Comprendre les règles Snort3

Options de téléchargement

  • PDF     (290.1 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (113.2 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (99.4 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 octobre 2022
ID du document:218349

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les règles pour le Snort3 moteur dans le Secure Firewall Threat Defense (FTD)routeur Cisco.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Cisco Secure Firewall Threat Defense (FTD)
    • Intrusion Prevention System (IPS)
    • Snort2 syntaxe

    Licences

    Aucune condition de licence spécifique, la licence de base est suffisante et les fonctionnalités mentionnées sont incluses dans le moteur Snort dans le FTD et dans les versions open source de Snort3.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Secure Firewall Threat Defense (FTD), Cisco Secure Firewall Management Center (FMC) version 7.0+ avec Snort3.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Snort est le moteur Cisco IPS capable d'analyser le trafic en temps réel et de consigner les paquets.

    Snort peut analyser les protocoles, rechercher du contenu et détecter les attaques.

    Snort3 est une version mise à jour du Snort2 IPS avec une nouvelle architecture logicielle qui améliore les performances, la détection, l'évolutivité et la convivialité.

    Règles Snort3

    Ils utilisent ce format LUA pour faciliter la lecture, Snort3 l'écriture et la vérification des règles.

    Actions de règle

    Cette nouvelle version modifie les actions de règle. Les nouvelles définitions sont les suivantes :

    • Pass: Arrêter l'évaluation des règles suivantes par rapport au paquet
    • Alert: Générer un événement uniquement
    • Block: Supprimer le paquet, bloquer la session restante 
    • Drop: Supprimer le paquet uniquement
    • Rewrite: Obligatoire si l'option remplace est utilisée
    • React: Envoyer la page de réponse de bloc HTML
    • Reject: Injecter TCP RST ou ICMP inaccessible

    Anatomie des règles

    L'anatomie est :

    rule anatomy

    L'en-tête de règle contient l'action, le protocole, le ou les réseaux source et de destination, ainsi que le ou les ports.

    Dans Snort3, l'en-tête de règle peut être l'une des options suivantes :

    • En-tête de règle de service
    <iline" lang="lua">alert http 
( 
msg:"Alert HTTP rule";
flow:to_client,established;
content:"evil", nocase;
sid:1000001;
)
    • En-tête de règle de fichier
    alert file 
( 
msg: “Alert File example”; 
file_data; 
content:”malicious_stuff”; 
sid:1000006; 
)
    • En-tête de règle conventionnelle
    alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS 
( 
msg:"Alert HTTP rule";
flow:to_client,established;
content:"evil", nocase;
sid:1000001;
)

    Fonctionnalités des règles

    Voici quelques-unes des nouvelles fonctionnalités :

    • Espace blanc arbitraire (chaque option sur sa propre ligne)
    alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS 
( 
msg:"Alert TCP rule";
flow:to_client,established;
content:"evil", nocase;
sid:1000000;
)
    • l'utilisation cohérente des ressources et ;
    content:"evil", offset 5, depth 4, nocase;
    • Les réseaux et les ports sont facultatifs
    alert http ( Rule body )
    • Ajoute d'autres tampons rémanents (la liste n'est pas complète)
    http_uri
http_raw_uri
http_header
http_raw_header
http_trailer
http_raw_trailer
http_cookie
http_raw_cookie
http_true_ip
http_client_body
http_raw_body
http_method
http_stat_code
http_stat_msg
http_version
http2_frama_header
script_data
raw_data
    • Commentaires de style C
    alert http 
( 
msg:"Alert HTTP rule"; /* I can write a comment here */
...
)
    • Mot clé Remark (rem)
    alert http 
( 
msg:"Alert HTTP rule";
flow:to_client,established;
rem:"Put comments in the rule anywhere";
content:"evil", nocase;
sid:1000001;
)
    • Apids, mots clés
    alert tcp $HOME_NET any -> $EXTERNAL_NET any
( 
msg:"Alert on apps";
appids:"Google, Google Drive";
content:"evil", nocase;
sid:1000000;
)
    • sd_pattern pour le filtrage des données sensibles
    • Mot clé Regex avec utilisation de la technologie hyperflex
    • Le mot clé Service remplace les métadonnées

    Exemples

    Exemple avec en-tête de service http et tampon rémanent http_uri

    Tâche: Écrivez une règle qui détecte le mot malicious dans l'URI HTTP.

    Solution :

    alert http 
( 
msg:"Snort 3 http_uri sticky buffer"; 
flow:to_server,established; 
http_uri; 
content:"malicious", within 20; 
sid:1000010; 
)

    Exemple avec en-tête de service de fichiers

    Tâche: Écrivez une règle qui détecte les fichiers PDF.

    Solution :

    alert file 
( 
msg:"PDF File Detected"; 
file_type: "PDF"; 
sid:1000008; 
)

    Liens connexes

    Téléchargement des règles Snort et du logiciel IDS

    Github

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    26-Oct-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Cesar Barrientos

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits