Snort ile Telnet baglantilarini loglama

Telnet ile ulasilan bir sistemde calistirilan komutlari loglamak ve kisitlamak gibi bir ihtiyacimiz olsun(Sadece basit telnet islevi saglayan cesitli cihazlardan log almak icin). Telnet ile ulasilan sistem sadece komut calistirmaya izin verip herhangi bir loglama ve kisitlama ozelligi sunmuyorsa bu durumda sistemlerin onune Telnet proxy tarzinda bir sistem kurularak girilen komutlar loglanabilir ve istenilen ACL’ler yazilabilir.

Bunun icin araya Snort yerlestirerek girilen komutlari -ve istenirse donen ciktilari- kaydetmek, gerekiyorsa uzak sistemlere syslog ile gondermek mumkun. Buna ek olarak sistem uzerinde hangi hostlarin hangi komutlari calistirabilecegini/calistirmamasi gerektigini belirlemek de yine basit Snort kurallari ile yapilabilir.

Arada giden gelen komutlar telnet komutlari degil de sisteme ozel (HLR) komutlari oldugu icin Snort kurallarinda PCRE ve content kullanilmasi gerekir.

Telnet uzerinden akan okunabilir karekterleri kaydetmek icin asagidaki gibi bir kural yeterli olacaktir.

log tcp any any <> SUNUCU_IP 23 (session:printable;)

Benzer sekilde araya yerlestirilen bir Snort uzerinden gecen veritabani komutlari incelenmek istenirse http://ipucu.enderunix.org/view.php?id=1528〈=tr adresindeki ipucundan faydalanilabilir. Ya da FTP uzerinden akan veri trafigini kontrol etmek isterseniz Snort ile FTP komutlari uzerinde oldukca detayli izinler yazabilirsiniz. (Sadece GET komutunu ve LS komutunu kullansin vs gibi).

This entry was posted in Log Monitoring, Network Security. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

one × 2 =