Satura rādītājs:
Ir daudz gadījumu, kad tīkli tiek uzlauzti, nelikumīgi izmantoti vai faktiski atspējoti. TJ Maxx tīkla tagad draņķīgā 2006. gada uzlaušana ir labi dokumentēta - gan attiecībā uz TJ Maxx pienācīgas rūpības trūkumu, gan arī juridiskajām sekām, kuras rezultātā cieta uzņēmums. Pievienojiet tam kaitējuma līmeni, kas nodarīts tūkstošiem TJ Maxx klientu, un ātri kļūst redzams, cik svarīgi ir resursu piešķiršanu tīkla drošībai.
Turpinot TJ Maxx hakeru analīzi, ir iespējams norādīt uz reālu laiku, kurā incidents beidzot tika pamanīts un mazināts. Bet kā ir ar drošības incidentiem, kas paliek nepamanīti? Ko darīt, ja uzņēmīgs jauns hakeris ir pietiekami diskrēts, lai no tīkla paņemtu sīkus svarīgas informācijas fragmentus tā, lai sistēmu administratori nepaliktu prātīgāki? Lai labāk apkarotu šāda veida scenārijus, drošības / sistēmu administratori var apsvērt Snort ielaušanās atklāšanas sistēmu (IDS).
Snort pirmsākumi
1998. gadā Snort izlaida Sourcefire dibinātājs Martins Roesch. Tajā laikā par to tika iekasēta maksa par vieglu ielaušanās atklāšanas sistēmu, kas galvenokārt darbojās Unix un Unix līdzīgās operētājsistēmās. Tajā laikā Snort izvietošana tika uzskatīta par visprogresīvāko, jo tā ātri kļuva par faktisko standartu tīkla ielaušanās atklāšanas sistēmās. Rakstīts C programmēšanas valodā, Snort ātri ieguva popularitāti, jo drošības analītiķi devās uz detalizāciju, ar kādu to varēja konfigurēt. Snort ir arī pilnīgi atvērts avots, un rezultāts ir bijis ļoti spēcīgs, plaši populārs programmatūras gabals, kas ir izturējis plašas pārbaudes atvērtā pirmkoda kopienā.Snort pamati
Rakstīšanas laikā pašreizējā Snort produkcijas versija ir 2.9.2. Tas uztur trīs darbības režīmus: sniffer režīms, pakešu reģistrētāja režīms un tīkla ielaušanās atklāšanas un novēršanas sistēmas (IDS / IPS) režīms.
Sniffer režīms nozīmē tikai pakešu uztveršanu, jo tās šķērso ceļus ar to, kura tīkla interfeisa karte (NIC) Snort ir instalēta. Drošības administratori var izmantot šo režīmu, lai atšifrētu, kāda veida trafiks tiek atklāts NIC, un pēc tam var attiecīgi noregulēt Snort konfigurāciju. Jāatzīmē, ka šajā režīmā netiek reģistrēta, tāpēc visas paketes, kas nonāk tīklā, tiek vienkārši parādītas vienā nepārtrauktā plūsmā konsolē. Ārpus traucējummeklēšanas un sākotnējās instalēšanas šim konkrētajam režīmam pats par sevi ir maza vērtība, jo lielākajai daļai sistēmas administratoru labāk ir izmantot kaut ko līdzīgu tcpdump utilītai vai Wireshark.
Pakešu reģistrētāja režīms ir ļoti līdzīgs sniffer režīmam, taču šī taustiņa nosaukumam vajadzētu būt redzamai. Pakešu reģistrētāja režīms ļauj sistēmas administratoriem reģistrēt jebkādas paketes, kas nonāk vēlamajās vietās un formātos. Piemēram, ja sistēmas administrators vēlas reģistrēt paketes direktorijā ar nosaukumu / pieteikties noteiktā tīkla mezglā, viņš vispirms izveido direktoriju šajā konkrētajā mezglā. Komandrindā viņš uzdod Snort attiecīgi reģistrēt paketes. Vērtība pakešu reģistrētāja režīmā ir ierakstu saglabāšanas aspekts, kas raksturīgs tā nosaukumam, jo tas ļauj drošības analītiķiem pārbaudīt konkrētā tīkla vēsturi.
LABI. Visu šo informāciju ir patīkami uzzināt, bet kur ir pievienotā vērtība? Kāpēc sistēmas administratoram vajadzētu tērēt laiku un pūles, lai instalētu un konfigurētu Snort, kad Wireshark un Syslog var veikt praktiski tos pašus pakalpojumus ar daudz jaukāku interfeisu? Atbilde uz šiem ļoti būtiskajiem jautājumiem ir tīkla ielaušanās atklāšanas sistēmas (NIDS) režīms.
Sniffer režīms un pakešu reģistrētāja režīms ir atspēriena punkts ceļā uz Snort īsto būtību - NIDS režīmu. NIDS režīms galvenokārt balstās uz snort konfigurācijas failu (parasti sauktu par snort.conf), kurā ir ietvertas visas kārtulu kopas, ar kurām tipisks Snort izvietojums konsultējas pirms brīdinājumu nosūtīšanas sistēmas administratoriem. Piemēram, ja administrators vēlas izsaukt trauksmi katru reizi, kad FTP trafiks ienāk un / vai iziet no tīkla, viņa vienkārši atsaucas uz atbilstošo noteikumu failu vietnē snort.conf un voila! Attiecīgi tiks izsaukts brīdinājums. Kā var iedomāties, snort.conf konfigurācija var iegūt ārkārtīgi detalizētu informāciju par brīdinājumiem, protokoliem, noteiktiem portu numuriem un jebkuru citu heiristiku, kas sistēmas administratoram varētu šķist būtiska viņas konkrētajā tīklā.
Kur īsi nāk Snorts
Neilgi pēc tam, kad Snort sāka iegūt popularitāti, tā vienīgais trūkums bija tās talanta līmenis, kas to konfigurēja. Laikam ejot, visvienkāršākie datori sāka atbalstīt vairākus procesorus, un daudzi lokālie tīkli sāka tuvināties ātrumam 10 Gbps. Snortam visā vēsturē ir konsekventi piestādīts rēķins kā "vieglam", un šis monikers ir būtisks šai dienai. Palaižot pa komandrindu, pakešu latentums nekad nav bijis liels šķērslis, taču pēdējos gados patiešām sākusi darboties koncepcija, kas pazīstama kā daudzpavedieni, jo daudzas lietojumprogrammas mēģina izmantot iepriekšminēto vairāku procesoru priekšrocības. Neskatoties uz vairākiem mēģinājumiem pārvarēt daudzkārtējo jautājumu, Roesch un pārējā Snort komanda nav spējuši dot taustāmus rezultātus. Snort 3.0 bija paredzēts izlaist 2009. gadā, bet tā rakstīšanas laikā tas vēl nebija pieejams. Turklāt Ellen Messmer no Network World norāda, ka Snort ir ātri nonācis sāncensībā ar Iekšzemes drošības IDS departamentu, kas pazīstams kā Suricata 1.0, kura proponenti norāda, ka tas atbalsta vairāku pavedienu izveidi. Tomēr jāatzīmē, ka šos apgalvojumus Snort dibinātājs ir strikti apstrīdējis.Snorta nākotne
Vai Snort joprojām ir noderīgs? Tas ir atkarīgs no scenārija. Hakeri, kuri zina, kā izmantot Snort daudzkārtējo trūkumu priekšrocības, būtu priecīgi uzzināt, ka attiecīgā tīkla vienīgais līdzeklis, lai atklātu ielaušanos, ir Snort 2.x. Tomēr Snort nekad nebija domāts kā drošības risinājums jebkuram tīklam. Snort vienmēr ir ticis uzskatīts par pasīvu rīku, kas kalpo noteiktam mērķim tīkla pakešu analīzes un tīkla kriminālistikas ziņā. Ja resursi ir ierobežoti, gudrs sistēmas administrators ar bagātīgām zināšanām operētājsistēmā Linux varētu apsvērt iespēju Snort izvietot atbilstoši pārējam viņa vai viņas tīklam. Lai arī tam var būt trūkumu, Snort tomēr nodrošina visaugstāko vērtību ar viszemākajām izmaksām. (par Linux distros Linux: Brīvības bastions.)
