Table Of Contents - [[#Indledning|Indledning]] - [[#Indledning#Lidt historie|Lidt historie]] - [[#Indledning#Formål med øvelsen|Formål med øvelsen]] - [[#Topologi lab-setup|Topologi lab-setup]] ___ # Indledning Snort er en open-source netværksanalyse motor, der fungerer som et intrusion detection system (IDS), hvilket betyder, at det er designet til at analysere netværkstrafikken i realtid for at opdage og reagere på potentielt skadelig aktivitet. Dette kan omfatte angrebsforsøg, malware-kommunikation, portscanning og andre mistænkelige handlinger, der kan true sikkerheden i vores netværk. En af de mest kraftfulde funktioner ved Snort er dets evne til at oprette og administrere regler. Disse regler definerer, hvilken slags trafik systemet skal være opmærksom på, og hvad der skal gøres, hvis en bestemt type trafik opdages. Mens Snort leveres med et sæt foruddefinerede regler, giver det også mulighed for at oprette brugerdefinerede regler, der passer til vores specifikke netværksbehov og trusselsmiljø. Udover **regelbaserede IDS** som Snort findes der også andre typer af intrusion detection systems, hver med deres egne unikke tilgange til at opdage og reagere på trusselsaktivitet i et netværk. En af disse typer er **signaturbaserede IDS**, som arbejder ved at sammenligne netværkstrafikken med en database af kendte angrebssignaturer. Når en trafikmønster matcher en signatur, udløses en alarm. En anden type er **anomalibaseret IDS**, som fokuserer på at identificere afvigelser fra normale adfærdsmønstre i netværket. Disse systemer opretter en baseline for, hvad der er normalt, og advarer om potentielle trusler, hvis der opdages unormale aktiviteter. Endelig er der **hybrid-IDS**, som kombinerer både signatur- og anomalibaserede metoder for at opnå en mere omfattende og præcis trusselsdetektering. Disse systemer udnytter fordelene ved begge tilgange for at minimere falske positiver og negativer, og dermed forbedre netværkets sikkerhed. Formålet med indtrængningsdetektion i et netværk er at overvåge netværksressourcer for at opdage unormal adfærd og misbrug i netværket. Dette koncept har eksisteret i næsten tyve år, men først for nylig har det set en stigning i popularitet og integration i den overordnede sikkerhedsinfrastruktur. ## Lidt historie I 1980 blev IDS formodentlig grundlagt med udgivelsen af James P. Andersons artikel _"Computer Security Threat Monitoring and Surveillance"_. Artiklen introducerede ideen om, at revisionslogfiler indeholdt vigtig information, der kunne være værdifuld for at spore misbrug og forstå brugeradfærd. Med frigivelsen af denne artikel opstod begrebet "detektion" af misbrug og specifikke brugerhændelser. Hans indsigt i revisionsdata og dens betydning førte til enorme forbedringer i revisionsundersystemerne for næsten alle operativsystemer. Andersons hypotese dannende også grundlaget for fremtidig design og udvikling af IDS-systemer. Hans arbejde markerede begyndelsen på værtsbaseret indtrængningsdetektion og IDS generelt. Læs selv mere her: https://csrc.nist.gov/files/pubs/conference/1998/10/08/proceedings-of-the-21st-nissc-1998/final/docs/early-cs-papers/ande80.pdf ## Formål med øvelsen Vores mål med denne øvelse er at få en grundlæggende forståelse for, hvordan Snort fungerer, og hvordan vi kan udnytte dets potentiale til at beskytte et computer netværk. Vi vil eksperimentere med at oprette og implementere manuelle regler, så I kan få hands-on erfaring med at tilpasse Snort til specifikke krav og trusselsmiljø. Vi vil blandt andet starte med at få oplysninger om hvis nogen anvende [[ICMP - ping]] mellem to maskiner på et netværk (vores LAB-[[LAN]]. # Topologi (lab-setup) Til denne øvelse vil jeg anvende følgende topologi i mit virtuelle lab setup ![[topologi_snort_IDS-lab 1.png]]