Съдържание:
Има много случаи, когато мрежите са хакнати, незаконно достъпни или ефективно деактивирани. Известната сега хакерска хакерска мрежа от TJ Maxx през 2006 г. е добре документирана - както по отношение на липсата на надлежна проверка от страна на TJ Maxx, така и поради правните последствия, претърпяни от компанията в резултат. Към това добавете нивото на вреда, нанесено на хиляди клиенти на TJ Maxx и значението на разпределянето на ресурсите за мрежова сигурност бързо става очевидно.
При по-нататъшен анализ на хакерството на TJ Maxx е възможно да се посочи осезаем момент, в който инцидентът най-накрая е забелязан и смекчен. Но какво да кажем за инцидентите със сигурността, които остават незабелязани? Какво става, ако предприемчивият млад хакер е достатъчно дискретен, за да отсипва малки парчета жизненоважна информация от мрежа по начин, който не оставя системните администратори по-мъдри? За да се борят по-добре с този тип сценарии, администраторите по сигурността / системата могат да обмислят системата за откриване на снобски прониквания (IDS).
Началото на Snort
През 1998 г. Snort е освободен от основателя на Sourcefire Мартин Roesch. По онова време тя беше таксувана като лека система за откриване на проникване, която функционира главно в Unix и Unix-подобни операционни системи. По онова време внедряването на Snort се смяташе за авангардно, тъй като бързо стана фактически стандарт в мрежовите системи за откриване на проникване. Написан на езика за програмиране на С, Snort бързо придоби популярност, тъй като анализаторите на сигурността гравитираха към детайлността, с която може да бъде конфигуриран. Snort също е напълно отворен код, а резултатът е много здрав, широко популярен софтуер, който издържа на достатъчно количество контрол в общността с отворен код.Snort Основи
Към момента на писането на настоящия текст текущата продуцентска версия на Snort е 2.9.2. Той поддържа три режима на работа: режим Sniffer, режим на регистриране на пакети и режим на откриване и предотвратяване на проникване в мрежата (IDS / IPS).
Режимът на Sniffer включва малко повече от улавяне на пакети, докато пресичат пътища с която и карта на мрежовия интерфейс (NIC) Snort е инсталиран. Администраторите за сигурност могат да използват този режим, за да дешифрират какъв тип трафик се открива в NIC и след това могат да настроят съответно конфигурацията си на Snort. Трябва да се отбележи, че в този режим няма регистрация, така че всички пакети, които влизат в мрежата, просто се показват в един непрекъснат поток на конзолата. Извън отстраняване на неизправности и първоначална инсталация, този конкретен режим има малка стойност сам по себе си, тъй като повечето системни администратори се обслужват по-добре, като използват нещо като помощната програма tcpdump или Wireshark.
Режимът за регистриране на пакети е много подобен на режима на sniffer, но една ключова разлика трябва да е очевидна в името на този конкретен режим. Режимът за регистриране на пакети позволява на системните администратори да регистрират каквито и да са пакети, които се спускат на предпочитани места и формати. Например, ако системният администратор иска да регистрира пакети в директория с име / log на конкретен възел в мрежата, той първо ще създаде директорията в този конкретен възел. В командния ред той би инструктирал Snort съответно да регистрира пакети. Стойността в режим на регистриране на пакети е в аспект на водене на записи, присъщ на нейното име, тъй като позволява на анализаторите по сигурността да изследват историята на дадена мрежа.
ДОБРЕ. Цялата тази информация е хубаво да се знае, но къде е добавената стойност? Защо системният администратор трябва да отделя време и усилия за инсталиране и конфигуриране на Snort, когато Wireshark и Syslog могат да извършват практически същите услуги с много по-хубав интерфейс? Отговорът на тези много уместни въпроси е мрежовият режим за откриване на проникване (NIDS).
Режимът на Sniffer и режимът за регистриране на пакети са стъпкови камъни по пътя към онова, което всъщност е Snort - NIDS режим. Режимът на NIDS разчита главно на конфигурационния файл на snort (обикновено наричан snort.conf), който съдържа всички набори от правила, с които типичното внедряване на Snort се консултира преди изпращане на сигнали до системните администратори. Например, ако администратор би искал да задейства предупреждение всеки път, когато FTP трафикът влиза и / или напуска мрежата, тя просто ще се позове на съответния файл с правила в рамките на snort.conf и voila! Съответно ще се задейства сигнал. Както може да си представим, конфигурацията на snort.conf може да бъде изключително подробна по отношение на сигнали, протоколи, определени номера на портове и всяка друга евристика, която системният администратор може да почувства, че е от значение за нейната конкретна мрежа.
Където смъртът идва кратък
Малко след като Snort започна да печели популярност, единственият му недостатък беше нивото на таланта на човека, който го конфигурира. С течение на времето обаче най-основните компютри започнаха да поддържат множество процесори и много локални мрежи започнаха да се приближават до скорост от 10 Gbps. Snort постоянно е бил определян като "лек" през цялата си история и този мениджър е актуален и до днес. Когато се изпълнява в командния ред, латентността на пакетите никога не е била много пречка, но през последните години концепция, известна като многоредово четене, наистина започна да се хваща, тъй като много приложения се опитват да се възползват от гореспоменатите множество процесори. Въпреки няколко опита за преодоляване на многопоточната тема, Roesch и останалите от екипа на Snort не успяха да дадат осезаеми резултати. Snort 3.0 трябваше да излезе през 2009 г., но все още не беше предоставен в момента на писането. Освен това Елън Месмер от Network World предполага, че Snort бързо се оказва в съперничество с Департамента за вътрешна сигурност IDS, известен като Suricata 1.0, чиито привърженици предполагат, че поддържа многопоточност. Трябва да се отбележи обаче, че тези твърдения са били оспорвани остро от основателя на Snort.Бъдещето на Снорт
Snort все още е полезен? Това зависи от сценария. Хакерите, които знаят как да се възползват от многостранните недостатъци на Snort, биха се зарадвали да разберат, че единственото средство за откриване на посегателства в дадена мрежа е Snort 2.x. Въпреки това, Snort никога не е бил предназначен за решение за сигурност на която и да е мрежа. Snort винаги се е считал за пасивен инструмент, който служи за определена цел по отношение на анализа на мрежовите пакети и мрежовата криминалистика. Ако ресурсите са ограничени, разумен системен администратор с богат познания в Linux може да обмисли разполагането на Snort в съответствие с останалата част от неговата или нейната мрежа. Въпреки че може да има своите недостатъци, Snort все още осигурява най-голяма стойност при най-ниска цена. (за Linux distros в Linux: Bastion of Freedom.)
