Innholdsfortegnelse:
Det er mange tilfeller der nettverk er hacket, ulovlig tilgang eller effektivt deaktivert. Den nå beryktede hacking av TJ Maxx-nettverket i 2006 har blitt godt dokumentert - både når det gjelder manglende due diligence fra TJ Maxx 'side og de juridiske konsekvensene selskapet har påført. Legg til dette nivået av skade som er gjort for tusenvis av TJ Maxx-kunder, og viktigheten av å fordele ressurser til nettverkssikkerhet blir raskt tydelig.
Ved ytterligere analyse av TJ Maxx-hacking er det mulig å peke på et konkret tidspunkt der hendelsen endelig ble lagt merke til og avbøt. Men hva med sikkerhetshendelsene som går upåaktet hen? Hva om en initiativrik ung hacker er diskret nok til å tippe små biter av viktig informasjon fra et nettverk på en måte som ikke lar systemadministratorer være klokere? For bedre å bekjempe denne typen scenarier, kan sikkerhets- / systemadministratorer vurdere Snort Intrusion Detection System (IDS).
Begynnelsen til Snort
I 1998 ble Snort løslatt av Sourcefire-grunnlegger Martin Roesch. På den tiden ble det fakturert som et lett inntrengingsdeteksjonssystem som hovedsakelig fungerte på Unix og Unix-lignende operativsystemer. På den tiden ble utplasseringen av Snort ansett som banebrytende, da det raskt ble de facto standard i nettverksinntrengingsdeteksjonssystemer. Skrevet på C-programmeringsspråket, fikk Snort raskt popularitet da sikkerhetsanalytikere dreide seg mot granulariteten som den kunne konfigureres med. Snort er også helt åpen kildekode, og resultatet har vært et veldig robust, allment populært programvare som har motstått store mengder granskning i open source-samfunnet.Snort Fundamentals
I skrivende stund er den nåværende produksjonsversjonen av Snort 2.9.2. Den opprettholder tre driftsformer: Sniffer-modus, pakkeloggermodus og IDS / IPS-modus (Network Intrusion Detection and Prevention System).
Sniffermodus innebærer lite mer enn å fange pakker når de krysser stier med hvilket nettverkskort (NIC) Snort som er installert på. Sikkerhetsadministratorer kan bruke denne modusen til å dechifisere hvilken type trafikk som blir oppdaget på NIC, og kan deretter stille inn konfigurasjonen av Snort deretter. Det skal bemerkes at det ikke er logging i denne modusen, så alle pakker som kommer inn i nettverket vises ganske enkelt i en kontinuerlig strøm på konsollen. Utenom feilsøking og første installasjon har denne spesielle modusen liten verdi i seg selv, ettersom de fleste systemadministratorer er bedre tjent med å bruke noe som tcpdump-verktøyet eller Wireshark.
Pakkeloggermodus ligner veldig på sniffermodus, men en nøkkelforskjell bør være tydelig i navnet til akkurat denne modusen. Pakkeloggermodus lar systemadministratorer logge hva pakker som kommer ned til foretrukne steder og formater. Hvis en systemadministrator for eksempel ønsker å logge pakker i en katalog som heter / logge på en bestemt nod i nettverket, oppretter han først katalogen på den aktuelle noden. På kommandolinjen instruerte han Snort om å logge pakker deretter. Verdien i pakkeloggermodus ligger i journalføringsaspektet som ligger i navnet, ettersom det lar sikkerhetsanalytikere undersøke historien til et gitt nettverk.
OK. All denne informasjonen er fin å vite, men hvor er verdien lagt til? Hvorfor skal en systemadministrator bruke tid og krefter på å installere og konfigurere Snort når Wireshark og Syslog kan utføre praktisk talt de samme tjenestene med et mye penere grensesnitt? Svaret på disse veldig relevante spørsmålene er modus for nettverksintrusjonsdeteksjonssystem (NIDS).
Sniffer-modus og pakkelogger-modus er springbrett på vei til det Snort egentlig handler om - NIDS-modus. NIDS-modus er først og fremst avhengig av snortkonfigurasjonsfilen (ofte referert til som snort.conf), som inneholder alle regelsettene som en typisk Snort-distribusjon konsulterer før du sender varsler til systemadministratorer. Hvis en administrator for eksempel ønsker å utløse et varsel hver gang FTP-trafikk går inn i og / eller forlater nettverket, vil hun ganske enkelt henvise til den aktuelle regelfilen i snort.conf og voila! Et varsel vil bli utløst tilsvarende. Som man kan forestille seg, kan konfigurasjonen av snort.conf bli ekstremt granulær når det gjelder varsler, protokoller, visse portnumre og alle andre heuristikker som en systemadministrator kan føle er relevant for det aktuelle nettverket hennes.
Hvor Snort kommer opp kort
Rett etter at Snort begynte å bli mer populært, var det eneste mangelen på talentnivået til personen som konfigurerte den. Etter hvert som tiden gikk begynte de mest basale datamaskinene å støtte flere prosessorer, og mange nettverk i nærområdet begynte å nærme seg hastigheter på 10 Gbps. Snort har blitt konsekvent fakturert som "lett" gjennom hele sin historie, og denne monikeren er relevant i dag. Når det kjøres på kommandolinjen, har pakkeforsinkelse aldri vært noe hinder, men i løpet av de siste årene har et konsept kjent som multithreading virkelig begynt å ta tak da mange applikasjoner prøver å dra nytte av de ovennevnte flere prosessorer. Til tross for flere forsøk på å overvinne problemene med flere tråder, har Roesch og resten av Snort-teamet ikke klart å gi noen konkrete resultater. Snort 3.0 skulle komme ut i 2009, men hadde ennå ikke blitt gjort tilgjengelig i skrivende stund. Videre antyder Ellen Messmer fra Network World at Snort raskt har funnet seg i en rivalisering med Department of Homeland Security IDS kjent som Suricata 1.0, hvis talsmenn antyder at den støtter multithreading. Det skal imidlertid bemerkes at disse påstandene har blitt strengt omtvistet av Snorts grunnlegger.Snorts fremtid
Er Snort fremdeles nyttig? Dette avhenger av scenariet. Hackere som vet hvordan de kan dra nytte av Snorts multitrådingsmangler, ville glede seg over å vite at et gitt nettverk eneste middel til å oppdage inntrengninger er Snort 2.x. Imidlertid var Snort aldri ment å være sikkerhetsløsningen for noe nettverk. Snort har alltid vært ansett som et passivt verktøy som tjener et spesielt formål når det gjelder nettverkspakkeanalyse og nettverksforensikk. Hvis ressursene er begrensede, kan en klok systemadministrator med rikelig kunnskap i Linux vurdere å distribuere Snort i tråd med resten av nettverket hans. Selv om det kan ha sine mangler, gir Snort fremdeles den største verdien til lavest mulig pris. (om Linux-distros i Linux: Bastion of Freedom.)
