Cuprins:
Există multe cazuri în care rețelele sunt hackate, accesate ilegal sau dezactivate efectiv. Hackingul acum infam din 2006 al rețelei TJ Maxx a fost bine documentat - atât în ceea ce privește lipsa de diligență din partea TJ Maxx, cât și ramificările legale suferite de companie ca urmare. Adăugați la aceasta nivelul de rău făcut mii de clienți TJ Maxx și importanța alocării resurselor către securitatea rețelei devine rapid.
În urma analizei ulterioare a hack-urilor TJ Maxx, este posibil să punctăm un moment tangibil în timp în care incidentul a fost în cele din urmă observat și atenuat. Dar ce zici de incidentele de securitate care trec neobservate? Ce se întâmplă dacă un tânăr hacker întreprinzător este suficient de discret pentru a înghiți mici informații vitale dintr-o rețea, într-o manieră care nu lasă administratorilor de sistem să fie mai înțelepți? Pentru a combate mai bine acest tip de scenariu, administratorii de securitate / sistem pot lua în considerare sistemul de detecție a intruziunilor Snort (IDS).
Începuturile Snortului
În 1998, Snort a fost lansat de fondatorul Sourcefire, Martin Roesch. La vremea respectivă, a fost facturat ca un sistem ușor de detectare a intruziunilor, care a funcționat în principal pe sistemele de operare Unix și Unix. La acea vreme, desfășurarea Snort era considerată de vârf, deoarece a devenit rapid standardul de facto în sistemele de detectare a intruziunilor de rețea. Scris în limbajul de programare C, Snort a câștigat rapid popularitate pe măsură ce analiștii de securitate gravitau către granularitatea cu care putea fi configurat. Snort-ul este, de asemenea, complet open source, iar rezultatul a fost un software foarte robust, foarte popular, care a rezistat la o cantitate mare de control în comunitatea open source.Fundamentele snort
În momentul redactării acestei versiuni, versiunea actuală de producție a Snort este 2.9.2. Menține trei moduri de funcționare: modul Sniffer, modul de înregistrare a pachetelor și modul de detectare și prevenire a intruziunilor în rețea (IDS / IPS).
Modul Sniffer implică puțin mai mult decât captarea pachetelor, deoarece traversează căile cu orice placă de interfață de rețea (NIC) Snort este instalat. Administratorii de securitate pot utiliza acest mod pentru a descifra ce tip de trafic este detectat la NIC și pot apoi să ajusteze în consecință configurația lor Snort. Trebuie remarcat faptul că nu există înregistrare în acest mod, astfel încât toate pachetele care intră în rețea sunt afișate pur și simplu într-un flux continuu pe consolă. În afara depanării și instalării inițiale, acest mod particular are o valoare redusă în sine, deoarece majoritatea administratorilor de sistem sunt mai bine deserviți folosind ceva precum utilitatea tcpdump sau Wireshark.
Modul de înregistrare a pachetelor este foarte similar cu modul sniffer, dar o diferență de cheie ar trebui să fie evidentă în numele acestui mod special. Modul de înregistrare a pachetelor permite administratorilor de sistem să înregistreze orice pachete coboară în locurile și formatele preferate. De exemplu, dacă un administrator de sistem vrea să înregistreze pachetele într-un director numit / log pe un nod specific din rețea, el ar crea mai întâi directorul pe acel anumit nod. Pe linia de comandă, el ar instrui Snort să jurnalizeze pachetele în consecință. Valoarea în modul de înregistrare a pachetelor este în aspectul păstrării înregistrărilor inerente numelui său, deoarece permite analiștilor de securitate să examineze istoricul unei rețele date.
O.K. Toate aceste informații sunt drăguțe de știut, dar unde este valoarea adăugată? De ce un administrator de sistem ar trebui să petreacă timp și efort în instalarea și configurarea Snort când Wireshark și Syslog pot efectua practic aceleași servicii cu o interfață mult mai frumoasă? Răspunsul la aceste întrebări foarte pertinente este modul de detectare a intruziunilor în rețea (NIDS).
Modul Sniffer și modul de înregistrare a pachetelor sunt pietre la pas către ceea ce este cu adevărat Snort - modul NIDS. Modul NIDS se bazează în principal pe fișierul de configurare snort (denumit în mod obișnuit snort.conf), care conține toate seturile de reguli pe care o implementare tipic Snort le consultă înainte de a trimite alerte către administratorii de sistem. De exemplu, dacă un administrator ar dori să declanșeze o alertă de fiecare dată când traficul FTP intră și / sau părăsește rețeaua, ea se va referi pur și simplu la fișierul de reguli corespunzător din snort.conf și voilă! În consecință, o alertă va fi declanșată. După cum ne putem imagina, configurația snort.conf poate deveni extrem de granulară în ceea ce privește alertele, protocoalele, anumite numere de porturi și orice alt euristic pe care un administrator de sistem îl poate considera relevant pentru rețeaua ei particulară.
În cazul în care Snort vine scurt
La scurt timp după ce Snort a început să câștige popularitate, singurul său neajuns a fost nivelul de talent al persoanei care îl configurează. Cu timpul, însă, cele mai de bază computere au început să suporte mai multe procesoare, iar multe rețele locale au început să se apropie de viteze de 10 Gbps. Snortul a fost constant facturat ca fiind „ușor” de-a lungul istoriei sale, iar acest moniker este relevant pentru zilele noastre. Atunci când este rulat pe linia de comandă, latența pachetelor nu a fost niciodată un obstacol, dar în ultimii ani, un concept cunoscut sub numele de multithreading a început cu adevărat să pună mâna pe măsură ce multe aplicații încearcă să profite de procesoarele multiple menționate mai sus. În ciuda mai multor încercări de a depăși problema multithreading, Roesch și restul echipei Snort nu au reușit să producă rezultate tangibile. Snort 3.0 urma să fie lansat în 2009, dar încă nu fusese disponibil la momentul scrierii. Mai mult, Ellen Messmer de la Network World sugerează că Snort s-a aflat rapid într-o rivalitate cu Departamentul de Securitate Interioară IDS cunoscut sub numele de Suricata 1.0, ai cărui susținători sugerează că acceptă multitreading. Cu toate acestea, trebuie menționat că aceste afirmații au fost contestate vehement de fondatorul Snort.Viitorul lui Snort
Este încă Snort util? Acest lucru depinde de scenariu. Hackerii care știu să profite de deficiențele multithreading ale lui Snort ar fi încântați să știe că singurul mijloc de detectare a intruziunilor unei anumite rețele este Snort 2.x. Cu toate acestea, Snort nu a fost menit să fie soluția de securitate pentru nicio rețea. Snortul a fost întotdeauna considerat un instrument pasiv care servește unui anumit scop în ceea ce privește analiza pachetelor de rețea și criminalistica în rețea. Dacă resursele sunt limitate, un administrator înțelept de sistem cu cunoștințe abundente în Linux ar putea lua în considerare implementarea lui Snort în conformitate cu restul rețelei sale. Deși poate avea deficiențele sale, Snort oferă în continuare cea mai mare valoare la cel mai mic cost. (despre distros Linux în Linux: Bastion of Freedom.)