Suricata를 사용하여 침입 탐지 시스템 (IDS)을 설정하고 있습니다. 가상 컴퓨터에서 로그인 시도가 실패 할 때마다 경고를 생성하는 사용자 지정 규칙을 작성하려고합니다.snort/suricata를 사용하여 홈 네트워크에 로그인 할 때마다 SSH 경고를 생성하려고합니다.
예 :
경고 TCP 상관 없음 -> $ HOME_NET 22 (MSG : "SSH 브 루트 포스 시도"; 흐름 : 설립 to_server, 내용 : "SSH"; NOCASE, 오프셋 : 0; 깊이 : 4; detection_filter : 2 초, 2 카운트 by_src 추적, SID 2005; 레브 : 1) 나는 여러 함께 Suricata 경고 섹션에서 모든 경고를 볼 수있게 다양한 SSH 규칙 조합하지만 시도
나쁜 SSH 시도. (잘못된 시도 => 잘못된 암호를 사용하여 경고를 생성 함)
이 문제를 해결하는 방법을 알려주십시오.
암호화 된 내용 (인증 및 후속 실패 메시지가 표시 될 곳)을 실제로 보려고하기 때문에 Snort/suricata는 사용자가 설명하는 방식으로 사용하기에 이상적인 도구가 아닙니다. 대신, 로그 모니터링이 더 나은 접근 방법이 될 것입니다.
그러나 다른 대안이 있습니다. IPTables 수준에서 자동 차단을 찾으려면 Fail2Ban을 참조하십시오.
Snort/Suricata를 사용하여 실제로 수행하려는 경우 경고 임계 값을 사용할 수 있습니다.
alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"Possible SSH brute forcing!"; flags: S+; threshold: type both, track by_src, count 5, seconds 30; sid:10000001; rev: 1;)
이 5 개 연결 임계 30 초 공간에서 단일 소스로부터 알 인바운드 연결에 대한 경고 (SYN 세트 인바운드 패킷)을 생성하는 콧김/Suricata 말한다 : 예를 들면. 임계 값 "both"는이 임계 값이 전달 될 때까지 경고하지 않으며 경보로 당신을 침몰시키지 않고 통지 할 경보를 하나만 생성 함을 나타냅니다.
flags을 S+으로 표시했습니다. SYN 만 사용하지 마십시오. ECN은 실제 "일"이되었으며 Snort/Suricata가 여전히 "예약 됨"이라고 부르는 두 비트가 ECN 협상의 결과로 설정된다는 것을 알 수 있습니다.
원본 포트가 없어이 규칙은 "포트 값 누락"오류를 생성합니다. 'alert tcp $ EXTERNAL_NET any ->'로 시작해야합니다. –
감사합니다. 편집 권한이 있고 그와 같은 명백한 오타가 있으면 편집하십시오. :) –