Inleiding
Dit document beschrijft de regels voor de Snort3
engine in de Secure Firewall Threat Defense (FTD)
Cisco.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Cisco
Secure Firewall Threat Defense (FTD)
Intrusion Prevention System (IPS)
Snort2
syntaxis
vergunning
Geen specifieke licentievereiste, de basislicentie is voldoende en de genoemde functies zijn opgenomen in de Snort-engine binnen de FTD en in de Snort3 open-sourceversies.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco
Secure Firewall Threat Defense (FTD)
en Cisco Secure Firewall Management Center (FMC)
versie 7.0+ met Snort3
.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Snort
De Cisco IPS-engine is in staat om realtime verkeersanalyse en pakketregistratie uit te voeren.
Snort
Kan protocolanalyse uitvoeren, inhoud doorzoeken en aanvallen detecteren.
Snort3
Het is een bijgewerkte versie van de Snort2 IPS met een nieuwe softwarearchitectuur die de prestaties, detectie, schaalbaarheid en bruikbaarheid verbetert.
Snort3-regels
Ze gebruiken die LUA-indeling om de regels gemakkelijker te lezen, schrijven en Snort3
verifiëren te maken.
Regelacties
Deze nieuwe versie wijzigt de regelacties, de nieuwe definities zijn:
Pass
Betreft: Stop evaluatie van volgende regels tegen pakket
Alert
: Alleen gebeurtenis genereren
Block
: pakket neerzetten, resterende sessie blokkeren
Drop
: Alleen valpakket
Rewrite
: Vereist als de optie Vervangt wordt gebruikt
React
Verzenden: HTML-blokreactie-pagina
Reject
Injecteren: TCP RST of ICMP onbereikbaar
Regel anatomie
De anatomie is:

De regelheader bevat de actie, het protocol, het bron- en bestemmingsnetwerk en de poort(en).
In Snort3
kan de regelkop een van de volgende opties zijn:
- Koptekst voor serviceregel
<iline" lang="lua">alert http
(
msg:"Alert HTTP rule";
flow:to_client,established;
content:"evil", nocase;
sid:1000001;
)
- Koptekst voor bestandregel
alert file
(
msg: “Alert File example”;
file_data;
content:”malicious_stuff”;
sid:1000006;
)
- Koptekst voor conventionele regel
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(
msg:"Alert HTTP rule";
flow:to_client,established;
content:"evil", nocase;
sid:1000001;
)
Regel-functies
Enkele nieuwe functies zijn:
- Willekeurige witruimte (elke optie op zijn eigen lijn)
alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS
(
msg:"Alert TCP rule";
flow:to_client,established;
content:"evil", nocase;
sid:1000000;
)
- Consequent gebruik van
het
middel;
content:"evil", offset 5, depth 4, nocase;
- Netwerken en poorten zijn optioneel
alert http ( Rule body )
- Voegt meer kleverige buffers toe (dit is niet de volledige lijst)
http_uri
http_raw_uri
http_header
http_raw_header
http_trailer
http_raw_trailer
http_cookie
http_raw_cookie
http_true_ip
http_client_body
http_raw_body
http_method
http_stat_code
http_stat_msg
http_version
http2_frama_header
script_data
raw_data
alert http
(
msg:"Alert HTTP rule"; /* I can write a comment here */
...
)
- Opmerking (rem) trefwoord
alert http
(
msg:"Alert HTTP rule";
flow:to_client,established;
rem:"Put comments in the rule anywhere";
content:"evil", nocase;
sid:1000001;
)
- Toepasselijke trefwoorden
alert tcp $HOME_NET any -> $EXTERNAL_NET any
(
msg:"Alert on apps";
appids:"Google, Google Drive";
content:"evil", nocase;
sid:1000000;
)
- SD_Pattern voor het filteren van gevoelige gegevens
- Regex trefwoord met het gebruik van hyperflex technologie
- Service-trefwoord vervangt metagegevens
Voorbeelden
Voorbeeld met http service header en sticky buffer http_uri
Taak: schrijf een regel die het woord detecteert malicious
in de HTTP-URI.
Oplossing:
alert http
(
msg:"Snort 3 http_uri sticky buffer";
flow:to_server,established;
http_uri;
content:"malicious", within 20;
sid:1000010;
)
Voorbeeld met koptekst voor bestandsservice
Taak: schrijf een regel die PDF-bestanden detecteert.
Oplossing:
alert file
(
msg:"PDF File Detected";
file_type: "PDF";
sid:1000008;
)
Verwante links
Snortregels en IDS Software Downloaden
Github