Indholdsfortegnelse:
Der er mange tilfælde, hvor netværk er hacket, ulovligt adgang eller effektivt deaktiveret. Den nu berygtede hacking af TJ Maxx-netværket i 2006 er blevet veldokumenteret - både med hensyn til manglende behørig omhu fra TJ Maxx side og de juridiske konsekvenser, som virksomheden har lidt. Dertil kommer niveauet for skade, der er gjort for tusinder af TJ Maxx-kunder, og vigtigheden af at allokere ressourcer til netværkssikkerhed bliver hurtigt synlig.
Ved yderligere analyse af TJ Maxx-hacking er det muligt at pege på et konkret tidspunkt, hvor hændelsen til sidst blev bemærket og afbød. Men hvad med sikkerhedshændelserne, der går upåaktet hen? Hvad nu hvis en initiativrig ung hacker er diskret nok til at sifonere små stykker vigtig information fra et netværk på en måde, der ikke forlader systemadministratorer nogen klogere? For bedre at bekæmpe denne type scenarie kan sikkerheds- / systemadministratorer overveje Snort Intrusion Detection System (IDS).
Begyndelsen af Snort
I 1998 blev Snort frigivet af Sourcefire-grundlægger Martin Roesch. På det tidspunkt blev det faktureret som et let intrusionsdetekteringssystem, der primært fungerede på Unix og Unix-lignende operativsystemer. På det tidspunkt blev installationen af Snort betragtet som banebrydende, da det hurtigt blev de facto-standarden i netværksindtrængningsdetektionssystemer. Skrevet på C-programmeringssprog vandt Snort hurtigt popularitet, da sikkerhedsanalytikere tvingede hen til den granularitet, som det kunne konfigureres med. Snort er også helt open source, og resultatet har været et meget robust, vidt populært stykke software, der har modstået rigelige mængder af kontrol i open source-samfundet.Snort Fundamentals
På dette tidspunkt er den aktuelle produktionsversion af Snort 2.9.2. Den opretholder tre driftsformer: Sniffertilstand, pakningslogertilstand og netværksindtrædelsesdetekterings- og forebyggelsessystem (IDS / IPS) tilstand.
Sniffertilstand involverer lidt mere end at indfange pakker, når de krydser stier, med hvilket hvilket som helst netværkskort (NIC) Snort er installeret på. Sikkerhedsadministratorer kan bruge denne tilstand til at dechiffrere, hvilken type trafik der registreres på NIC, og kan derefter indstille deres konfiguration af Snort i overensstemmelse hermed. Det skal bemærkes, at der ikke er nogen logging i denne tilstand, så alle pakker, der kommer ind i netværket, vises simpelthen i en kontinuerlig strøm på konsollen. Uden for fejlfinding og indledende installation har denne bestemte tilstand kun ringe værdi i sig selv, da de fleste systemadministratorer bedre betjenes ved at bruge noget som tcpdump-værktøjet eller Wireshark.
Packet logger-tilstand ligner meget sniffertilstand, men en nøgleforskel bør være tydelig i navnet på netop denne tilstand. Packet logger-tilstand giver systemadministratorer mulighed for at logge de pakker, der kommer ned på foretrukne steder og formater. Hvis en systemadministrator f.eks. Ønsker at logge pakker i et bibliotek med navn / logge på en bestemt knude i netværket, opretter han først kataloget på den pågældende knude. På kommandolinjen instruerede han Snort om at logge pakker i overensstemmelse hermed. Værdien i pakkeloggertilstand er i det registeropbevaringsaspekt, der ligger i dets navn, da det giver sikkerhedsanalytikere mulighed for at undersøge historien for et givet netværk.
OKAY. Alle disse oplysninger er dejlige at vide, men hvor tilføjes værdien? Hvorfor skal en systemadministrator bruge tid og kræfter på at installere og konfigurere Snort, når Wireshark og Syslog kan udføre praktisk talt de samme tjenester med en meget smukkere interface? Svaret på disse meget relevante spørgsmål er tilstanden netværksintrusionsdetektionssystem (NIDS).
Sniffertilstand og pakkeloggertilstand er springbræt på vej til det, Snort egentlig handler om - NIDS-tilstand. NIDS-tilstand er primært afhængig af snortkonfigurationsfilen (ofte benævnt snort.conf), som indeholder alle de regelsæt, som en typisk Snort-implementering konsulterer, før der sendes advarsler til systemadministratorer. Hvis en administrator f.eks. Gerne vil udløse en advarsel, hver gang FTP-trafik indtaster og / eller forlader netværket, henviser hun simpelthen til den relevante regelfil i snort.conf og voila! En alarm vil blive udløst i overensstemmelse hermed. Som man kan forestille sig, kan konfigurationen af snort.conf blive ekstremt granulær med hensyn til alarmer, protokoller, visse portnumre og enhver anden heuristik, som en systemadministrator kan føle, er relevant for hendes særlige netværk.
Hvor Snort kommer kort op
Kort efter, at Snort begyndte at vinde popularitet, var dens eneste mangel talentniveauet for den person, der konfigurerede det. Efterhånden som tiden gik, begyndte de mest basale computere at understøtte flere processorer, og mange netværk i lokalområdet begyndte at nærme sig hastigheder på 10 Gbps. Snort er konsekvent blevet faktureret som "letvægt" gennem sin historie, og denne moniker er relevant i dag. Når kørsel på kommandolinjen, har pakkens latens aldrig været meget af en hindring, men i de senere år er et begreb, der kaldes multithreading, virkelig begyndt at få fat, da mange applikationer forsøger at drage fordel af de ovennævnte flere processorer. På trods af adskillige forsøg på at overvinde multitrådespørgsmålet har Roesch og resten af Snort-teamet ikke været i stand til at producere konkrete resultater. Snort 3.0 skulle frigives i 2009, men var endnu ikke blevet tilgængelig på dette tidspunkt. Ellen antyder Ellen Messmer fra Network World, at Snort hurtigt har befundet sig i en rivalisering med Department of Homeland Security IDS, kendt som Suricata 1.0, hvis fortalere antyder, at det understøtter multithreading. Det skal dog bemærkes, at disse påstande er blevet bestridt af Snorts grundlægger.Snorts fremtid
Er Snort stadig nyttigt? Dette afhænger af scenariet. Hackere, der ved, hvordan de drager fordel af Snorts multithreading-mangler, ville glæde sig over at vide, at et givet netværks eneste middel til at registrere indtrængen er Snort 2.x. Snort var dog aldrig meningen at være sikkerhedsløsningen til noget netværk. Snort har altid været betragtet som et passivt værktøj, der tjener et bestemt formål med hensyn til netværkspakkeanalyse og netværksforensik. Hvis ressourcerne er begrænset, kan en klog systemadministrator med rigelig viden i Linux overveje at installere Snort på linje med resten af hans eller hendes netværk. Selvom det kan have sine mangler, giver Snort stadig den største værdi til de laveste omkostninger. (om Linux-distros i Linux: Bastion of Freedom.)
