Obsah:
Existuje mnoho případů, kdy jsou sítě napadeny hackery, neoprávněně přistupovány nebo efektivně deaktivovány. Nyní neslavný hackerství sítě TJ Maxx v roce 2006 bylo dobře zdokumentováno - a to jak z důvodu nedostatku náležité péče ze strany TJ Maxx, tak z důvodu právních důsledků, které společnost utrpěla. Přičtěte k tomu úroveň poškození způsobeného tisícům zákazníků TJ Maxx a rychle se projeví význam alokace zdrojů k zabezpečení sítě.
Při další analýze hackování TJ Maxx je možné ukázat na konkrétní bod v čase, kdy byl incident nakonec zaznamenán a zmírněn. Ale co bezpečnostní incidenty, které zůstaly bez povšimnutí? Co když podnikavý mladý hacker je dostatečně diskrétní, aby sifonoval nepatrné kousky životně důležitých informací ze sítě takovým způsobem, aby administrátoři systému nebyli moudřejší? Pro lepší boj s tímto typem scénáře mohou správci zabezpečení / systému zvážit systém detekce narušení Snort (IDS).
Počátky Snorta
V roce 1998 byl Snort propuštěn zakladatelem Sourcefire Martinem Roeschem. V té době byl účtován jako lehký systém detekce narušení, který fungoval především na operačních systémech Unix a Unix. V té době bylo nasazení Snort považováno za špičkové, protože se rychle stalo de facto standardem v systémech detekce narušení sítě. Napsaný v programovacím jazyce C, Snort rychle získal popularitu, protože bezpečnostní analytici přitáhli k granularitě, s níž by to mohlo být nakonfigurováno. Snort je také zcela otevřený zdroj a výsledkem byl velmi robustní, široce populární software, který vydržel velké množství kontroly v komunitě open source.Snort Základy
V době psaní tohoto článku je současná produkční verze Snortu 2.9.2. Udržuje tři provozní režimy: režim Sniffer, režim záznamu paketů a režim detekce a prevence narušení sítě (IDS / IPS).
Režim Sniffer zahrnuje o něco více než zachytávání paketů, protože procházejí cesty, na kterých je nainstalovaná karta síťového rozhraní (NIC) Snort. Správci zabezpečení mohou pomocí tohoto režimu dešifrovat, jaký typ provozu je detekován v síti NIC, a pak mohou odpovídajícím způsobem vyladit konfiguraci Snort. Je třeba poznamenat, že v tomto režimu není protokolování, takže všechny pakety, které vstupují do sítě, jsou jednoduše zobrazeny v jednom nepřetržitém proudu na konzole. Kromě odstraňování potíží a počáteční instalace má tento konkrétní režim sám o sobě malou hodnotu, protože většina správců systému je lépe obsluhována pomocí nástroje jako tcpdump nebo Wireshark.
Režim záznamu paketů je velmi podobný režimu snifferu, ale v názvu tohoto konkrétního režimu by měl být patrný jeden rozdíl kláves. Režim záznamu paketů umožňuje správcům systému zaznamenávat, co se pakety dostávají na preferovaná místa a formáty. Například, pokud správce systému chce přihlásit pakety do adresáře pojmenovaného / log na konkrétním uzlu v síti, nejprve vytvoří adresář v daném uzlu. Na příkazovém řádku přikázal Snortovi, aby odpovídajícím způsobem protokoloval pakety. Hodnota v režimu záznamu paketů je v aspektu uchovávání záznamů vlastní jeho názvu, protože umožňuje analytikům zkoumat historii dané sítě.
OK. Všechny tyto informace je příjemné vědět, ale kde je přidaná hodnota? Proč by měl správce systému trávit čas a úsilí instalací a konfigurací Snorta, když Wireshark a Syslog mohou provádět prakticky stejné služby s mnohem hezčím rozhraním? Odpověď na tyto velmi důležité otázky je režim systému detekce narušení sítě (NIDS).
Režim Sniffer a režim záznamu paketů jsou odrazovým můstkem na cestě k tomu, o čem opravdu Snort je - režim NIDS. Režim NIDS se spoléhá především na konfigurační soubor snort (běžně označovaný jako snort.conf), který obsahuje všechny sady pravidel, které typické nasazení Snort konzultuje před odesláním výstrah správcům systému. Například, pokud by administrátor ráda spustil výstrahu pokaždé, když FTP přenos vstoupí nebo opustí síť, jednoduše by odkazovala na příslušný soubor pravidel v snort.conf a voila! Podle toho se spustí upozornění. Jak si lze představit, konfigurace snort.conf může být extrémně granulární, pokud jde o upozornění, protokoly, určitá čísla portů a jakékoli jiné heuristiky, které může správce systému cítit, je relevantní pro její konkrétní síť.
Kde Snort přijde krátký
Krátce poté, co Snort začal získávat popularitu, jeho jediným nedostatkem byla úroveň talentu osoby, která ji konfigurovala. Postupem času však nejzákladnější počítače začaly podporovat více procesorů a mnoho lokálních sítí se začalo blížit rychlosti 10 Gbps. Snort byl během své historie důsledně účtován jako „lehký“ a tento přezdívka je pro tento den relevantní. Když běží na příkazovém řádku, latence paketů nikdy nebyla velkou překážkou, ale v posledních letech se začal chápat koncept známý jako multithreading, protože mnoho aplikací se pokouší využít výše uvedených více procesorů. Přes několik pokusů o překonání problému s více vlákny, Roesch a zbytek týmu Snort nebyli schopni dosáhnout hmatatelných výsledků. Snort 3.0 měl být propuštěn v roce 2009, ale ještě nebyl zpřístupněn v době psaní. Ellen Messmerová ze sítě World dále navrhuje, že Snort se rychle ocitl v rivalitě s Ministerstvem vnitřní bezpečnosti IDS známým jako Suricata 1.0, jehož zastánci navrhují, že podporuje multithreading. Je však třeba poznamenat, že tato tvrzení byla Snortovým zakladatelem vehementně zpochybněna.Snort's Future
Je Snort stále užitečný? To záleží na scénáři. Hackeři, kteří vědí, jak využít Snortových multithreadingových nedostatků, by byli potěšeni, kdyby věděli, že jediným prostředkem detekce narušení v dané síti je Snort 2.x. Snort však nikdy neměl sloužit jako bezpečnostní řešení pro jakoukoli síť. Snort byl vždy považován za pasivní nástroj, který slouží konkrétnímu účelu, pokud jde o analýzu síťových paketů a forenzní analýzu sítě. Pokud jsou zdroje omezené, může moudrý systémový administrátor s bohatými znalostmi v Linuxu zvážit nasazení Snorta v souladu se zbytkem své sítě. Přestože to může mít své nedostatky, Snort stále poskytuje největší hodnotu za nejnižší cenu. (o Linuxových distribucích v Linuxu: Bastion of Freedom.)
