طريقة تثبيت برنامج السنورت على جهاز الحاسوب
- Maan Bayya
- Dec 28, 2018
- 21 min read
قبل التحدث عن طريقة تثبيت برنامج السنورت (Snort) , سوف نقوم في إعطاء شرح بسيط عن هذا البرنامج , الموضوع طويل و خاصة قواعد البيانات , من أجل ذلك سوف نقوم في تقسيم الموضوع على عدة أجزاء .
* ما هو برنامج السنورت - Snort IDS ?
هو برنامج التحليل الحقيقي إلى الحزم الشبكية , أو ما يسمى في الباكيت (Packet) , و يقوم مبدأ عمل هذا البرنامج على الوقاية من انواع الهجوم , مثل استغلال الثغرات (البفر اوفر فلو) و عمليات المسح الشبكي (Scan Port) و (CGI Attacks) و (SMB probes) و (OS fingerprinting attempts).
Installing Snort
تثبيت برنامج السنورت
=======================
السنورت (Snort)
تعلم كيفية تثبيت النسخة المترجمة مسبقا من السنورت وكذلك كيفية طريقة التجميع و التثبيت بنفسك تركيب الحزمة RPM المترجمة مسبقا و هذه الحزمة سهلة جدا و لا تتطلب سوى بضع خطوات.
ولكن إذا كنت تريد الحصول على السنورت في شكل شفرة المصدر، فأن عملية التثبيت تتطلب وقت أكبر .
تثبيت السنورت من RPM حزمة إجراء التثبيت من السنورت من حزمة RPM
يشمل ما يلي:
* الخطوات
تحميل أحدث نسخة من الموقع السنورت (http://www.snort.org)
و أحدث ملف ثنائي
snort-1.9.0-1 snort.i386.rpm.
* تثبيتSnort
قم بتشغيل الأمر التالي لتثبيت ثنائيات السنورت:
install Snort-1.9.0-1
snort.i386.rpm
و في هذا الأمر تنفيذ الإجراءات التالية:
• إنشاء دليل / الخ / السنورت حيث كل الملفات تعيين السنورت و ملفات التكوين
يتم تنزيل الملفات.
• Create a directory /var/log/snort where Snort log files will be stored.
• Create a directory /usr/share/doc/snort-1.9.0 and store Snort documentation
• Create a file snort-plain in /usr/sbin directory. This is the Snort daemon.
أنشاء الملف الذي يعلن عن بدء التشغيل والاغلاق النصي على الأمتداد التالي :
• Create a file /etc/rc.d/init.d/snortd file which is startup and shutdown script.
اما في نظام تشغيل اللينكس
On RedHat Linux, this is equivalent to /etc/init.d/snortd.
عملية التثبيت الأساسية أصبحت كاملة في هذه المرحلة ، و يمكنك البدء في استخدام السنورت.
النسخة من السنورت المثبتة لا يتم ترجمة هذه الطريقة مع دعم قاعدة البيانات ، لذلك يمكنك استخدامه فقط
لتسجيل الدخول إلى الملفات
for logging to files in the /var/log/snort directory.
* ابتداء، إيقاف و إعادة تشغيل السنورت
لتشغيل السنورت يدويا، استخدم الأمر التالي:
To run Snort manually, use the following command:
/etc/init.d/snortd start
و سوف يبدأ هذا الأمر في تشغيل السنورت و يمكنك تشغيل البرنامج الخفي من السنورت باستخدام (command ) الأمر التالي :
“ps –ef”
يجب أن تشاهد خط كما يلي في إخراج هذا الأمر:
root 15999 1 0 18:31 ? 00:00:01 /usr/sbin/
snort -A fast -b -l /var/log/snort -d -D -i eth0 -c /etc/snort/snort.conf
لاحظ أنه عليك أن تبدأ السنورت يدويا في كل مرة تقوم فيها إعادة تشغيل الجهاز.
أنت يمكن أتمتة هذه العملية من خلال إنشاء وصلات لهذا الملف ، و الذي سيتم شرحه لاحقا.
و لوقف برنامج السنورت، استخدم الأمر التالي:
To stop Snort, use the following command:
/etc/init.d/snortd stop
إعادة تشغيل السنورت، استخدم هذا الأمر:
To restart Snort, use this command:
/etc/init.d/snortd restart
* تثبيت السنورت من شفرة المصدر
لتثبيت السنورت من شفرة المصدر، يمكنك بناء ملف السنورت التنفيذي في استخدام الإجراء و تحميل أحدث نسخة من السنورت من موقعها على شبكة الإنترنت (http://www.snort.org/). فقط ابحث عن
، وكان أحدث نسخة 1.9.0. اسم الملف للتحميل هو snort1.9.0.tar.gz،
والتي يمكن حفظها في الدليل /opt في نظام اللينكس
ملاحظة :
أن كنت تمتلك نظام تشغيل لينكس يجب تثبيت libpcap .
أن كنت تمتلك نظام التشغيل وندز مايكروسوفت يجب تثبيت WinPcap .
و يمكنك الحصول على تثبيت libpcap من خلال الرابط التالي :
http://www-nrg.ee.lbl.gov/
و يمكنك الحصول على تثبيت WinPcap من خلال الرابط التالي :
http://winpcap.polito.it/
* عملية فتح ملفات شفرة المصدر - Unpacking
بعد عملية التحميل لملفات شفرة المصدر استخدم الأمر التالي :
tar zxvf snort-1.9.0.tar.gz
After unpacking you can see the directory tree created by the tar command using the tree
command.
بعد عملية فتح ملفات شفرة المصدر للبرنامج يمكنك رؤية قوائم الأوامر
The following is a snapshot of directories present under /opt/snort-1.9.0 directory.
[root@conformix opt]# tree -d snort-1.9.0
snort-1.9.0
|-- contrib
|-- doc
|-- etc
|-- rules
|-- src
| |-- detection-plugins
| |-- output-plugins
| |-- preprocessors
| `-- win32
| |-- WIN32-Code
| |-- WIN32-Includes
| | |-- NET
| | |-- NETINET
| | |-- libnet
| | |-- mysql
| | `-- rpc
| |-- WIN32-Libraries
| | |-- libnet
| | `-- mysql
| `-- WIN32-Prj
`-- templates
21 directories
[root@conformix opt]#
=======================================
يتم سرد قائمة مختصرة من محتويات هذه الدلائل أدناه:
• المحتوي في الدليل نفسه contrib المرافق التي ليست بدقة جزء من السنورت
وتشمل هذه المرافق :
- ACID
- MySQL database
- other things
• يحتوي الدليل وثيقة ملفات التوثيق، كما هو واضح من اسم الدليل.
• يحتوي الدليل ملفات التكوين - configuration files.
• يحتوي الدليل القواعد ملفات قاعدة محددة سلفا - rule files.
• كل رمز مصدر موجود تحت الدليل SRC.
• الدليل القوالب مفيد فقط للأشخاص الذين يريدون العمل في هذه القوالب
* التصنيف والتركيب
تتكون عملية التجميع و التركيب ثلاث خطوات على النحو المبين أدناه:
1. تشغيل البرنامج النصي تكوين.
2. تشغيل جعل الأوامر.
3. تشغيل جعل تركيب الأوامر.
لبدء عملية تجميع السنورت:
go to /opt/snort-1.9.0 directory
و تشغيل البرنامج النصي المكون , إذا كنت جديدا على البرنامج استخدم أسلوب GNU
، و تكوين السيناريو هو أداة مشتركة مع حزم مفتوحة المصدر.
يتم استخدامها لتعيين بعض التعليمات، و خلق
makefiles، و كشف أدوات التطوير والمكتبات المتاحة على النظام الخاص بك.
العديد من خيارات سطر الأوامر يمكن استخدامها مع البرنامج النصي المكون .
تحدد هذه الخيارات و سيتم تجميع المكونات التي في السنورت مع التنبيه.
على سبيل المثال، وذلك باستخدام هذه الخيارات، يمكنك بناء دعم
SNMP، الخلية أو SMB
التنبيهات، في بالإضافة إلى أشياء أخرى كثيرة.
يمكنك أيضا تحديد الدليل الذي سيتم تركيب الملفات السنورت النهائية.
Available command line options with the configure script can be listed using the
“./configure –help”
الأمر كما هو مبين أدناه:
command as shown below:
[root@conformix snort-1.9.0]# ./configure --help
Usage: configure [options] [host]
Options: [defaults in brackets after descriptions]
Configuration:
--cache-file=FILE cache test results in FILE
--help print this message
--no-create do not create output files
--quiet, --silent do not print `checking...' messages
--version print the version of autoconf that
created configure
Directory and file names:
--prefix=PREFIX install architecture-independent
files in PREFIX
[/usr/local]
--exec-prefix=EPREFIX install architecture-dependent
files in EPREFIX
[same as prefix]
--bindir=DIR user executables in DIR
[EPREFIX/bin]
--sbindir=DIR system admin executables in DIR
[EPREFIX/sbin]
--libexecdir=DIR program executables in DIR
[EPREFIX/libexec]
--datadir=DIR read-only architecture-independent
data in DIR
[PREFIX/share]
--sysconfdir=DIR read-only single-machine data in
DIR [PREFIX/etc]
--sharedstatedir=DIR modifiable architecture-independent
data in DIR
[PREFIX/com]
--localstatedir=DIR modifiable single-machine data in
DIR [PREFIX/var]
--libdir=DIR object code libraries in DIR
[EPREFIX/lib]
--includedir=DIR C header files in DIR
[PREFIX/include]
--oldincludedir=DIR C header files for non-gcc in DIR
[/usr/include]
--infodir=DIR info documentation in DIR
[PREFIX/info]
--mandir=DIR man documentation in DIR
[PREFIX/man]
--srcdir=DIR find the sources in DIR
[configure dir or ..]
--program-prefix=PREFIX prepend PREFIX to installed program
names
--program-suffix=SUFFIX append SUFFIX to installed program
names
--program-transform-name=PROGRAM
run sed PROGRAM on installed
program names
Host type:
--build=BUILD configure for building on BUILD
[BUILD=HOST]
--host=HOST configure for HOST [guessed]
--target=TARGET configure for TARGET [TARGET=HOST]
Features and packages:
--disable-FEATURE do not include FEATURE (same as
--enable-FEATURE=no)
--enable-FEATURE[=ARG] include FEATURE [ARG=yes]
--with-PACKAGE[=ARG] use PACKAGE [ARG=yes]
--without-PACKAGE do not use PACKAGE (same as
--with-PACKAGE=no)
--x-includes=DIR X include files are in DIR
--x-libraries=DIR X library files are in DIR
--enable and --with options recognized:
--enable-debug enable debugging options
(bugreports and developers only)
--enable-profile enable profiling options
(developers only)
--with-libpcap-includes=DIR libcap include directory
--with-libpcap-libraries=DIR libcap library directory
--with-mysql=DIR support for mysql
--with-odbc=DIR support for odbc
--with-postgresql=DIR support for postgresql
--with-oracle=DIR support for oracle
--with-snmp support for snmp
--with-openssl=DIR support for openssl
--enable-sourcefire Enable Sourcefire specific build
options
--enable-perfmonitor Enable perfmonitor preprocessor
--enable-smbalerts SMB alerting capaility via Samba
--enable-flexresp Flexible Responses on hostile
connection attempts
[root@conformix snort-1.9.0]#
قيم الخيارات المذكورة بين قوسين معقوفين تشير إلى أنه إذا كان هذا الخيار معين ليس المحدد، سيتم استخدام القيمة المذكورة في قوس مربع افتراضيا. على سبيل المثال، تظهر الخطوط الثلاثة التالية التي إذا لم يتم استخدام الخيار مع البادئة على سطر الأوامر للبرنامج النصي تكوين، /usr/local value كما PREFIX بشكل افتراضي. لاحظ أن PREFIX هو الدليل الذي يتم بموجبه تثبيت ملفات السنورت
عند استخدام أمر "عمل التثبيت" - “make install” command.
For example,
the following three lines show that if the with-prefix option is not used on the
command line for the configure script, /usr/local value will be used as PREFIX
by default. Note that PREFIX is the directory under which Snort files are installed
when you use the “make install” command.
--prefix=PREFIX install architecture-independent
files in PREFIX
[/usr/local]
دورة نموذجية مع البرامج النصية تكوين قد تكون على النحو التالي. الإخراج هو اقتطاع
بعد عرض خط الإنتاج الأولي لتوفير مساحة.
لاحظ الخيارات التي تم تمكين على سطر الأوامر.
[root@conformix snort-1.9.0]# ./configure --prefix=/opt/snort
--enable-smbalerts --enable-flexresp --with-mysql --with-snmp
--with-openssl
loading cache ./config.cache
checking for a BSD compatible install... (cached) /usr/bin/
install -c
checking whether build environment is sane... yes
checking whether make sets ${MAKE}... (cached) yes
checking for working aclocal... found
checking for working autoconf... found
checking for working automake... found
checking for working autoheader... found
checking for working makeinfo... found
checking for gcc... (cached) gcc
checking whether the C compiler (gcc ) works... yes
checking whether the C compiler (gcc ) is a cross-compiler...
no
checking whether we are using GNU C... (cached) yes
checking whether gcc accepts -g... (cached) yes
checking for gcc option to accept ANSI C... (cached) none
needed
checking for ranlib... (cached) ranlib
يتم اقتطاع الانتاج في النهاية لأن السيناريو ملفات configure scripts قد خلق الكثير من المعلومات.
و يتم استخدام الخيار البادئة في سطر الأوامر لنقول التكوين النصي في موقع دليل التثبيت النهائي.
و يتم استخدام خيارات أخرى لتمكين مكونات السنورت التالية:
• Support of MySQL database.
• Support of SNMP traps.
• Support of SMB alerts. SMB alerts are used to send pop-up windows to
Microsoft Windows machines.
• Enable support of flex response. Flex response is used to terminate network
دورات في الوقت الحقيقي. وسيتم توفير مزيد من المعلومات حول الاستجابة المرنة , لاحظ أن لتمكين دعم هذا الخيار، يجب عليك تحميل libnet من الموقع التالي :
http://www.securityfocus.net
و بعد تشغيل البرنامج النصي configure script،
يمكنك تشغيل الأمرين التاليين لتجميع وتركيب الملفات السنورت :
make
make install
الأمر الأول قد يستغرق بعض الوقت لإكمال هذا يتوقف على مدى قوة جهازك.
عند تشغيل الأمر الثاني، يتم تثبيت الملفات في المناسبة الدلائل . جعل الأمر التثبيت بتثبيت ثنائيات السنورت في /opt/snort الدليل كما حددتها --prefix=/opt/snort السنورت على سطر الأوامر ل
configure script.
* مجموعة أوامر مفيدة
Useful command line parameters that can be used with the configure script are
shown in / Command line parameters used with configure scripts
Parameter Description
-with-mysql Build support of MySQL with Snort.
-with-snmp Build support of SNMP while compiling Snort.
You have to use – with-openssl if you use this option.
-with-openssl Enable OpenSSL support.
You may need to use this when you use SNMP option.
-with-oracle Enable support for Oracle database.
-with-odbc Build support for ODBC in Snort.
--enable-flexresp Enables use of Flex Response which allows canceling hostile connections.
This is still experimental (see README.FLEXRESP file in Snort distribution).
-enable-smbalerts Enable SMB alerts.
Be careful using this as this invokes smbclient user space process every
time it sends an alert.
-prefix=DIR Set directory for installing Snort files.
- The installation procedure for libnet is found in the accompanying README file. Basically it consists
of four steps:
- بعد العثور على إجراء التثبيت إلى libnet
في الأساس و تتكون من أربع خطوات:
• Untar the file using tar zxvf libnet-1.0.2a.tar.gz
• Change to directory Libnet-1.0.2a and run the ./configure command.
• Run make command.
• Run make install command.
------------------------------------
تعريف عام في برنامج السنورت - Snort
أنظمة كشف التسلل مع السنورت تقنيات متقدمة IDS عن طريق
Snort, Apache, MySQL, PHP, and ACID
الأمن هو قضية كبيرة لجميع الشبكات في بيئة المؤسسة اليوم.
جعلت الهاكرز والمتسللين العديد من المحاولات الناجحة لإسقاط شبكات الشركة رفيعة المستوى و خدمات الويب الكثيرةو العديدة .
و قد تم تطوير طرق لتأمين البنية التحتية إلى الشبكة و الاتصال عبر الإنترنت ، من بينها استخدام الجدران النارية، التشفير، والشبكات الخاصة الافتراضية, كشف التسلل هو نسبيا إضافة جديدة لهذه التقنيات.
طرق كشف التسلل التي ظهرت في السنوات القليلة الماضية باستخدام وسائل كشف التسلل، و يمكن جمع و استخدام المعلومات من أنواع معروفة من الهجمات و معرفة اذا كان هناك من يحاول مهاجمة الشبكة أو المضيفين .
المعلومات المجمعة في هذه الطريقة يمكن أن تستخدم تصليب و تأمين أمن الشبكة، وكذلك
لأغراض قانونية.
كل مصادر المنتجات التجارية و المصادر المفتوحة الآن المتاحة لهذا الغرض.
العديد من أدوات تقييم الضعف أيضا المتاحة في السوق و التي يمكن استخدامها لتقييم أنواع مختلفة من الأمان و درجة نقاط الضعف و الثقوب الموجودة في الشبكة.
و يتكون نظام الضمان أم الشبكة على أدوات شاملة و متعددة ، بما في ذلك:
- (http://www.netscreen.com). جدار الحماية مفتوحة المصدر الأكثر شعبية
- هو Netfilter / IPTABLES (http://www.netfilter.org) جدار الحماية المستندة.
أنظمة كشف التسلل (IDS) التي تستخدم في معرفة ما إذا كان شخص ما
حصلت داخل أو تحاول للوصول الى الشبكة.
- الاكثر شعبية IDS هو السنورت، والذي يتوفر في http://www.snort.org.
أدوات تقييم أوجه الضعف التي يتم استخدامها للعثور على التسلل و المكونات الأكثر أمنا من الثقوب الموجودة في الشبكة.
المعلومات التي تم جمعها من الضعف يتم استخدام أدوات تقييم الوضع و القواعد على الجدران النارية بحيث تكون هذه الأمنية تصان الثقوب من مستخدمي الإنترنت الخبيثة, هناك العديد من أدوات تقييم الضعف بما في ذلك :
- NMAP (http://www.nmap.org).
- Nessus (http://www.nessus.org).
يمكن لهذه الأدوات أن تعمل معا و تتبادل المعلومات مع بعضها البعض.
بعد توفر منتجات أنظمة كاملة تتألف من جميع هذه المنتجات المجمعة معا.
السنورت هو برنامج مفتوح المصدر في شبكة نظام لكشف التسلل (المخطوطات) وهو
. NIDS هو نوع من نظام لكشف التسلل (IDS) التي يتم استخدامها
و متاح مجانا لبيانات المسح التي تتدفق على الشبكة, و كشف التسلل و أيضا استضافة قوائم النظم ، والذي تم تثبيتها على مضيف معين وكشف هجمات استهدفت لهذا المضيف
فقط. على الرغم من أن جميع طرق كشف التسلل لا تزال جديدة، يأتي في المرتبة السنورت بين نظم الجودة المتاحة اليوم.
نبدأ في مقدمة لكشف التسلل و المصطلحات ذات الصلة و سوف تتعلم تركيب و إدارة السنورت , و كذلك غيرها من المنتجات التي تعمل مع السنورت.
وتشمل هذه المنتجات قاعدة بيانات MySQL (http://www.mysql.org)
وتحليل التحكم في قاعدة البيانات التسلل (ACID) (http://www.cert.org/kb/acid).
السنورت لديه القدرة على تسجيل البيانات التي تم جمعها (مثل التنبيهات و رسائل السجل الأخرى) إلى قاعدة البيانات.
و يستخدم الخلية كمحرك قاعدة البيانات حيث يتم تخزين كل هذه البيانات.
استخدام أباتشي خادم الويب (http://www.apache.org) وACID، يمكنك تحليل هذه البيانات.
مزيج من السنروت، اباتشي، الخلية، وACID يجعل من الممكن لتسجيل كشف التسلل
البيانات إلى قاعدة البيانات ومن ثم العرض والتحليل لهذه البيانات في وقت لاحق، وذلك باستخدام واجهة ويب.
و أن القارئ سوف يكون قادر على بناء نظام كامل لكشف التسلل .
* مكونات برنامج السنورت
- المدخلات
- المخرجات
- المكونات الإضافية
و المكونات الإضافية هي جزء من البرنامج التي يتم تجميعها مع السنورت , و تستخدم لتعديل الإدخال أو الإخراج من خلال الكشف عن السنورت المحرك.
و إدخال المكونات الإضافية باعداد القبض على حزم البيانات قبل تطبيق عملية الكشف الفعلية على هذه الحزم.
إنتاج إخراج شكل المكونات الإضافية لاستخدامها لغرض معين , على سبيل المثال، يمكن أن المكونات في الانتاج تحويل البيانات الكشف لإدارة شبكة اتصال بسيط بروتوكول (SNMP).
ويستخدم الناتج المكونات في آخر لتسجيل بيانات الناتجة من السنورت في قواعد البيانات , وسوف في الدروس القادمة نشرح المعلومات حول كيفية إنشاء قاعدة بيانات في الخلية، و تكوين قاعدة بيانات في المكونات، وتسجيل البيانات إلى قاعدة البيانات.
ACID ، وكيفية استخدامها للحصول على البيانات من قاعدة البيانات التي تم إنشائها
و كيفية عرض البيانات باستخدام خادم الويب اباتشي, ACID هو مهم جدا الأداة التي توفر قدرات تحليل البيانات الغنية.
يمكنك العثور على وتيرة الهجمات و تصنيفها ألى هجمات مختلفة، و عرض مصدر هذه الهجمات وهلم جرا.
يستخدم تركيب PHP (جميلة الصفحة الرئيسية) لغة البرمجة النصية، مكتبة عرض الرسوم البيانية (مكتبة GD) وPHPLOT، وهو أداة لرسم الرسوم البيانية.
مزيج من كل هذه النتائج في صفحات الويب التي تعرض البيانات وتحليلها والرسم البياني تخزينها في قاعدة بيانات MySQL, مع المكونات المختلفة, كما ترون ، يتم التقاط البيانات و تحليلها في واسطة السنورت , السنورت يقوم بتخزين هذه البيانات في قاعدة بيانات MySQL باستخدام مخرجات قاعدة البيانات في المكونات.
يأخذ خادم الويب اباتشي مساعدة من ACID، PHP، مكتبة GD وحزمة PHPLOT لعرض هذه البيانات في مستعرض نافذة عندما يتصل مستخدم إلى أباتشي.
يمكن للمستخدم فعل أنواع مختلفة من الاستفسارات على النماذج المعروضة في صفحات الويب للتحليل و الأرشيف، والرسم البياني و حذف البيانات.
في جوهرها، يمكنك بناء جهاز كمبيوتر واحد مع السنورت، و قاعدة بيانات MySQL،
اباتشي، PHP، ACID، مكتبة GD وPHPLOT.
و عمل صورة أكثر واقعية للنظام التي سوف تكون قادر على بنائه كما في الشكل التالي .
* مكونات السنورت
ما سيتم القيام به نوع من الوثائق عندما يتم الكشف عن الهجمات. التي يمكن أن تشمل و ثائق سجل بسيط أو سجل الدخيل الكامل النشاط , و قد تحتاج أيضا إلى بناء بعض النماذج لتسجيل البيانات و التقارير و أيضا جزء من الوثائق العادية استنادا إلى سياسة IDS.
سوف تحصل على فكرة واضحة عن كيفية العديد من أجهزة الاستشعار و IDS هناك حاجة إلى موارد أخرى لشبكة الاتصال , مع هذه المعلومات ، و سوف تكون قادر على حساب تكلفة ملكية IDS في صورة أكثر تحديدا .
ينقسم السنورت منطقيا إلى مكونات متعددة , تعمل هذه المكونات معا للكشف عن الهجمات المعينة و توليد الإخراج في الشكل المطلوب من الكشف نظام.
A IDS القائم على السنورت تتكون من المكونات الرئيسية التالية:
• فك الحزم
• مرحلة ما قبل المعالجة - Preprocessors
• الكشف عن المحرك
• نظام المشتريات و التنبيه
• وحدات الإخراج
ويبين الشكل التالي كيف يتم ترتيب هذه المكونات , أي حزم البيانات القادمة من الإنترنت يدخل فك الحزمة, في طريقها نحو وحدات الانتاج , و التسجيل أو يتم إنشاؤها في نظام التنبيه.
سوف تصبح أكثر دراية هذه المكونات و كيفية تفاعلها مع بعضها البعض.
* فك الحزم
فك الحزمة يأخذ الحزم من أنواع مختلفة من واجهات الشبكة و تستعد الحزم إلى أن
preprocessed أو ليتم إرسالها إلى محرك الكشف , واجهات قد يكون إيثرنت، SLIP، PPP و غير ذلك.
* مرحلة ما قبل المعالجة - Preprocessors
Preprocessors هي المكونات أو المكونات الإضافية التي يمكن استخدامها مع السنورت لترتيب
أو تعديل حزم البيانات قبل كشف عن المحرك و تقوم في بعض العمليات لمعرفة ما إذا كان تم استخدام حزمة من قبل متسلل , بعض preprocessors أيضا تنفيذ الكشف من قبل العثور على الشذوذ في رؤوس الحزم والتنبيهات توليد Preprocessors هي جدا المهم لأي IDS لإعداد حزم البيانات لتحليلها ضد القواعد في محرك الكشف قراصنة استخدام تقنيات مختلفة لخداع أحد IDS بطرق مختلفة.
على سبيل المثال ، قد قمت بإنشاء قاعدة للعثور على توقيع "مخطوطات
/ IISADMIN" في حزم HTTP.
إذا كنت مطابقة هذه السلسلة بالضبط ، يمكنك بسهولة أن ينخدع أحد القراصنة الذي يجعل تعديلات طفيفة
لهذه السلسلة.
على سبيل المثال:
• “scripts/./iisadmin”
• “scripts/examples/../iisadmin”
• “scripts\iisadmin”
• “scripts/.\iisadmin”
لتعقيد الوضع ، يمكن للقراصنة أيضا إدراج في الموارد الموحدة على شبكة الإنترنت معرف (URI) حرفا سداسي عشري أو أحرف Unicode التي هي قانونية تماما بقدر ما يتعلق الأمر خادم الويب.
لاحظ أن خوادم الويب عادة ما تفهم كل من هذه السلاسل و قادرون على preprocess
لهم باستخراج سلسلة المقصود "scripts / IISADMIN ".
و لكن إذا كان IDS تبحث عن تطابق تام ، و إنه غير قادر على الكشف عن هذا الهجوم.
A المعالج يمكن إعادة ترتيب السلسلة بحيث يكون قابل للكشف من قبل IDS.
كما تستخدم Preprocessors لحزمة التجزئة , عندما قطعة كبيرة من البيانات يتم نقلها إلى مضيف ، و عادة ما يتم تجزئة الحزمة.
على سبيل المثال ، الحد الأقصى الافتراضي طول أي حزم البيانات على شبكة إيثرنت عادة ما يكون 1500 بايت.
يتم التحكم هذه القيمة من خلال وحدة النقل القصوى (MTU) قيمة واجهة الشبكة.
و هذا يعني أنه إذا قمت بإرسال البيانات التي هي أكثر من 1500 بايت، سوف يتم تقسيمه إلى عدة حزم من البيانات بحيث يكون كل جزء حزمة أقل من أو يساوي 1500 بايت.
نظم استقبال قادرة على إعادة تجميع هذه الوحدات الصغيرة مرة أخرى لتشكيل حزم البيانات الأصلية على IDS ، قبل أن تتمكن من تطبيق أي قواعد أو محاولة للعثور على التوقيع، لديك لإعادة تجميع الحزم , على سبيل المثال , و نصف من توقيع قد يكون موجودا في قطعة واحدة ، و النصف الآخر في مقطع آخر.
للكشف عن توقيع بشكل صحيح لك يجب أن تجمع بين كل شرائح الحزمة , إن استخدام مفهوم التجزئة و الحزم هو لهزيمة تسلل القراصنة من خلال أنظمة الكشف.
و يتم استخدام preprocessors للحماية ضد هذه الهجمات.
Preprocessors في السنورت يمكن من تجزئة الحزم ، و فك HTTP URI، و إعادة تجميع المسارات
TCP و هكذا .
هذه الوظائف هي جزء مهم جدا من نظام كشف التسلل.
* الكشف عن المحرك
الكشف عن المحرك هو الجزء الأكثر أهمية من السنورت , و مسؤوليتها هي كشف حالة وجود أي نشاط للتسلل في الحزمة.
و الكشف عن المحرك يعمل السنورت على قواعد لهذا الغرض , و تتم قراءة القواعد في بنية البيانات الداخلية أو سلاسل فيها و في المقابل توصف أنها ضد كافة الحزم.
و إذا كانت البنية تطابق أي قاعدة ، والعمل المناسب هو الذي يتم إتخاذه ؛ خلاف ذلك يتم إسقاط الحزمة.
الإجراءات المناسبة تكون بتسجيل الحزمة أو توليد التنبيهات.
الكشف عن المحرك هو الوقت الحرج و هو جزء من السنورت , و هذا يتوقف على مدى قوة جهازك و عدد القواعد التي قمت في إنشائها أو تعريفها ، و قد يستغرق كميات مختلفة من الوقت للرد على الحزم المختلفة.
و إذا حركة المرور على الشبكة مرتفعة جدا و عند العمل على السنورت في وضع المخطوطات ، و قد يتم إسقاط بعض الحزم و قد لا تحصل على رد في الوقت الحقيقي .
الحمل على محرك الكشف يعتمد على العوامل التالية:
• عدد القواعد
• قوة الجهاز الذي يعمل بنظام التشغيل السنورت
• سرعة النقل الداخلية المستخدمة في الجهاز على السنورت
• التحميل على الشبكة
عند تصميم نظام لكشف التسلل شبكة ، يجب أن نضع كل هذه العوامل في الاعتبار.
لاحظ أن نظام الكشف يمكن تشريح حزمة و تطبيق قواعد مختلفة من أجزاء من الحزمة , قد تكون هذه الأجزاء:
• The IP header of the packet.
• The Transport layer header. This header includes TCP, UDP or other transport
layer headers. It may also work on the ICMP header.
• The application layer level header. Application layer headers include, but are
not limited to, DNS header, FTP header, SNMP header, and SMTP header. You
may have to use some indirect methods for application layer headers, like offset
of data to be looked for.
• Packet payload. This means that you can create a rule that is used by the
detection engine to find a string inside the data that is present inside the packet.
في كل الإصدارات 1.x من السنورت ، و الكشف عن المحرك و توقف المزيد من المعالجة من حزمة عندما يتم مطابقة القاعدة.
و هذا يتوقف على الحكم ، والكشف عن المحرك يأخذ الإجراء المناسب من خلال الدخول للحزمة أو توليد التنبيه , و هذا يعني أنه إذا كانت العبوة تطابق المعايير المعرفة في قواعد متعددة ، يتم تطبيق القاعدة الأولى فقط إلى الحزمة دون النظر النتائج الأخرى.
و تكون الأمور على ما يرام و في استثناء مشكلة واحدة , هناك قاعدة ذات الأولوية المنخفضة يولد أدنى مستوى تنبيه الأولوية ، حتى لو قاعدة ذات الأولوية التي تستحق الأولوية في حالة تأهب عالية يقع في وقت لاحق على هذه السلسلة من القاعدة.
و يتم تصحيح هذه المشكلة في السنورت الإصدار 2 حيث تتم مطابقة جميع القواعد ضد حزمة قبل إنشاء التنبيه, و بعد مطابقة جميع القواعد و الأولوية القصوى يتم تحديد قاعدة لتوليد حالة تأهب.
و الكشف عن المحرك في السنورت الإصدار 2.0 يتم إعادة كتابة تماما بحيث يكون الكثير أسرع مقارنة مع الكشف عن المحرك في الإصدارات السابقة من السنورت.
و يبين التحليل السابق أن الكشف الجديد في المحرك أكثر سرعة و يصل إلى ثمانية عشر مرات أسرع.
• Simply logging to
/var/log/snort/alerts
file or some other file
• Sending SNMP traps
• Sending messages to syslog facility
• Logging to a database like MySQL or Oracle. You will learn more about using
MySQL later in this book
• Generating eXtensible Markup Language (XML) output
• Modifying configuration on routers and firewalls.
• Sending Server Message Block (SMB) messages to Microsoft Windows-based
machines
و يمكن أيضا في أدوات أخرى يمكن استخدامها لإرسال التنبيهات في أشكال أخرى مثل رسائل البريد الإلكتروني أو عرض التنبيهات باستخدام واجهة ويب.
* مكونات IDS
1 - الإسم / Packet Decoder
الوصف / Prepares packets for processing.
إستعدادات الحزم من أجل المعالجة .
2 - الإسم / Preprocessors or Input Plugins
الوصف / Used to normalize protocol headers, detect anomalies, packet reassembly and TCP stream re-assembly.
يستخدم لتطبيع رؤوس البروتوكول، والكشف عن مواطن الخلل وإعادة التجميع الحزمة وتيار TCP إعادة التجميع.
3 - الإسم / Detection Engine
الوصف / Applies rules to packets.
تطبيق كافة القواعد على الحزم .
4 - الإسم / Logging and Alerting System
الوصف / Generates alert and log messages.
توليد حالة التأهب و حالة الدخول .
5 - الإسم / Output Modules
الوصف / Process alerts and logs and generate final output.
عملية التنبيه و السجلات و النتائج النهائية .
* IDS Policy Manager
مدير السياسة IDS هو واجهة المستخدم الرسومية القائمة على نظام التشغيل Microsoft Windows.
يتم استخدامه لإدارة السنورت , من خلال ملف التكوين و قواعد السنورت على جهاز استشعار .
و هو متوفرا من موقعها على شبكة الإنترنت
http://activeworx.com/idspm/.
، بيتا الإصدار 1.3 متاح من هذا الموقع، وتدعم الإصدارات السنورت و يصل إلى 1.9.0. يمكنك تحميل البرنامج وتثبيته باستخدام إجراءات التثبيت ويندوز العادية.
عند بدء تشغيل البرنامج، يتم عرض نافذة كما هو مبين في الشكل .
كما ترون ، هذا الإطار فارغ في البداية , و لديها ثلاث علامات التبويب في الجزء السفلي، كما
هو موضح أدناه:
• يظهر "الاستشعار مدير" علامة التبويب أجهزة الاستشعار التي تقوم بإدارته مع هذه الأداة.
في البداية لم يكن هناك جهاز استشعار المدرجة في الإطار لأن لديك لإضافة
أجهزة الاستشعار بعد تثبيت مدير IDS , هذا هو الجدولة الافتراضية عند بدء تشغيل مدير السياسات.
• يظهر "مدير السياسة" علامة التبويب سياسات تكوينه , وتشمل سياسة
معلمات ملف snort.conf (المتغيرات، والمدخلات والمخرجات المكونات الإضافية، وتشمل ملفات)، فضلا عن قائمة من القواعد التي تنتمي إلى هذه السياسة.
• يظهر "تسجيل" علامة التبويب رسائل سجل.
يمكنك النقر على أي من هذه علامات التبويب للتبديل إلى نافذة معينة, و لإضافة عنصر جديد من أجهزة الاستشعار، يمكنك النقر على قائمة "الاستشعار" واختار "إضافة الاستشعار" الخيار.
منبثقة يبدو نافذة مثل واحد هو مبين في الشكل حيث يمكنك ملء المعلومات حول الاستشعار.
يتم أخذ لقطة الشاشة هو مبين في الشكل بعد ملء المعلومات على الحقول البيضاء الفارغة , لديك لإدخال المعلومات التالية حول الاستشعار:
• اسم الاستشعار، وهو "MyHome الاستشعار" في هذا المثال.
• عنوان IP من أجهزة الاستشعار التي هي 192.168.1.2. لديك لملء عنوان IP لل
أجهزة الاستشعار الخاصة بك في هذا المربع.
• يستخدم مربع "نظام IDS" لتحديد أي إصدار من السنورت يتم استخدامه على استشعار.
إصدارات السنورت المختلفة لها معايير مختلفة قليلا إلى المدخلات والمخرجات المكونات الإضافية، فضلا عن الكلمات الرئيسية المستخدمة في القواعد.
من المهم أن استخدام المعلومات الصحيحة في هذا الخيار.
• اسم السياسة "الرسمي". يمكنك استخدام اسم مختلف لهذه السياسة. و يتم تحميل سياسة استشعار وتخزينها على الجهاز حيث سياسة IDS يتم تثبيت مدير.
• و يتضمن القسم "معلومات تحميل" المعلمات المطلوبة لأجل نقل الملفات من و إلى أجهزة الاستشعار.
• يستخدم الأسلوب SCP خادم SSH يعمل على أجهزة الاستشعار , اسم المستخدم و تستخدم كلمة المرور لتسجيل الدخول إلى أجهزة الاستشعار في السنورت لتحميل وتنزيل الملفات , و "تحميل دليل" يظهر موقع الملف snort.conf على السنورت أجهزة الاستشعار.
منذ وذكر موقع ملفات قاعدة أخرى في snort.conf ملف، لا تحتاج إلى تحديد أسماء وأماكن الملفات قاعدة أخرى.
بعد إدخال هذه المعلومات، يمكنك النقر فوق "موافق" لإضافة جهاز استشعار.
بعد إضافة أجهزة الاستشعار، فإن المهمة الأولى لتحميل السياسة من أجهزة الاستشعار قمت في إضافتها في الخطوة السابقة.
لهذا الغرض ، يمكنك استخدام "سياسة التحميل من الاستشعار" الخيار في القائمة "الاستشعار".
بعد تنزيل هذه السياسة، يمكنك النقر على "سياسة مان اجير" التبويب في الجزء السفلي من الشاشة لتعديل هذه السياسة.
عند النقر فوق هنا، سترى الشاشة مع قائمة حاليا السياسات المتاحة. منذ كنت تستخدم "الرسمي" كاسم للسياسة أثناء إضافة الاستشعار، ويجب أن تكون هذه السياسة موجودة في القائمة.
لتعديل هذه السياسة، انقر نقرا مزدوجا فوق اسم النهج ونافذة محرر نهج سوف يبدو، كما هو مبين في الشكل .
على الجانب الأيسر من النافذة هو مبين في الشكل هي قائمة مختلفة دروس من القواعد المستخدمة في أجهزة الاستشعار.
الجانب الأيمن من النافذة يظهر وصف الطبقة والقواعد الفردية المدرجة في تلك الفئة, و لتعديل القاعدة ، يمكنك الإضافة فوق تلك القاعدة ونافذة كما هو مبين في الشكل ستظهر حيث يمكنك تعديل أجزاء مختلفة من القاعدة.
القوائم المنسدلة في الجانب الأيمن من النافذة هو مبين في الشكل تجعل من من السهل جدا لتعديل القواعد.
على سبيل المثال ، و لتعديل البروتوكول المستخدم في القاعدة، يمكنك انقر على زر القائمة المنسدلة وقائمة البروتوكولات المعتمدة ستظهر.
لتعديل أجزاء أخرى من الملف snort.conf، يمكنك النقر فوق "إعدادات" علامة التبويب على الجانب الأيسر العلوي من النافذة.
يظهر نافذة كما هو مبين في الشكل حيث يمكنك تعديل المدخلات والمخرجات المكونات الإضافية وقيم المتغيرات المختلفة, كما ترون في لقطة الشاشة في الشكل ، و اسم مستخدم قاعدة البيانات والمرور- يتم عرض الكلمات.
هذه هي نفسها التي تستخدم أثناء تكوين في قاعدة بيانات MySQL.
بعد إجراء تغييرات على هذه السياسة، يمكنك إغلاق هذه النافذة , يمكنك الآن تحميله على أجهزة الاستشعار على استخدام الخيارات في "الاستشعار" القائمة من القائمة الرئيسية.
مدير سياسة IDS يجعل من السهل جدا لتعديل سياسات الاستشعار , وهو يفعل تقريبا جميع المهام في.
* استخدام شبكة خاصة
هناك طرق مختلفة لجعل ACID آمنة طريقة واحدة هي استخدام العمل لجميع أجهزة استشعار السنورت وخادم قاعدة بيانات مركزية حيث ACID و الأباتشي يتم تثبيت ذلك أن عناوين IP الخاصة تكون غير مرئية من الإنترنت. هذا المخطط هو لا يزال عرضة للمستخدمين الداخليين الذين لديهم إمكانية الوصول إلى هذه الشبكة خاصة.
* حجب الوصول إلى خادم ويب على جدار
أسلوب آخر هو لمنع الوصول إلى خادم الويب الخاص بك من جدار الحماية بحيث لا أحد من الإنترنت يمكن الوصول إلى خادم الويب , مرة أخرى هذا المخطط لا يزال عرضة للمستخدمين الداخليين.
* استخدام iptables
طريقة أخرى هي استخدام iptables السماح فقط إلى جهاز الكمبيوتر الخاص بك للوصول إلى عنوان 80 على خادم الويب.
هذا هو الأسلوب الأكثر أمانا لأنه يحمي الويب الخاص بك الخادم و ACID من كل من المستخدمين الداخليين والخارجيين , و يمكنك استخدام أمر بسيط لمنع كافة الاتصالات الواردة باستثناء محطة العمل الخاصة بك ، والتي لديها IP معالجة 192.168.1.100.
iptables -A INPUT -s! 192.168.1.100 -j DROP
الأمر حساس لحالة الأحرف , و يمنع هذا الأمر كافة الاتصالات باستثناء تلك من المضيف 192.168.1.100، و هي محطة العمل الخاصة حيث يمكنك استخدام شبكة الإنترنت المتصفح.
هذه ليست تعليمات شاملة حول كيفية استخدام الأمر iptables.
و يمكنك إما استخدام"man iptables"
القيادة للحصول على مزيد من المعلومات حول iptables المستندة إلى الجدران النارية أو قراءة دليل iptables في
http://www.netfilter.org/unreliable-guides/packet-filtering-HOWTO/index.html.
بمجرد استخدام الأمر أعلاه، لا أحد من أي مضيف آخر تكون قادرة على الوصول إلى أي خدمة على الجهاز حيث يمكنك استخدام هذا الأمر , كافة الاتصالات الموجودة سيتم حذفها و يتم تحذيرك! .
* Easy IDS
Easy IDS هو نظام متكامل متاح من
http://www.argusnetsec.com
إلى نظام التشغيل لينكس. وهو يحتوي على جميع العناصر الضرورية لبناء
IDS
الكامل بسرعة , والمترجمة مسبقا و هذه المكونات وتكوينها لسهولة التركيب.
حزمة تشمل ما يلي:
• السنورت
• خادم الويب اباتشي
• خادم MySQL
• ACID
• PHPLOT
• ADODB
برنامج التثبيت النصي يقوم في تثبيت كل من هذه المكونات ، و يخلق بدء التشغيل و الوصلات النصية و إيقاف التشغيل , هذا هو خيار جيد للأشخاص الذين يرغبون في الحصول على شيء متوالي و بسرعة.
قد تكون متاحة للتحميل مجانا من موقع الشركة على شبكة الإنترنت في المستقبل.
* مناطق الأمان ومستويات الثقة
منذ بعض الوقت الناس تقسيم الشبكات إلى منطقتين واسعتين هما ، منطقة آمنة و منطقة غير آمنة , أحيانا يعني هذا التقسيم أيضا الشبكة داخل جدار الحماية أو جهاز التوجيه وخارج جهاز التوجيه الخاص بك.
الآن تنقسم شبكات نموذجية في العديد من مختلف مناطق و كل منطقة قد يكون مستوى مختلف من السياسة الأمنية و مستوى الثقة, على سبيل المثال، قد يكون زارة المالية للشركة على المستوى الأمني عال جدا ، و يجوز السماح فقط عدد قليل من الخدمات للعمل في هذا المجال , و قد تكون هناك خدمة الإنترنت متاحة من وزارة المالية , جزء المنطقة ولكن على DMZ أو منزوعة السلاح من الشبكة قد تكون مفتوحة إلى عالم الإنترنت و يمكن أن يكون على مستوى مختلف جدا من الثقة.
تبعا لمستوى الثقة والسياسة الأمنية ، يجب أن يكون لديك أيضا سياسات وقواعد للكشف الدخيل في مناطق مختلفة من الشبكة المختلفة.
يتم الاحتفاظ قطع الشبكة مع المتطلبات الأمنية المختلفة و مستويات الثقة هيكليا منفصلة عن بعضها البعض.
يمكنك تثبيت نظام كشف التسلل واحد في كل منطقة مع أنواع مختلفة من قواعد الكشف عن نشاط الشبكة المشبوهة , على سبيل المثال , إذا زارة المالية لديها أي خادم الويب ، أي حركة المرور تسير على المنفذ 80 في الجزء وزارة المالية قد يأتي تحت المجهر للنشاط الدخيل.
ولكن ذلك لا ينطبق في المنطقة المنزوعة و المعزولة حيث تقوم بتشغيل خادم ويب الشركة في متناول الجميع.
* سياسة IDS
قبل تثبيت نظام كشف التسلل على الشبكة ، يجب أن يكون لديك سياسة للكشف عن المتسللين و اتخاذ الإجراءات اللازمة عندما تجد مثل هذا النشاط.
سياسة يجب أن تملي قواعد IDS و كيف سيتم تطبيقها.
و ينبغي أن تتضمن سياسة IDS المكونات التالية : يمكنك إضافة أكثر اعتمادا على الاحتياجات الخاصة بك.
• من ستراقب IDS ؟ اعتمادا على IDS، قد يكون لديك تنبيه الآليات التي توفر معلومات حول النشاط الدخيل. هذه تنبيه قد تكون نظم في شكل ملفات نصية بسيطة، أو أنها قد تكون أكثر معقدة ومتكاملة ربما لنظم إدارة الشبكات المركزية مثل HP أوبن فيو أو قاعدة بيانات MySQL. مطلوب شخص لمراقبة النشاط الدخيل والسياسة يجب تحديد الشخص المسؤول (ق). و يمكن أيضا أن تراقب النشاط الدخيل في الوقت الحقيقي باستخدام النوافذ المنبثقة أو واجهات الويب.
في هذه الحالة يجب أن يكون مشغلي معرفة التنبيهات و المعرفة الخاصة و هذا يعني من حيث مستويات الخطورة.
• من الذي سوف يدير IDS ، وتناوب السجلات وهكذا؟ كما هو الحال مع جميع النظم ، كنت تحتاج إلى إنشاء الصيانة الروتينية إلى IDS . • من الذي سوف تتعامل مع الحوادث وكيف؟ إذا لم يكن هناك طرق معالجة الحادث ، وليس هناك نقطة في تثبيت IDS. اعتمادا على شدة الحادث ، كنت قد تحتاج إلى الحصول على بعض الوكالات الحكومية المعنية.
• ماذا سيكون عملية التصعيد (مستوى 1 ومستوى 2 وهكذا)؟ التصعيد العملية هي في الأساس استراتيجية في الاستجابة للحوادث , يجب على السياسة بشكل واضح وصف الحوادث التي ينبغي أن صعدت إلى الإدارة العليا.
• إعداد التقارير , قد يتم إنشاء التقارير التي تبين ما حدث خلال آخر اليوم أو الأسبوع أو الشهر.
• تحديثات التوقيعات , القراصنة يحاولون باستمرار خلق أنواع جديدة من الهجمات و تم الكشف عن هذه الهجمات من قبل IDS إذا كان يعرف عن الهجوم الذي وقع في شكل التوقيعات , وتستخدم التوقيعات الهجوم في قواعد السنورت للكشف عن الهجمات , لأن من الطبيعة المتغيرة باستمرار للهجمات , يجب عليك تحديث التوقيعات و قواعد IDS الخاص بك.
يمكنك تحديث تواقيع مباشرة من موقع على شبكة الإنترنت السنورت على أساس دوري أو لوحدك عندما يتم اكتشاف التهديد الجديد.
• مطلوب التوثيق لكل مشروع سياسة IDS ينبغي أن يصف
* أين توضع IDS في شبكة الطوبولوجيا
تبعا لمخطط الشبكة الخاص بك ، فإنك قد ترغب في وضع أنظمة الكشف عن التسلل في واحد أو أكثر من الأماكن , ذلك يعتمد أيضا على نوع من التدخل في أنشطة كنت ترغب في الكشف عنها نها : الداخلية والخارجية أو كليهما . على سبيل المثال، إذا كنت ترغب في
الكشف عن الأنشطة التسلل الخارجي فقط ، وكان لديك جهاز توجيه واحد فقط الاتصال على الانترنت ، و أفضل مكان لنظام كشف التسلل قد تكون فقط داخل جهاز التوجيه أو جدار حماية , إذا كان لديك مسارات متعددة إلى الإنترنت , قد ترغب في مكان واحد IDS
مربع في كل نقطة دخول , ولكن إذا كنت ترغب في الكشف عن التهديدات الداخلية أيضا، يجوز لك و كنت تريد وضع مربع في كل قطعة الشبكة.
في كثير من الحالات لا تحتاج لتدخل نشاط الكشف في كل شبكة قطاعات و كنت قد ترغب في قصرها فقط على المناطق الحساسة الشبكة , لاحظ أن أكثر
أنظمة كشف التسلل تعني المزيد من العمل و المزيد من تكاليف الصيانة.
قرارك حقا يتوقف على السياسة الأمنية، و التي تعرف ما تريد حقا للحماية من المتسللين.
ويبين الشكل التالي المواقع النموذجية حيث يمكنك وضع نظام لكشف التسلل , وكما ترون من الشكل ، و عادة يجب أن تضع IDS راء كل من الجدران النارية الخاصة بك والموجهات , في حالة الشبكة تحتوي على منطقة منزوعة السلاح (DMZ)، ولا يجوز إخضاع أحد IDS في تلك المنطقة كذلك.
ومع ذلك ينبغي للسياسة جيل في حالة تأهب لا أن تكون صارمة في DMZ مقارنة بأجزاء خاصة للشبكة.
Comments