Obsah:
Existuje veľa prípadov, keď sú siete hackerské, neoprávnene prístupné alebo efektívne zakázané. Dnešné neslávne známe hackovanie siete TJ Maxx v roku 2006 bolo dobre zdokumentované - pokiaľ ide o nedostatok náležitej starostlivosti zo strany TJ Maxx a právne následky, ktoré spoločnosť utrpela. Pridajte k tomu mieru poškodenia spôsobenú tisíckam zákazníkov TJ Maxx a rýchlo sa prejaví dôležitosť alokácie zdrojov na zabezpečenie siete.
Pri ďalšej analýze hackingu TJ Maxx je možné poukázať na konkrétny časový bod, v ktorom bol incident nakoniec zaznamenaný a zmiernený. Ale čo bezpečnostné incidenty, ktoré zostávajú nepovšimnuté? Čo keď podnikavý mladý hacker je dostatočne diskrétny na to, aby mohol zo siete preniesť malé kúsky dôležitých informácií takým spôsobom, aby správcovia systému neboli múdrejší? V záujme lepšieho boja proti tomuto typu scenára môžu správcovia bezpečnosti / systému zvážiť systém detekcie prieniku Snort (IDS).
Začiatky Snort
V roku 1998 bol Snort prepustený zakladateľom Sourcefire Martinom Roeschom. V tom čase bol účtovaný ako ľahký systém detekcie narušenia, ktorý fungoval predovšetkým na operačných systémoch Unix a Unix. V tom čase sa nasadenie Snort považovalo za špičkové, pretože sa rýchlo stalo de facto štandardom v systémoch detekcie narušenia siete. Napísané v programovacom jazyku C, Snort si rýchlo získal popularitu, pretože analytici bezpečnosti sa tiahli k granularite, s ktorou by sa dalo nakonfigurovať. Snort je tiež úplne otvorený zdroj a výsledkom je veľmi robustný, široko populárny softvér, ktorý vydržal veľké množstvo kontroly v komunite s otvoreným zdrojom.Snort Základy
V čase písania tohto článku je súčasná produkčná verzia softvéru Snort 2.9.2. Udržuje tri režimy prevádzky: režim Sniffer, režim protokolovania paketov a režim detekcie a prevencie narušenia siete (IDS / IPS).
Režim Sniffer zahŕňa len viac ako zachytávanie paketov, pretože prechádzajú cestou, na ktorej je nainštalovaná karta sieťového rozhrania (NIC) Snort. Správcovia bezpečnosti môžu tento režim použiť na dešifrovanie toho, aký typ prenosu sa zisťuje v NIC, a potom môžu zodpovedajúcim spôsobom vyladiť svoju konfiguráciu Snort. Je potrebné poznamenať, že v tomto režime nie je protokolovanie, takže všetky pakety, ktoré vstupujú do siete, sa na konzole jednoducho zobrazia v jednom súvislom toku. Okrem odstraňovania problémov a počiatočnej inštalácie má tento konkrétny režim sám o sebe malú hodnotu, pretože väčšine správcov systému je lepšie obsluhovať pomocou nástroja ako je napríklad tcpdump alebo Wireshark.
Režim záznamu paketov je veľmi podobný režimu snifferov, ale v názve tohto konkrétneho režimu by mal byť zrejmý jeden rozdiel medzi kľúčmi. Režim protokolovania paketov umožňuje správcom systému zaznamenávať, čo sa pakety dostanú na preferované miesta a formáty. Napríklad, ak správca systému chce prihlásiť pakety do adresára s názvom / log na konkrétnom uzle v sieti, najprv vytvorí adresár v tomto konkrétnom uzle. Na príkazovom riadku prikázal Snortovi, aby protokoloval pakety zodpovedajúcim spôsobom. Hodnota v režime protokolovania paketov je v aspekte uchovávania záznamov obsiahnutá v jeho názve, pretože umožňuje bezpečnostným analytikom skúmať históriu danej siete.
OK. Všetky tieto informácie je pekné vedieť, ale kde je pridaná hodnota? Prečo by mal správca systému tráviť čas a úsilie inštaláciou a konfiguráciou Snorka, keď Wireshark a Syslog môžu vykonávať prakticky rovnaké služby s oveľa krajším rozhraním? Odpoveď na tieto veľmi relevantné otázky je režim systému detekcie narušenia siete (NIDS).
Režim Sniffer a režim protokolovania paketov sú odrazovým mostíkom na ceste k tomu, o čom naozaj je Snort - režim NIDS. Režim NIDS sa spolieha primárne na konfiguračný súbor snort (bežne sa označuje ako snort.conf), ktorý obsahuje všetky sady pravidiel, s ktorými sa typické posielanie Snort stretáva pred odoslaním upozornení správcom systému. Napríklad, ak by správca chcel spustiť upozornenie zakaždým, keď FTP prevádzka vstúpi a / alebo opustí sieť, jednoducho by odkázala na príslušný súbor pravidiel v snort.conf a voila! Podľa toho sa spustí výstraha. Ako si vieme predstaviť, konfigurácia snort.conf môže byť mimoriadne podrobná, pokiaľ ide o varovania, protokoly, určité čísla portov a akékoľvek ďalšie heuristiky, ktoré môže správca systému cítiť, je relevantné pre jej konkrétnu sieť.
Kde Snort príde krátke
Krátko po tom, čo Snort začal získavať popularitu, jeho jediným nedostatkom bola úroveň talentu osoby, ktorá ju konfigurovala. Postupom času však najzákladnejšie počítače začali podporovať viac procesorov a mnoho lokálnych sietí sa začalo približovať rýchlosťou 10 Gbps. Snort bol počas svojej histórie dôsledne účtovaný ako „ľahký“ a tento prezývka je pre tento deň relevantná. Keď sa spúšťa na príkazovom riadku, latencia paketov nikdy nebola veľkou prekážkou, ale v posledných rokoch sa začal chápať koncept známy ako multithreading, pretože mnoho aplikácií sa pokúša využiť vyššie uvedené viac procesorov. Napriek niekoľkým pokusom o prekonanie problému s viacerými vláknami Roesch a zvyšok tímu Snort nedokázali dosiahnuť hmatateľné výsledky. Snort 3.0 mal byť prepustený v roku 2009, ale ešte nebol sprístupnený v čase písania. Okrem toho Ellen Messmer zo siete World navrhuje, že Snort sa rýchlo ocitol v rivalite s ministerstvom vnútornej bezpečnosti IDS známom ako Suricata 1.0, ktorého zástancovia naznačujú, že podporuje multithreading. Je však potrebné poznamenať, že tieto tvrdenia prudko spochybnil zakladateľ Snorta.Snort's Future
Je Snort stále užitočný? Závisí to od scenára. Hackeri, ktorí vedia, ako využiť Snortove nedostatky týkajúce sa viacerých vlákien, by radi uvítali, že jediným prostriedkom na odhaľovanie vniknutí v sieti je Snort 2.x. Snort však nikdy nemal byť bezpečnostným riešením pre akúkoľvek sieť. Snort bol vždy považovaný za pasívny nástroj, ktorý slúži konkrétnemu účelu, pokiaľ ide o analýzu sieťových paketov a forenznú analýzu siete. Ak sú zdroje obmedzené, múdry systémový administrátor s bohatými znalosťami v Linuxe by mohol zvážiť nasadenie Snorta v súlade so zvyškom svojej siete. Aj keď to môže mať svoje nedostatky, Snort stále poskytuje najvyššiu hodnotu pri najnižších nákladoch. (o distribúciách systému Linux v systéme Linux: Bastion of Freedom.)