Sadržaj:
Postoje mnogi slučajevi gdje su mreže hakirane, nezakonito pristupane ili učinkovito onemogućene. Već zloglasno hakiranje mreže TJ Maxx iz 2006. godine dobro je dokumentirano - kako u pogledu nedostatka odgovarajuće revnosti TJ Maxxa, tako i pravnih posljedica koje je tvrtka pretrpjela. Ovome dodajte razinu štete koju nanosi tisućama TJ Maxx korisnika i važnost raspoređivanja resursa prema mrežnoj sigurnosti brzo postaje očita.
Daljnjom analizom hakiranja TJ Maxx-a moguće je ukazati na opipljivu točku u kojoj je incident konačno primijećen i ublažen. Ali što je sa sigurnosnim incidentima koji prolaze nezapaženo? Što ako je poduzetni mladi haker dovoljno diskretan da putem mreže sipa sitne komade vitalnih informacija na način koji administratore sustava ne ostavlja ništa mudrijim? Da bi se bolje suočili sa ovom vrstom scenarija, administratori sustava sigurnosti / sustava mogu razmotriti Snort System Detection System (IDS).
Počeci Snorta
1998. godine Snort je izdao osnivač Sourcefire Martin Roesch. U to se vrijeme naplaćivao kao lagani sustav otkrivanja provale koji je ponajprije djelovao na Unix i Unix operativne sustave. U to se vrijeme implementacija Snort-a smatrala vrhunskim, jer je brzo postala de facto standard u mrežnim sustavima za otkrivanje upada. Napisan programskim jezikom C, Snort je brzo stekao popularnost jer su sigurnosni analitičari gravitirali granalizmu s kojom je mogao biti konfiguriran. Snort je također potpuno otvoreni izvor, a rezultat je bio vrlo robustan, široko popularan dio softvera koji je podnio veliku količinu nadzora u zajednici otvorenih izvora.Snort osnove
U vrijeme pisanja ovog teksta trenutna proizvodna verzija Snorta iznosi 2.9.2. Održava tri načina rada: Sniffer način rada, režim zapisivanja paketa i način detekcije i sprečavanja upada u mrežu (IDS / IPS).
Sniffer način uključuje nešto više od hvatanja paketa dok prelaze staze ovisno o tome koja je mreža mrežnog sučelja (NIC) Snort instalirana. Sigurnosni administratori mogu upotrijebiti ovaj način za dešifriranje vrste prometa koja se otkriva u NIC-u i potom u skladu s tim prilagoditi svoju konfiguraciju Snort-a. Treba napomenuti da u ovom načinu nema zapisnika, pa se svi paketi koji uđu u mrežu jednostavno prikazuju u jednom neprekidnom toku na konzoli. Izvan rješavanja problema i početne instalacije, ovaj poseban način sam po sebi ima malu vrijednost, jer se većini administratora sustava bolje služi ako koriste nešto poput uslužnog programa tcpdump ili Wireshark.
Način zapisivanja paketa vrlo je sličan sniffer modu, ali jedna ključna razlika trebala bi biti vidljiva u nazivu ovog određenog načina. Način zapisivanja paketa omogućuje administratorima sustava da zabilježe sve pakete koji se spuštaju na željena mjesta i formate. Na primjer, ako administrator sustava želi pakete prijaviti u direktorij imenovan / log na određenom čvoru unutar mreže, prvo bi stvorio direktorij na tom određenom čvoru. U naredbenoj liniji uputio bi Snort-a da u skladu s tim evidentira pakete. Vrijednost u načinu zapisivanja paketa je u aspektu čuvanja podataka koji je svojstven njegovom nazivu jer omogućuje sigurnosnim analitičarima da pregledaju povijest određene mreže.
U REDU. Sve ove informacije je lijepo znati, ali gdje je dodana vrijednost? Zašto bi administrator sustava trebao trošiti vrijeme i trud na instalaciju i konfiguriranje Snort-a kad Wireshark i Syslog mogu obavljati praktički iste usluge s puno ljepšim sučeljem? Odgovor na ta vrlo važna pitanja je način rada mreže za otkrivanje upada u mrežu (NIDS).
Sniffer način rada i način zapisivanja paketa korak su od kamena na putu ka onome što Snort zapravo ima - NIDS modu. NIDS način rada prvenstveno se oslanja na konfiguracijsku datoteku snort (obično se naziva snort.conf), koja sadrži sve skupove pravila koja se tipično Snort razmještaju prije slanja upozorenja administratorima sustava. Na primjer, ako administrator želi pokrenuti upozorenje svaki put kada FTP promet ulazi i / ili napušta mrežu, ona bi se jednostavno uputila na odgovarajuću datoteku pravila unutar snort.conf i voila! Upozorenje će se aktivirati. Kao što neko može zamisliti, konfiguracija snort.conf može biti vrlo detaljna u smislu upozorenja, protokola, određenih brojeva priključaka i bilo koje druge heuristike za koju administrator sustava može smatrati da je relevantna za njenu određenu mrežu.
Tamo gdje smrad stiže kratko
Ubrzo nakon što je Snort počeo dobivati na popularnosti, njegov jedini nedostatak bio je nivo talenta osobe koja ga konfigurira. Kako je vrijeme prolazilo, najosnovnija računala počela su podržavati više procesora i mnoge su se lokalne mreže počele približavati brzini od 10 Gbps. Snort se tijekom svoje povijesti dosljedno nazivao "laganim", a ovaj je monat primjenjiv do današnjeg dana. Kad se izvodi na naredbenoj liniji, kašnjenje paketa nikad nije bila prepreka, ali posljednjih godina koncept poznat kao multithreading stvarno se počeo uzimati u koštac s tim što više aplikacija pokušava iskoristiti gore spomenute višestruke procesore. Unatoč nekoliko pokušaja prevladavanja višesmjerne teme, Roesch i ostatak tima Snort nisu uspjeli dati opipljive rezultate. Snort 3.0 trebao je izaći 2009. godine, ali još nije bio dostupan u trenutku pisanja. Nadalje, Ellen Messmer iz Network Worlda sugerira da se Snort brzo našao u suparništvu s Ministarstvom IDS-a za domovinsku sigurnost poznatim kao Suricata 1.0, čiji zagovornici sugeriraju da podržava multithreading. Međutim, valja napomenuti da je osnivač Snorta te tvrdnje žestoko osporio.Snortova budućnost
Je li Snort još uvijek koristan? To ovisi o scenariju. Hakeri koji znaju kako iskoristiti Snortove nedostatke višestrukog umetanja rado će znati da je jedini način otkrivanja upada određene mreže mreža Snort 2.x. Međutim, Snort nikada nije trebao biti sigurnosno rješenje za bilo koju mrežu. Snort se oduvijek smatrao pasivnim alatom koji služi određenoj svrsi u pogledu analize mrežnih paketa i mrežne forenzike. Ako su resursi ograničeni, mudri administrator sustava s obilnim znanjem u Linuxu mogao bi razmotriti raspoređivanje Snort-a u skladu s ostatkom njegove mreže. Iako može imati svojih nedostataka, Snort i dalje pruža najveću vrijednost uz najnižu cijenu. (o distribucijama Linuxa u Linuxu: Bastion of Freedom.)
