Tartalomjegyzék:
Sok esetben a hálózatokat feltörik, jogellenesen férnek hozzá vagy hatékonyan tiltják le. A TJ Maxx hálózatának most már hírhedt 2006-os hackelését jól dokumentálták - mind a TJ Maxx kellő gondosság hiánya, mind a társaság által ennek eredményeként elszenvedett jogi következmények szempontjából. Ehhez adjuk hozzá a TJ Maxx ezer ügyfeleknek okozott károkat és gyorsan megmutatkozik az erőforrások hálózati biztonság felé történő elosztásának fontossága.
A TJ Maxx hackelés további elemzésekor meg lehet határozni egy olyan konkrét időpontot, ahol az eseményt végül észrevették és enyhítették. De mi van a biztonsági eseményekkel, amelyek észrevétlenül maradnak? Mi lenne, ha egy vállalkozóképes fiatal hacker elég diszkrét ahhoz, hogy apró elemeket szétvigyen egy hálózatból oly módon, hogy a rendszergazdák ne maradjanak okosabbak? Az ilyen típusú forgatókönyvek jobb leküzdése érdekében a biztonsági / rendszergazdák fontolóra vehetik a Snort behatolásérzékelő rendszert (IDS).
Snort kezdete
1998-ban a Snort kiadta a Sourcefire alapítója, Martin Roesch. Abban az időben egy könnyű behatolásérzékelő rendszerként számlázták, amely elsősorban az Unix és az Unix-szerű operációs rendszereken működött. Abban az időben a Snort telepítése élvonalbeli volt, mivel gyorsan vált a hálózati behatolásérzékelő rendszerek tényleges szabványává. A C programozási nyelven írt Snort gyorsan népszerűvé vált, amikor a biztonsági elemzők a granuláltság felé vonzódtak, amellyel konfigurálható volt. A Snort szintén teljesen nyílt forráskódú, és az eredmény egy nagyon robusztus, széles körben népszerű szoftver, amely rengeteg ellenőrzést bírt a nyílt forráskódú közösségben.Snort alapjai
Az írás idején a Snort jelenlegi verziója 2.9.2. Három működési módot tart fenn: Szippantó üzemmód, csomagkezelő üzemmód és a hálózati behatolás észlelési és megelőzési rendszer (IDS / IPS) mód.
Az Sniffer mód kevésbé magában foglalja a csomagok rögzítését, mivel azok átmennek az útvonalon, attól függően, hogy melyik hálózati interfészkártya (NIC) van telepítve. A biztonsági rendszergazdák ezt a módot használhatják annak megfejteni, hogy milyen típusú forgalmat észlelnek a hálózati kártyán, majd ennek megfelelően beállíthatják a Snort konfigurációját. Meg kell jegyezni, hogy ebben a módban nincs naplózás, így a hálózatba belépő összes csomag egyszerűen egy folyamatos adatfolyamként jelenik meg a konzolon. A hibaelhárításon és az első telepítésen kívül ez az adott mód önmagában is kevés értéket képvisel, mivel a legtöbb rendszergazdát jobban kiszolgálja valami olyan, mint a tcpdump segédprogram vagy a Wireshark.
A csomagkezelő mód nagyon hasonlít a szippantás módra, de az egyik fő különbségnek nyilvánvalónak kell lennie az adott üzemmód nevében. A csomagkezelő mód lehetővé teszi a rendszergazdák számára, hogy naplózhassák azokat a csomagokat, amelyek a kívánt helyekre és formátumokba kerülnek. Például, ha egy rendszergazda be szeretné naplózni a csomagokat a hálózaton belüli adott csomópont nevű / naplózási könyvtárába, először létrehozza a könyvtárat az adott csomóponton. A parancssorban utasítja Snort-ot, hogy ennek megfelelően naplózza a csomagokat. A csomagkezelő üzemmódban szereplő érték a névhez tartozó nyilvántartási szempontból rejlik, mivel lehetővé teszi a biztonsági elemzők számára, hogy megvizsgálják az adott hálózat előzményeit.
RENDBEN. Mindezen információkat jó tudni, de hol van a hozzáadott érték? Miért kellene egy rendszergazdának időt és energiát költenie a Snort telepítésére és konfigurálására, ha a Wireshark és a Syslog gyakorlatilag ugyanazokat a szolgáltatásokat képes elvégezni egy sokkal csinosabb felülettel? Ezekre a nagyon releváns kérdésekre a válasz a hálózati behatolásérzékelő rendszer (NIDS) mód.
A Sniffer mód és a csomagkezelő mód lépéseket tesz a Snort valódi lényege - NIDS mód felé vezető úton. A NIDS mód elsősorban a horkolás konfigurációs fájljára (általában snort.conf néven) hivatkozik, amely tartalmazza az összes szabálykészletet, amellyel a tipikus Snort telepítés konzultál, mielőtt riasztásokat küld a rendszergazdáknak. Például, ha egy rendszergazda riasztást szeretne kiváltani minden alkalommal, amikor az FTP-forgalom belép és / vagy elhagyja a hálózatot, akkor egyszerűen csak a megfelelő szabályfájlra hivatkozik a snort.conf fájlban, és voila! A riasztást ennek megfelelően kell kiváltani. Mint elképzelhető, a snort.conf konfigurációja rendkívül részletessé válhat riasztások, protokollok, bizonyos portszámok és bármilyen más heurisztika szempontjából, amelyet a rendszergazda szerint releváns az adott hálózatához.
Ahol a Snort rövid lesz
Nem sokkal azután, hogy a Snort népszerűvé vált, egyetlen hiányossága a konfiguráló személy tehetségi szintje volt. Az idő múlásával azonban a legalapvetőbb számítógépek több processzort támogattak és sok helyi hálózat elkezdett megközelíteni a 10 Gbps sebességet. A Snort története során következetesen "könnyű" számlázásra került, és ez a moniker releváns a mai napban. A parancssoron történő futtatáskor a csomagok késleltetése soha nem volt akadálya, ám az utóbbi években a multithreading néven ismert koncepció valóban elkezdődött, mivel sok alkalmazás megkísérelte kihasználni a fent említett több processzort. Annak ellenére, hogy többször is megpróbálták leküzdeni a többszálú kérdést, Roesch és a Snort csapat többi része nem tudott kézzelfogható eredményeket hozni. A Snort 3.0-et 2009-ben kellett kiadni, de az írás idején még nem tették elérhetővé. Ezenkívül Ellen Messmer, a Network World azt sugallja, hogy a Snort gyorsan felvette a versenyt a Suricata 1.0 néven ismert IDS Tanszékkel, amelynek támogatói azt sugallják, hogy támogatja a többszálú szálat. Meg kell azonban jegyezni, hogy ezeket az állításokat a Snort alapítója hevesen vitatta.Snort jövője
A Snort továbbra is hasznos? Ez a forgatókönyvetől függ. Azok a hackerek, akik tudják, hogyan lehet kihasználni a Snort többszálú hiányosságait, örülnének, ha tudják, hogy az adott hálózat egyetlen eszköze a behatolások észlelésére a Snort 2.x. A Snortot azonban soha nem kellett volna egyetlen hálózat biztonsági megoldásának tekinteni. A Snort-ot mindig passzív eszköznek tekintették, amely egy meghatározott célt szolgál a hálózati csomag elemzés és a hálózati kriminalisztika szempontjából. Ha az erőforrások korlátozottak, egy bölcs rendszergazda, aki bőségesen ismeri a Linuxot, fontolgathatja a Snort telepítését a hálózat többi részével összhangban. Noha vannak hiányosságai, a Snort a legalacsonyabb költség mellett továbbra is a legnagyobb értéket nyújtja. (a Linux disztribúcióiról a Linuxban: A Szabadság Bástya.)