Snort IPS Etiketli Yazılar

BGA Blog yazıları

Snort Kullanarak Zararlı Yazılım Tespiti
2014

Snort Kullanarak Zararlı Yazılım Tespiti

Zararlı yazılımları ve aktivitelerini ağ seviyesinde tespit edebilmek kurumların bilgi güvenliği ihlallerine karşı atması gereken önemli adımlardan biridir. Mevcut IDS/IPS'leri yeni tehtitlere karşı güncel tutabilmek veya özel senaryolar için uygun tanımlamaları yapabilmek bu konuda etkin bir savunma için gereklidir. Yazıda, bir zararlı yazılımın ağ trafiğinin tanınmasını sağlayacak kendine has özelliklerini tespit edip bu özellikleri yakalayacak Snort kuralları yazılarak, örnek yöntemler ve izlenebilecek yollar açıklanmıştır. Örnek senaryoda HTTP ve SMTP trafiği oluşturan bir…
Devamı
Snort IPS Eğitimi Notları Güncellendi
2010

Snort IPS Eğitimi Notları Güncellendi

10-11 Temmuz 2010 tarihli Snort eğitimi sonrası güncellenen eğitim notları ve başlıkları aşağıdaki gibidir.10-11 Temmuz’daki eğitime katılanlar, daha önce aynı eğitimi alanlar eğitim notlarını  http://www.bga.com.tr/?page_id=33&postTabs=5 adresinden indirilebilir.1-Snort Saldırı Tespit ve Engelleme Sistemi Giriş2-TCP/IP Ağlarda Güvenlik Zaafiyetleri3-TCP/IP Ağlarda Paket Analizi, Sniffing4-TCP/IP Ağlarda Tuzak Sistemler(Honeypots)5-Siber Dünyada Sınır Koruma Bileşenleri6-Snort’u IDS, ADS, ARS, IPS ve DLP Amaçlı Kullanma7-Snort Kurulumu8-Snort Konfigürasyonu9-Snort Kuralları, İmzaları10-Aktif Yanıt Sistemi Olarak Kullanma(Flexresp ve Snortsam)11-Snort’u IPS Olarak Kullanma(snort_inline)12-IDS/IPS Performans Ayarları13-IDS/IPS Sistemler ve…
Devamı
Kurumsal İş Ortamlarında Snort Kullanımı
2010

Kurumsal İş Ortamlarında Snort Kullanımı

Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır. Snort’u temel alarak geliştirilen Sourcefire 3D sistemi Gartner raporlarında hep en üst sıralarda yer almaktadır.Bu yazı Snort’un güçlü yanları ve iş ortamlarında kullanımı için bilinmesi gereken temel hususları içermektedir ve Snort hakkında yanlış bilinen birçok konuyu da aydınlatmaktadır.Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama…
Devamı
Snort Çıktılarında IP Adreslerini Gizleme
2010

Snort Çıktılarında IP Adreslerini Gizleme

Zaman zaman e-posta listelerine örnek trafik çıktıları gönderilmektedir, bu trafik çıktılarında gereksiz yere şirketin internete doğrudan verilmemiş ip adresleri yer alabilir. Bunun önüne geçebilmek amacıyla Snort, ağ üzerinden yakaladığı trafikteki IP adreslerini gizleme özelliği sunmaktadır.-O parametresi kullanılarak alınan örneklerde kaynak ve hedef IP adresi alanlarında xxx.xxx.xxx.xxx değeri gözükecektir.# snort -O -vdSnort BPF option: …Running in packet dump mode–== Initializing Snort ==–Initializing Output Plugins!Verifying Preprocessor Configurations!****** interface device lookup found: pflog0***Initializing Network Interface…
Devamı
Hangi Snort Kuralı Ne İşe Yarar?
2010

Hangi Snort Kuralı Ne İşe Yarar?

Snort -Saldırı Tespit ve Engelleme Sistemi- kuralları/imzaları tekil numaralara sahiptir(SID). Bir kural/imzanın ne yaptığına , hangi sistemlere yönelik bir açıklığı engellediği, false positive oranı vs gibi bilgilere derli toplu erişmek pek kolay değil.Bu konuda Snort kullanıcılarına yardımcı olmak amacıyla geliştirilmiş snortid.com adresi kullanılabilir. Snortid.com adresine girilecek herhangi bir snort ID’sine karşılık o kuralla ilgili tüm bilgiler ekrana dökülecektir.
Devamı
Saldırı Tespit Sisteminiz(Snort) Paket Kaçırıyor mu?
2010

Saldırı Tespit Sisteminiz(Snort) Paket Kaçırıyor mu?

Snort kullanılan ortamlarda en önemli parametrelerden biri Snort’un trafiğin ne kadarını işleyebildiğidir. Çeşitli sebeplerden dolayı Snort paket kaçırıyor olabilir.Paket kaçırma demek daha çok false positive, false negative demektir. Yani kısaca saldırı tespit sisteminin ne kadar işlevsel olduğu paket kaçırma oranıyla ters orantılıdır. Ne kadar az paket kaçırıyorsa o kadar sağlıklı çalışıyor demektir.Snort kullanımında proses sonlandırıldıktan sonra ekrana ne kadar trafik yakaladığı, ne kadar trafiği düşürdüğü, trafiğin ne kadarı hangi protokolden oluşuyor gibi…
Devamı
Snort IPS(Saldırı Engelleme Sistemi) Eğitimi 10-11 Temmuz 2010
2010

Snort IPS(Saldırı Engelleme Sistemi) Eğitimi 10-11 Temmuz 2010

Günümüz sınır güvenliğinin en önemli bileşeni Saldırı Engelleme Sistemleri hakkında uygulamalı bilgi sahibi olmak ve bu işi profesyonel olarak yapmak isteyenler için kaçırılmayacak eğitim fırsatı…Eğitim kontenjanımız 10 kişiyle sınırlıdır.Eğitim içeriği Snort Certified Professional (SnortCP) ile uyumludur.Snort IPS eğitimi ileri seviye bir eğitim olduğu için katılımcıların orta seviye TCP/IP bilgisine sahip olmaları beklenmektedir. TCP/IP güvenliği konusunda yeterlililik durumunuzu görmek için aşağıdaki değerlendirme sınavlarını kullanabilirsiniz.http://www.bga.com.tr/?p=1400http://www.bga.com.tr/?p=1301Kayıt için bilgi@bga.com.tr adresine e-posta gönderilmesi yeterlidir. Kayıt formu e-posta…
Devamı
Snort Kullanarak Ultrasurf engelleme
2010

Snort Kullanarak Ultrasurf engelleme

Linux-güvenlik listesinde hararetli bir şekilde Ultrasurf’u engelleme konusu tartışılıyordu. Arkadaşlardan biri Ultrasurf’ün SSL bağlantısı kurarken kullandığı Client Hello mesajlarının Ultrasurf için klasik uygulamalardan farklı olduğunu bulmuş.Buradan yola çıkarak 443. port’da bu değerin geçtiği paketleri yakalayıp engelleyerek Ultrasurf’ün sunuculara bağlantısı engellenebilir.Gerçekten çalışıyor mu, false positive oranı nedir diye çalakalem bir Snort kuralı yazıp test ettim, evet problemsiz çalışıyor gözüküyor. Tabi Ultrareach(Ultrasurf gelistiricileri) yeni sürümlerde bu değeri değiştirirse kuralın da güncellenmesi gerekecek.alert tcp $HOME_NET…
Devamı