IPFIX-Snort-IDS

• Verzia: 1.0
• Stav verzie: experimentálna
• Autori: Peter Kolcun
• Licencia: GNU GPLv3
• Implemetačné prostredie: Java JRE 6 update 10 (build 1.6.0_10-b33)
• SVN: http://qos-dev.cnl.sk/svn/ipfixSnortIds/
• Trac: http://
• Changelog
• Používateťská príručka
• Systémová príručka

Stručný opis

Aplikácia je bez grafického rozhrania a spúšťa sa príkazom v príkazovom riadku. Funkciou aplikácie ipfix_snort_ids 1.0 je analyzovanie aktivity v sieti na základe informácií poskytovaných IPFIX exportovacím programom Beem Beem predstavuje IPFIX exportér, ktorý zhromažďuje informácie o aktivite v sieti a posiela ich vo forme IPFIX správ prostredníctvom TCP spojenia. Aktivita v sieti je porovnávaná z opismi známych útokov, ktoré sú opísané prostredníctvom gramatiky voľne dostupného IDS Snort. Ak program nájde zhodu medzi aktivitou v sieti a opisom známeho útoku vygeneruje a zobrazí upozornenie. Upozornenie je taktiež zapísané do log súboru, ak to akcia definovaná v pravidle pre opis daného útoku vyžaduje.

Systémové požiadavky

• Operačný systém: akýkoľvek, ktorý podporuje JRE 6 update 10
• Hardvér:
  • procesor: Intel(R) Pentium(R) 4, 3 GHz
  • pamäť: min 1 GB (pri cca 160 pravidlách, čim viac pravidiel tym viac RAM je potrebne)
  • diskový priestor: 30MB
  • ostatné: Sieťová karta
• Databáza: -

Závislosti

• Exportér: Špecialny druh exportéra s úpravou flow per packet, komunikujúci cez TCP a exportujúci podľa šablon:

• config.xml: Sablona pre beem_fpp pre ICMP protokol

• configip.xml: Sablona pre beem_fpp pre IP protokol

• configtcp.xml: Sablona pre beem_fpp pre TCP protokol

• configudp.xml: Sablona pre beem_fpp pre UDP protokol

Iné

Pre správnu funkciu je potrebne aby sa exportér spustil až keď systém oznámi, že spustil IPFIX server.