Intrusion Prevention System (Snort)

Intrusion Prevention System (Snort)#

Snort 3 è un sistema open-source di prevenzione delle intrusioni di rete (Intrusion Prevention System) in grado di eseguire l’analisi del traffico in tempo reale e la registrazione dei pacchetti sulle reti IP. Può effettuare l’analisi dei protocolli, la ricerca/corrispondenza di contenuti e può essere utilizzato per rilevare una varietà di attacchi e sonde, come buffer overflow, scansioni di porte stealth, attacchi CGI, sonde SMB, tentativi di fingerprinting del sistema operativo e molto altro.

Abilitare IPS#

IPS è disabilitato per impostazione predefinita; per abilitarlo, navigare alla pagina IPS nella sezione Sicurezza. L’interfaccia segnalerà che il servizio è disabilitato e fornirà un collegamento rapido per accedere direttamente alla scheda Impostazioni.

Una volta attivato l’interruttore Stato, sarà possibile configurare il servizio.

Politica delle regole#

Le regole sono raggruppate in policy, ciascuna policy è un insieme di regole ottimizzate per un caso d’uso specifico; le policy sono:

  • connettività: dà priorità alle prestazioni rispetto alla sicurezza, riducendo al minimo i falsi positivi e garantendo elevate prestazioni del dispositivo, pur rilevando le minacce comuni.

  • bilanciato: consigliato per le implementazioni iniziali, bilancia sicurezza e prestazioni, offrendo un livello di prestazioni relativamente elevato con strumenti di valutazione e test.

  • sicurezza: per ambienti ad alta sicurezza con larghezza di banda ridotta e una maggiore tolleranza ai falsi positivi. Fornisce la massima protezione riducendo al minimo il rischio di interrompere la rete.

Reti domestiche#

Le reti domestiche definiscono le reti interne protette e specificano gli indirizzi IP o le subnet che IPS dovrebbe considerare come reti locali, permettendo di distinguere il traffico interno da quello esterno e riducendo i falsi positivi nel rilevamento delle minacce.

Selezionare una policy, definire le proprie reti domestiche e quindi fare clic sul pulsante Salva per salvare le modifiche.

Nota

I valori delle Reti Domestiche non vengono aggiornati automaticamente. Se l’indirizzo IP di un’interfaccia locale viene modificato e questo comporta una rete diversa, la configurazione della rete domestica dell’IPS deve essere aggiornata manualmente per riflettere la nuova rete.

Abilitare Hyperscan#

Hyperscan è un motore avanzato di pattern matching che può migliorare le prestazioni di Snort3 sull’hardware supportato. Richiede che la CPU supporti specifici flag del processore.

Prima di abilitare Hyperscan, verificare che il processore supporti i flag CPU richiesti:

grep --color=auto -E 'sse3|ssse3|sse4_1|sse4_2|avx|avx2' /proc/cpuinfo

Se il comando restituisce dei risultati, il processore è compatibile con Hyperscan.

Per abilitare Hyperscan, creare innanzitutto il file di configurazione in /etc/snort/hyperscan.config:

cat > /etc/snort/hyperscan.config << 'EOF'
search_engine = { search_method = hyperscan }
detection = { hyperscan_literals = true, pcre_to_regex = true }
EOF

Quindi abilitarlo con i seguenti comandi:

uci set snort.snort.include=/etc/snort/hyperscan.config
uci commit snort
reload_config

Per disabilitare Hyperscan:

uci del snort.snort.include
uci commit snort
reload_config

Nota

Hyperscan è una funzionalità opzionale per il miglioramento delle prestazioni. Attivarla solo se la CPU supporta i flag del processore richiesti e si desidera migliorare le prestazioni dell’IPS a fronte di requisiti più elevati per le funzionalità della CPU.

Accesso alle regole Snort tramite Oinkcode#

NethSecurity supporta l’utilizzo di un abbonamento Snort per ottenere regole Registered e Subscriber tramite l’Oinkcode. L”Oinkcode è un codice univoco assegnato agli utenti registrati su Snort.org; questo codice è necessario per autenticare il download delle regole Snort.

Categorie di regole disponibili#

  • Regole della Community (Regole gratuite): Disponibili per tutti gli utenti registrati senza restrizioni. Mantenute dalla community di Snort. Forniscono una protezione di base ma ricevono aggiornamenti meno frequenti rispetto alle regole ufficiali. Non è necessario alcun Oinkcode per accedere a queste regole.

  • Regole Registrate (Regole gratuite con ritardo): Regole ufficiali aggiornate dal team Snort. Disponibili gratuitamente per gli utenti registrati, ma con un ritardo di 30 giorni rispetto alla versione più recente. È necessario un Oinkcode per accedere a queste regole.

  • Regole per abbonati (regole a pagamento, aggiornamenti in tempo reale): Accesso immediato alle regole più aggiornate senza alcun ritardo. Disponibile solo per gli utenti con un abbonamento Snort Subscriber Rule Set. È necessario un Oinkcode per accedere a queste regole.

Come ottenere e utilizzare l’Oinkcode#

  • Registrarsi su Snort.org

  • Recuperare il proprio Oinkcode dalla sezione del profilo account

  • Su NethSecurity, incollare il proprio codice personale nel campo Oinkcode. È possibile verificare se il codice è valido facendo clic sul pulsante Verifica codice.

Elenco eventi di oggi#

L’IPS controlla automaticamente il traffico all’interno della rete e genera avvisi o blocca il traffico in base al set di regole. Un elenco consultabile è disponibile nella scheda Eventi di oggi. Durante la consultazione dell’elenco, è possibile vedere le regole che hanno generato l’avviso, gli indirizzi IP di origine e destinazione, il protocollo e l’azione intrapresa dal sistema.

Questo elenco può essere filtrato utilizzando la casella di filtro nella parte superiore della pagina. Inoltre, per ogni record visualizzato, è possibile accedere direttamente alla documentazione della regola facendo clic sull’ID della regola.

Facendo clic sull’icona del menu sul lato destro del record, è possibile aprire un modulo precompilato per sopprimere o disabilitare la regola che ha generato l’avviso.

Bypass del filtro#

Tutto il traffico che passa attraverso il firewall viene analizzato dall’IPS. Il sistema supporta regole di bypass per indirizzi IPv4 e IPv6 specifici. Qualsiasi indirizzo IP aggiunto a una regola di bypass verrà valutato sia per il traffico in ingresso che in uscita.

Per farlo, accedere alla scheda Filter bypass e premere il pulsante Aggiungi bypass. Viene fornito un modulo per aggiungere una regola di bypass per un indirizzo IP specifico; la regola si applica al traffico in entrambe le direzioni e include i seguenti campi:

  • Tipo di indirizzo: se l’IP fornito è IPv4 o IPv6

  • Indirizzo IP: l’indirizzo IP o CIDR da bypassare

  • Descrizione: una descrizione della regola di bypass; è opzionale e può essere omessa

Disabilitare regole#

In alcuni ambienti, le regole possono essere troppo restrittive o generare troppi falsi positivi. Per evitare ciò, è possibile disabilitare alcune regole. Una regola disabilitata è una regola che non viene inclusa nel set di regole di Snort.

Passare alla scheda Regole disabilitate e premere il pulsante Disabilita regola. Il sistema richiederà i seguenti campi:

  • GID: il GID della regola, è un numero e di solito è sempre 1

  • SID: il SID della regola, è un numero

  • Descrizione: una descrizione della regola disabilitata; è opzionale e può essere omessa

Allarmi silenziati#

Una regola di soppressione è una regola che viene ignorata da Snort per un indirizzo IP o CIDR specifico. La regola viene comunque valutata per tutti gli altri indirizzi IP.

Per aggiungere una regola di soppressione, accedere alla scheda Allarmi silenziati e premere il pulsante Silenzia allarme. Compilare i campi con le seguenti informazioni:

  • GID: il GID della regola, è un numero e di solito è sempre 1

  • SID: il SID della regola, è un numero

  • Direzione: se la soppressione riguarda l’indirizzo IP di origine o di destinazione

  • Indirizzo IP: l’indirizzo IP per cui sopprimere l’avviso; può essere un intervallo CIDR

  • Descrizione: una descrizione della regola di soppressione; è facoltativa e può essere omessa