziksel olarak yaadmz sosyal hayatmz dieri de en az sosyal hayat kadar vakit geirdiimiz ve baml olduumuz siber dnyadr. Siber dnyann sunduu olanaklar arttka, gerek hayattaki bir ok ilev siber/sanal versiyonuyla yer deitirmektedir ki bu da insanlarn siber dnyaya daha fazla baml olmasna sebep olmaktadr. Siber dnya kavram detayl olarak incelenirse bu dnyann iki farkl profilde insanlara olanak salad ortaya kacaktr. Profillerden biri ilerini daha rahat yapabilmek iin siber dnyann olanaklarn kullanan masum vatanda, dieri de bu dnyay kt amal kullanmak isteyen su ebekeleri. 2000li yllardan itibaren ilenen sular yakndan incelenirse siber dnyann -dolaysyla da biliimin- su rgtleri tarafndan ciddi bir ekilde kullanld grlecektir Bu dokmann amac bir tr Saldr Tespit Sistemi (Intrusion Detection System) olan Snort. 2.9.2.3nn Windows 7 Home Premium iletim sistemi zerine kurulabilmesini salamaktr.
2.1. Genel Bilgi Sisteme deiik amalarla dardan szan veya szmaya alan saldrganlar ve sistem kaynaklarn uygunsuz ya da yetkilerini aan biimde kullanan kullanclar tespit etmeyi amalayan sistemlerdir. A bazndaki saldrlar tespit eden sistemlere: A Tabanl Saldr Tespit Sistemleri(Network Based Intrusion Detection Systems NIDS) Tek bir bilgisayar sistemine yaplan saldrlar tespit eden sistemlere ise Bilgisayar Tabanl Saldr Tespit Sistemleri (Host Based Intrusion Systems HIDS) denir. Saldr tespit sistemleri alma mantna gre ikiye ayrlr; 2.1.1. Anormallik tespiti Normal ve anormal davran mantna gre alr. Normal koullar altnda belirli bir sre renmesi iin altrlmas gerekir. Sistem rendii dnda meydana gelen olaylarda alarm verir. Gnmzde bu model ok sayda yanl alarm rettii iin ve tanmlama evresinin ok zahmetli ve saf olmadndan tercih edilmez [1] 2.1.2. Ktye kullanm tespiti Bu modelde saldrlar nceden sisteme tantlmtr. Devaml olarak akan ip trafiini dinler, Paketleri kendi elinde tanmlanm saldr kurallar ile karlatrr. Eer aksi bir durum meydana gelirse alarm retir. Tabi ki saldr kurallarnn da devaml olarak takip edilip gncellenmesi gerekir.[2] Normal davran
5. IDS/IPS YERLEM
Gnmzde gvenlik duvarlar btnleik olarak IDS/IPS mekanizmalarna sahip olduklar gibi, bu sistemler ayr olarak da kurulabilmektedir. yi yaplandrlm bir IDS/IPS sistemi; a pek ok kt yazlmdan izole edebilecei gibi, sorunun kaynan tespitini de
hzlandrmaktadr. Ancak bu sistemlerin iyi bir ekilde ayarlanmamas ve devaml takip edilmemesi, yanl tespitler sonucu sorununu da karabilmektedir. Bu sistemler iin, ticari zmler kullanabilecei gibi Snort gibi ak kaynak koduna sahip zmler de kullanlabilir.
[3]
An durumuna gre yerleim nemli Firewall n Ykl miktarda uyar, gereksiz trafik Tehditleri daha iyi belirler Firewall arkas Sadece firewallan geen paketler, trafik younluu az Tehditleri daha az belirleyebilir.
6. SNORT
Snort dnyada en fazla tercih edilen ak kaynak kodlu IDS/IPS yazlmdr. Snortu kiisel bilgisayarda ve gigabit alara kadar her ortamda kullanabiliriz. Snort eer iyi yaplandrlrsa i ortamlarnda en az dier rakipleri kadar baarl olur. Gnmzde Snortun kullanm genelde IPS olarak deil IDS olarak yaygndr. Snort yksek trafiklerde iyi bir ekilde konfigre edilmelidir. lk aamada saldr tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisi iyi deil ise ileri seviyeye tamak gerekiyor. [4] 6.1 TCP/IP Protokol Nedir? TCP/IP, her geen gn deien, gelien ve iinde birok alararas iletiim (internetworking) protokolleri barndran bir protokol ytdr. Amerikan Savunma Bakanl tarafndan nkleer sava durumunda bile alabilecek bir sistem olarak tasarlanmtr. Daha ok akademik ortamlarda gelitirilen bu protokol, firmalardan bamsz olduu iin dnya apnda farkl sistemler arasnda iletiim iin (yani Internette) en yaygn kullanlan protokoldr. TCP/IP, Interneti yaratan protokoldr dersek yanl olmaz. TCP/IP Protokol yt, OSI modelin 7 katmanna karlk gelen 4 katmandan olumaktadr: Uygulama: OSInin son katmanlarna (5-6-7) karlk gelir
Transport: Gvenilirlik, ak (flow) kontrol ve hata dzeltme gibi servis kalitesini belirleyen parametrelerle urar. Balantl (TCP) ve balantsz (UDP) servisleri ierir. Internet: Ama izlenen yollardan ve alardan bamsz olarak hedef cihaza veri iletiminin salanmasdr. Yol (path) belirleme ve veriyi o yola ynlendirmek (routing) iin paket anahtarlama bu seviyede yaplr. IP protokol kullanlr. Network Access: OSInin ilk iki katmanna (1-2) karlk gelir. [5]
6.2. Snort Bileenleri Libpcap : Snortun Ethernet kartndan ham verileri almasna yarayan bileen. Decoder: Libpcapin gnderdii 2. katman verisini ayrtrarak(2.katman iin Ethernet, 802.11, 3. katman iin IP, ICMP ,4. katman iin tcp/udp gibi) ve bir st katmana sunar. Preprocessor: zmlenmi paketleri Snortun anlayaca daha anlaml paralar haline getirir. Snort yaplandrma dosyasndan aktif edilebilir ya da devre d braklabilir. Mesela port tarama aktif hale getirilirse Snort port tarama ilemlerini baar ile yakalayacaktr. Detection Engine: Snortun kalbi olarak da nitelendirilebilecek bu bileen paket decoder ve prep. bileenlerinden gelen paketleri detection pluginlerini ve nceden belirlenmi saldr imzalarn kullanarak 4. katman ve zerinde ileme sokar. Output: Snort tm bu ilemler sonucu bir uyar verir ve bu uyary kaydeder. Output plugini bu uyarnn nasl olaca ve nereye kaydedilecei konusunu ynetir. eitli output pluginler: Mysql, Oracle , syslog , ikili dosya format ve text dosyadr. [6]
6.3. Snort alma Modlar 6.3.1. Sniffer modu A trafiini izleme modudur. Bu modda altrmak iin aadaki komutlar kullanlabilir; Snortu, sadece geen paketleri izlemek zere sniffer modda altrabiliyorsunuz. Bu ekilde network aktivitelerini inceleme ansnz oluyor. [7] 6.3.2. Paket kaydedici modu Kayt ilemlerini ktk dosyas eklinde yapan alma eklidir. Paketleri diske loglamak iin kullanlan mod. eitli formatlarda paket kaydetme rnek, snort -dev -l ./log -h 192.168.0.0/24 Loglama seenekleri
-d paketin veri ksmn da kaydetmek iin -e Layer2 balklarn kaydetmek iin -l Loglamann hangi dizine yaplacan belirtir 6.3.3. NIDS Network Based Intrusion Detection Systems Olay kayna olarak a zerinden akan paketler kullanlr. Genel geer kullanm alan olan, szma giriimlerini tespit etme modu. Bu modda, snort aksiyonlarn uygulanmasn salyor. [8] veri akn analiz ederek daha nceden tanmlanm kurallarla eletirme ilemi yapp ilgili kurallarda belirtilmi
Snortrules-snapshot-2922.tar.gz WinPcap_4_1_2.exe
http://www.snort.org http://www.winpcap.org
6.5. Snortu Kurulduu Bilgisayarn letim Sistemi ve zellikleri Windows 7 Home Premium 32 Bit 3GB RAM
6.6. Snort Kurulumu in Gerekli Olan WinPcap Programnn Kurulmas WinPcap Win32 platformunda paket yakalama ve a analizi iin ak kaynak kodlu bir ktphanedir. Baz uygulamalarn adaki paketlere direk erimesi gerekir. WinPcap'in amac da bu tip eriimi Win32 uygulamalarna salamaktr. rnek olarak a trafii hakknda istatistiki bilgi toplama [9] WinPcap srm 4.1.2 yklemek iin izlenecek admlar: WinPcap_4.1.2.exe zerine ift tklayn WinPcap ekran>Sonraki >Sonraki ekran Hogeldiniz. Lisans ekran> l dmesine Agree zerine tklayn> tklayn Sonu.
6.7. Snort Kurulumu in zlenecek Admlar Snortu C:\Snort dizinine kuruyoruz. Snort_2_9_2_3_Installer.exeift tklyoruz. Lisans Szlemesi ekran , Kabul Ediyorum dmesine tklayn Bileenleri sein ekran o 1.Tm bileenler kontrol edip leriyi tklayn. Ykleme konumunu seiyoruz. o 1.Varsaylan ykleme konumu not edin ve Kabul>leriyi tklayn. Kapat tklatn>Tamam tklatn.
Kurulum sonras Snortrules-snapshot-2922.tar.gz sktrlm dosyann iindeki dosyasnn ieriini C:\Snort\rules iine kopyalyoruz.
rules
Tm yaplandrmay tek dosyadan: Snort.conf (C:\Snort\etc) erisinde bulunan ksmlar:[10] Deikenler n lemciler k Eklentileri Harici Eklemeler Kurallar
7.1. n lemciler (Preprocessors) Packet Decode -->Preprocessors -->Detection Engine Ama: Paket normalletirme Ip defragmentation Portscan Alglama
Web trafik normalletirme vs Temel Kullanm preprocessor <name>: <options> Sk Kullanlan n ilemciler: Frag3, Stream4, Portscan, Telnet Decode, HTTP Inspect, SSH, DNS vs.
7.2. Kural Bal ve Kural Seenekleri Snort kural tanmlama dilinde her bir kural iki ksmdan oluur: Kural bal ve Kural seenekleri. Kural bal be blmdr; kural tepkisi (saldr tespit edildiinde verilecek tepki), ular arasndaki kaynak ve hedef bilgisi (protokole zg kaynak ve hedef IP adresleri ve port numaralar), trafik ak yn bilgisi ve protokol tr (TCP, UDP veya ICMP).
Kural bal: paketin nerden gelip nereye gittiine ,eidine(tcp, udp, icmp, ip vs .) ve kurala uyan paketlerin akibetine karar verir. Kural seenekleri, belirtilen ktye kullanm ileminin gerekleip gereklemediine karar vermede kullanlan eitli koullardan oluur. rnek bir Snort kural ekil-9de verilmektedir. Her kuraln ilk alan eylemdir. ekil-9daki kuralda seilen eylem alerttir. Bunun anlam kuralda belirtilen kriterle eleen bir giri geldiinde, bir alarm oluturulacadr. Sonraki alan protokol bilgisini gstermektedir. rnek kuraldaki protokol TCPdir. nc ve drdnc alanlar kaynak adreslerden oluur; ilk ksm IP adresi, ikinci ksm kaynak port numarasdr. Eer bu alanda any any eklinde deerler bulunuyorsa bu, paketlerin herhangi bir IP adresinden ve herhangi bir TCP portundan gelebileceini gsterir. Beinci alan bilgi ak ynn gstermektedir. Altnc ve yedinci alanlar hedef adreslerden oluur. rnek kuraldaki hedef IP adresi 10.1.2.0/24 olarak verilmitir ve ilgili bir adaki btn IP adreslerini eler. Bu
rnekte TCP hedef portu 25 olarak ayarlanmtr. 25 numaral port, Simple Mail Transfer Protocol (SMTP) iin kullanlmaktadr [6]. Hedef adresi takiben parantez iinde seenekler listesi bulunmaktadr. Her seenek bir seenek ismi, varsa seenek deeri ve seenein bitiini gsteren bir noktal virglden oluur. ekil- 9da gsterilen kuralda ilk seenek msgdir ve eylem mesajn belirtmek iin kullanlmtr. kinci seenek olan content, bir ablon eleme kriterini belirtmektedir. rnekte giriin veri alan ksmnda expn root karakter dizisi aratlmaktadr. TCP veri alannda bu karakter dizisine rastland zaman, koul gereklemi olur. Bu kriterlerden birinin bile salanmamas halinde alarm retilmez. [11] 7.3. snort.conf Dosyasnn Yaplandrmas Snort ile ilgili tm ayarlamalar "snort.conf " dosyasndan yaplmaktadr. "snort.conf " dosyasnda ilk olarak a ayarlarnn yapld blm bulunmaktadr. Bu blmde mmkn olduunca ayrntl yaplandrlma yaplmasnda yarar vardr. Snort a yapsn ne kadar iyi bilirse o kadar performansl alacak ve daha az false positive retecektir. "snort.conf" dosyasnda IP adresleri "ipvar", port adresleri "portvar", genel bir deiken ise "var" anahtar szc kullanlarak tanmlanmaktadr. Korumaya altmz a HOME_NET, saldr beklediimiz a EXTERNAL_NET olarak tanmlanmtr. Korumaya altmz sunucularmz iin gerekli deikenler de burada tanmlanmtr. Bir varlk veya a adresi iin IP adresi tek bana veya liste olarak tanmlanabilir. A adresleri iin CIDR notasyonu da kullanlabilir. Liste veya CIDR notasyonu kullanlmas durumunda bu yaplandrma [] arasnda ifade edilir. Bir a veya IP listesinin dndakiler ifadesi iin ! sembol kullanlabilir. ipvar HOME_NET [1.1.1.1, 192.168.1.0/24, ![192.168.1.10, 192.168.1.11] ] .
Bu rnekte ev adresimiz 1.1.1.1 IP adresinden ve 192.168.1.0/24 andan olumaktadr ancak 192.168.1.10 ve 192.168.1.11 IP adresleri ev amza dahil deildir denilmi olunur. [11]
Aada ipvarlar var haline getiriliyor. Deitirmek zorunda deiliz.ipvar Pv6 y ve Pv4 destekliyor. Pv4 kullandmzdan dolay var yeterli.
Kurallarn
bulunduu
yerin
yaplandrma
dosyasnda
tanmlanmas
gerekmektedir. ve
Yaplandrma
dosyasnda
"RULE_PATH,
SO_RULE_PATH
Slalarn
tersini
alyoruz. ve
Windows
zerinde dosyasnda
yaptmzdan
dolay de
uygulamay. ayarlanmas ve
"WHITE_LIST_PATH" gerekmektedir.
"BLACK_LIST_PATH"
deikenlerinin
Yaplandrma
WHITE_LIST_PATH
BLACK_LIST_PATH deikenleri whitelist.rules ve blacklist.rules dosyalarnn iinde bulunduu dizini gstermelidirler. Bu dosyalar C:\Snort\rules dizini altnda olacaktr.
Komut stemi penceremizden ekranda iaretli ksm kopyalk. Kopyaladmz ksm bir altta belirtilen ksma yaptrdk.
247. satr # karakteri ve directory ksmlarn silip, kalan ksm ise kopyalayp aada belirtilen satrlara ekliyoruz. snort.conf da yer alan n ilemciler(Preprocessors) ksmnda ki dzenlemeyi ifade ediyor.
Aada da belirtilen satrlarda ki n ilemciler satr bana # karakteri eklenerek aktif durumdan pasif durumuna aldk.
Yaplandrma dosyasnda ilk olarak ayarlanmas gereken blmlerden birisi de kt (output) ayarlarnn yapld blmdr. Snort farkl formatlarda kt retme yeteneine sahiptir. Bu formatlar ksaca yledir: alert_fast: Tek satrdan oluan, IP balklar gibi ayrntl bilgiler iermeyen ksa formatta ktlardr
alert_full: IP balklarn da ieren ayrntl formatta ktlardr. log_tcpdump: tcpdump formatnda ktlardr. alert_syslog: ktlar bir syslog sunucuya gnderilebilir. database: Snort ktlar veritabanna yazabilir. Ancak performans nedenlerinden dolay Snortun kaytlarn veritabanna yazmas tavsiye edilmemektedir. Veritabanna yazma ilemi barnyad2 uygulamas ile yaplabilir. unified: Snortun hzl bir ekilde loglar kaydetmesi iin gelitirilmi, binary formattaki kt trdr. unified2: unified formatnn yerine gelitirilmitir. unified formatndaki ktlar ile ayn performansta alr ancak kayt format birazck farkldr. Barnyard2 unified2 formatn kullanr. Belirtilen kt formatlarndan bizim kullanacamz kt format Snortun performansl alabilmesi iin gelitirilmi alert_fast formatdr. [11] Snort tm bu ilemler sonucu bir uyar verir ve bu uyary kaydeder. Output plugini bu uyarnn nasl olaca ve nereye kaydedilecei konusunu ynetir.543. satrda uyarnn fast olacan ve alerts.idsye kaydedeceimizi ifade ediyor.
C:\Snort\rules dizininde white_list.rules kural dosyasn oluturuyoruz. Olutururken dosya uzantlarn gizlemeliyiz aksi durumda metin belgesi (.txt ) uzantl olarak alglyor.
Bu ilemlerden sonra C:\Snort\rules dizini altnda white_list.rules ve black_list.rules dosyalarnn bulunup bulunmad test edilir. white_list.rules dosyas burada olmad iin bu dosya oluturulur.
Yaplandrma dosyasnda yaplabilecek bir baka ayar kurallarn yazl olduu alt ksmda istenen kurallarn aktif edilmesi, istenmeyen kurallarn da kapatlmasdr. Basit olarak bir kuraln, rnek olarak ICMP ile ilgili kurallarn tamam kapatlmak istenirse kuraln tanml olduu satrn bana # koymak yeterli olacaktr.
Bu durumda ICMP ile ilgili kurallarn tamam kapatlm olur. ICMP bal altndaki tm kurallarn kapatlmas yerine baz kurallarn kapatlmas istenirse ICMP kurallarnn tanml olduu dosya ierisinde (rnein "C:\Snort\rules\ icmp.rules" dosyas) istemediimiz kurallar kapatmak iin kuraln bana # eklemek, istediimiz kurallar amak iin kuraln bandaki # kaldrmak yeterlidir. Bu durumda snort.conf dosyasnda ICMP ile ilgili kuraln aktif olmas gereklidir.
SNORT TEST
ekil 1
Genel olarak kullanlan komutlar. Seenekler -c -l Anlam ana yaplandrma dosyasn belirtir log dosyas
-v -i
ekil 27
snort-v-i 2 (2 bizim interface numaramz.) Snort servisinin altn test etmek amacyla Snort sniffer modunda altrldnda
ekil 28
Daha ayrntl dinleme iin u komut kullanlr C:\>snort -vd i 2 C:\snort\bin>snort d -d=Uygulama katmanndaki paketlerin verilerini gstermek iin.Snort dinleyicisi
ekil 29
-e=balant katman iinde paket verilerini grntlemek iin -v=verbose mode -V Ayrntl saldr verileri vurgulamak ve tm verileri gsterir IDS Modunda Snort Burada -c parametresi ile hangi yaplandrma dosyasnn kullanlaca belirtiliyor. C:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log -K ascii -c =Yaplandrma dosyasn kullanyoruz(kural dosyasn kullanmak iin) -l =Dizin rehberi. -K =Logging mode. Eer tm admlar doru tamamlamsanz grdnz ekran aadaki gibi olmaldr.
ayrntl modda Snort alr ve Snort kurulum dizini altnda gnlk olarak adlandrlan dizinin tm bulgular kaydeder.
ekil 37 alerts.ids
T ve e parametreleri kullanlarak yakalanan paketlere ait sadece belirli alanlarn ekrana baslmas salanabilir( kaynak_ip hedef_ip port_numaras vs).
9. SONULAR Bu dkmnda snort Windows iletim sistemi zerine kurulumu test ksm ve saldr tespit sistemleri ile ilgili genel bilgiler iermektedir..lk aamada saldr tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisi iyi deil ise ileri seviyeye tamak gerekir.
KAYNAKLAR
[1] http://www.bga.com.tr/calismalar/ip_forensic.pdf [Ziyaret Tarihi: 05 Ocak 2012] [2] www.uyarer.com/linux/snort.odp [Ziyaret Tarihi: 05 Ocak 2012] [3] http://web.itu.edu.tr/~akingok/ab08/ZararliYazilimlarlaMucadele_AB08.pdf [Ziyaret
Tarihi: 05 Ocak 2012] [6] http://seminer.linux.org.tr/wp- tent/uploads/senlik07_acikod_saldiri_tespit_engelleme.pdf [Ziyaret Tarihi: 05 Ocak 2012] [7] http://www.syslogs.org/snort_inline-kurulumu/ [Ziyaret Tarihi: 05 Ocak 2012] [8] http://seminer.linux.org.tr/wp-content/uploads/snort.pdf [Ziyaret Tarihi: 05 Ocak 2012] [9] http://www.sorsana.co/132/winpcap-nedir#axzz2HWFXgLzE [Ziyaret Tarihi: 05 Ocak 2012] [10] http://security.metu.edu.tr/Documents/linuxguvenligi.txt [Ziyaret Tarihi: 05 Ocak 2012] [11] http://www.bilgiguvenligi.gov.tr/saldiri-tespit-sistemleri/snort-2.9.2-kurulumu-1.html [Ziyaret Tarihi: 05 Ocak 2012] [12] http://www.cozumpark.com/blogs/gvenlik/archive/2010/11/28/tshark-kullanarak-paketanalizi.aspxv [Ziyaret Tarihi: 05 Ocak 2012
ZGEM
Adres
Telefon e-mail
Lise niversite
: :
LG ALANLARI: C# ve C programlama