Зміст:
Існує багато випадків, коли мережі взломані, незаконно доступні або ефективно відключені. Нині сумнозвісний злом мережі TJ Maxx в 2006 році був добре задокументований - як з точки зору відсутності належної ретельності з боку TJ Maxx, так і з боку юридичних наслідків, які зазнала компанія в результаті. Додайте до цього рівень шкоди, заподіяної тисячам клієнтів TJ Maxx, і важливість розподілу ресурсів для безпеки мережі швидко стає очевидною.
При подальшому аналізі злому TJ Maxx можна вказати на відчутний момент часу, коли інцидент був нарешті помічений і пом'якшений. Але як щодо випадків безпеки, які проходять непомітно? Що робити, якщо заповзятливий молодий хакер досить дискретний, щоб відсипати в мережу крихітні фрагменти життєво важливої інформації таким чином, щоб системних адміністраторів не було розумніше? Щоб краще боротися з таким типом сценаріїв, адміністратори системи безпеки / системи можуть розглянути систему виявлення вторгнень Snort (IDS).
Початки Снорта
У 1998 році Snort був звільнений засновником Sourcefire Мартіном Рошем. У той час він рахувався як легка система виявлення вторгнень, яка функціонувала в першу чергу на Unix та Unix-подібних операційних системах. У той час розгортання Snort вважалося найсучаснішим, оскільки воно швидко стало фактичним стандартом у мережевих системах виявлення вторгнень. Написаний мовою програмування на C, Snort швидко набув популярності, оскільки аналітики безпеки тяжіли до деталізації, з якою вона могла бути налаштована. Snort також є повністю відкритим кодом, і в результаті вийшов дуже надійний, широко популярний фрагмент програмного забезпечення, який витримав достатню кількість уваги у спільноті з відкритим кодом.Пориви основи
На момент написання цього тексту поточна виробнича версія Snort становить 2.9.2. Він підтримує три режими роботи: режим Sniffer, режим реєстрації пакетів та режим виявлення та запобігання вторгнень в мережу (IDS / IPS).
Режим Sniffer передбачає трохи більше, ніж захоплення пакетів, коли вони перетинають шляхи, залежно від того, на якій мережі встановлений мережевий інтерфейс (NIC) Snort. Адміністратори безпеки можуть використовувати цей режим для розшифровки того, який тип трафіку виявляється в NIC, а потім можуть відповідно налаштувати їх конфігурацію Snort. Слід зазначити, що в цьому режимі немає реєстрації, тому всі пакети, які входять у мережу, просто відображаються в одному безперервному потоці на консолі. Окрім усунення несправностей та початкової установки, цей конкретний режим має мало значення сам по собі, оскільки більшість системних адміністраторів краще обслуговувати, використовуючи щось на зразок утиліти tcpdump або Wireshark.
Режим реєстратора пакетів дуже схожий на режим нюхування, але одна ключова різниця має бути очевидною в назві саме цього режиму. Режим реєстратора пакетів дозволяє системним адміністраторам реєструвати будь-які пакети, що надходять у бажані місця та формати. Наприклад, якщо системний адміністратор хоче ввести пакети в каталог з ім’ям / log на певному вузлі в мережі, він спершу створить каталог на цьому конкретному вузлі. У командному рядку він доручить Snort відповідно записувати пакети. Значення в режимі реєстрації пакетів полягає в аспекті зберігання даних, притаманному його імені, оскільки він дозволяє аналітикам безпеки вивчати історію даної мережі.
ДОБРЕ. Всю цю інформацію приємно знати, але де додана вартість? Чому системний адміністратор повинен витрачати час і зусилля, встановлюючи та налаштовуючи Snort, коли Wireshark і Syslog можуть виконувати практично ті ж сервіси зі значно кращим інтерфейсом? Відповідь на ці дуже актуальні запитання - мережевий режим виявлення вторгнень (NIDS).
Режим Sniffer і режим реєстрації пакетів - це кроки на шляху до того, до чого насправді йде Snort - режиму NIDS. Режим NIDS в основному покладається на файл конфігурації snort (зазвичай його називають snort.conf), який містить усі набори правил, про які типова розгортання Snort звертається до відправлення сповіщень системним адміністраторам. Наприклад, якщо адміністратор хотів би викликати сповіщення кожного разу, коли трафік FTP входить і / або залишає мережу, вона просто посилається на відповідний файл правил у snort.conf та voila! Відповідно спрацює попередження. Як можна уявити, конфігурація snort.conf може отримати надзвичайно детальну інформацію щодо сповіщень, протоколів, певних номерів портів та будь-якого іншого евристичного характеру, який, напевно, може вважати системний адміністратор, стосується конкретної її мережі.
Де снорт короткий
Незабаром після того, як Snort почав набирати популярність, єдиним його недоліком був рівень талантів людини, яка його налаштовувала. З часом, однак, основні комп'ютери почали підтримувати декілька процесорів, і багато локальних мереж почали наближатися до швидкості 10 Гбіт / с. Снорт протягом усієї своєї історії постійно називали "легким", і цей монітор актуальний і донині. Під час запуску в командному рядку затримка пакетів ніколи не була значною перешкодою, але в останні роки концепція, відома як багатопотокове читання, насправді почала брати участь у тому, що багато програм намагаються скористатися вищезгаданими декількома процесорами. Незважаючи на кілька спроб подолати багатопоточність, Рош та решта команди Snort не змогли дати відчутних результатів. Snort 3.0 повинен був вийти у 2009 році, але він ще не був доступний до моменту написання. Крім того, Еллен Мессмер з Network World припускає, що Snort швидко опинився в суперництві з Департаментом внутрішньої безпеки IDS, відомим як Suricata 1.0, прихильники якого припускають, що він підтримує багатопотоковість. Однак слід зазначити, що засновник Snort ці претензії жорстоко оспорював.Майбутнє Снорта
Чи все-таки корисний Snort? Це залежить від сценарію. Хакери, які знають, як скористатись багатосторонніми недоліками Snort, із задоволенням дізнаються, що єдиним засобом виявлення вторгнень даної мережі є Snort 2.x. Однак Snort ніколи не мав бути рішенням безпеки для будь-якої мережі. Snort завжди вважався пасивним інструментом, який служить певній меті з точки зору аналізу мережевих пакетів та мережевої криміналістики. Якщо ресурси обмежені, мудрий системний адміністратор з великими знаннями в Linux може розглянути можливість розгортання Snort у відповідності з рештою його мережі. Хоча це може мати свої недоліки, Snort все ще забезпечує найбільшу цінність при найменших витратах. (про дистрибутиви Linux у Linux: Bastion of Freedom.)