Vsebina
Odvzem:
Snort je pasivno orodje za analizo omrežnih paketov in mrežno forenziko, vendar ni varnostna rešitev.
Obstaja veliko primerov, ko so omrežja vložena, nezakonito dostopna ali učinkovito onemogočena. Zdaj zloglasno hekanje T.J. Maxxova mreža je bila dobro dokumentirana - tako v smislu pomanjkljive skrbnosti T.J. Maxx in pravne posledice, ki jih je podjetje utrpelo zaradi tega. K temu dodajte raven škode, nanesene tisočim T.J. Stranke Maxxa in pomen razporejanja virov za varnost omrežja hitro postaneta očitna.Ob nadaljnji analizi T.J. Maxx hecking, možno je pokazati na otipljiv čas, ko je bil incident končno opažen in ublažen. Kaj pa varnostni incidenti ostanejo neopaženi? Kaj pa če je podjetni mlad heker dovolj diskreten, da iz omrežja pošilja drobne koščke vitalnih informacij na način, ki sistemskim skrbnikom ne pusti nič pametnejših? Za boljši boj proti tej vrsti scenarijev lahko skrbniki varnostnih sistemov razmislijo o sistemu za zaznavanje vdorov smrčka (IDS).
Začetki Snorta
Leta 1998 je Snort izdal ustanovitelj Sourcefire Martin Roesch. Takrat so ga obračunavali kot lahek sistem za zaznavanje vdorov, ki je deloval predvsem na Unixu in Unixu podobnih operacijskih sistemih. Takrat je uvedba Snorta veljala za vrhunsko, saj je hitro postala dejansko standard v omrežnih sistemih za zaznavanje vdorov. Snort, napisan v programskem jeziku C, je hitro pridobil na popularnosti, ko so varnostni analitiki gravitirali k natančnosti, s katero je bilo mogoče nastaviti. Snort je tudi popolnoma odprta koda, rezultat tega pa je bil zelo robusten, zelo priljubljen del programske opreme, ki je v odprtokodni skupnosti zdržal veliko količinskih pregledov.Snort Osnove
V času tega pisanja je trenutna produkcijska različica Snorta 2.9.2. Vzdržuje tri načine delovanja: način Sniffer, način zaklepanja paketov in sistem za zaznavanje in preprečevanje vdorov v omrežje (IDS / IPS).Sniffer način vključuje malo več kot zajem paketov, ko prečkajo poti s katero koli mrežno vmesniško kartico (NIC) Snort je nameščen. Skrbniški skrbniki lahko s tem načinom razširijo, kakšen tip prometa se zazna v NIC-u in nato ustrezno prilagodijo svojo konfiguracijo Snort. Upoštevati je treba, da v tem načinu ni beleženja, zato so vsi paketi, ki vstopajo v omrežje, preprosto prikazani v enem neprekinjenem toku na konzoli. Zunaj odpravljanja napak in začetne namestitve ima ta poseben način sam po sebi malo vrednosti, saj je večini sistemskih skrbnikov bolje služiti z uporabo nečesa, kot je pripomoček tcpdump ali Wireshark.
Način zapisovalnika paketov je zelo podoben načinu sniffer, vendar je treba v imenu tega načina opaziti eno ključno razliko. Način zapisovalnika paketov omogoča sistemskim administratorjem, da beležijo vse pakete, ki se spuščajo na želena mesta in formate. Na primer, če želi sistemski administrator zabeležiti pakete v imenik z imenom / dnevnik na določenem vozlišču v omrežju, bi najprej ustvaril imenik na tem določenem vozlišču. V ukazni vrstici bi Snortu naročil, naj ustrezno shrani pakete. Vrednost v načinu zapisovalnika paketov je v njegovem imenu zapisovalnega vidika, saj varnostnim analitikom omogoča pregled zgodovine določenega omrežja.
V REDU. Vse te podatke je lepo vedeti, toda kje je dodana vrednost? Zakaj bi sistemski administrator porabil čas in trud za namestitev in konfiguriranje Snorta, ko lahko Wireshark in Syslog izvajata praktično iste storitve s precej lepšim vmesnikom? Odgovor na ta zelo pomembna vprašanja je omrežni sistem za zaznavanje vdorov (NIDS).
Sniffer način in način zaklepanja paketov sta korak na poti do tega, kar v resnici počne Snort - NIDS način. Način NIDS se opira predvsem na konfiguracijsko datoteko smrčka (običajno imenovano snort.conf), ki vsebuje vse nabore pravil, ki jih tipična namestitev Snort posvetuje pred opozorilom sistemskim administratorjem. Če bi na primer skrbnik želel sprožiti opozorilo vsakič, ko FTP promet vstopi v omrežje in / ali zapusti njegovo omrežje, bi se preprosto skliceval na ustrezno datoteko s pravili znotraj snort.conf in voila! V skladu s tem se sproži opozorilo. Kot si lahko predstavljamo, lahko konfiguracija snort.conf postane zelo natančna glede na opozorila, protokole, določene številke vrat in kakršno koli drugo hevristiko, za katero sistemski skrbnik meni, da je pomembna za njeno določeno omrežje.