Turinys:
Yra daugybė atvejų, kai tinklai yra įsilaužę, neteisėtai prieinami arba veiksmingai išjungti. Dabar liūdnai pagarsėjęs „TJ Maxx“ tinklo įsilaužimas į 2006 m. Buvo gerai dokumentuotas - tiek dėl „TJ Maxx“ deramo kruopštumo, tiek dėl teisinių padarinių, kuriuos bendrovė patyrė. Prie to dar pridėta žala, padaryta tūkstančiams „TJ Maxx“ klientų, ir greitai išryškėja išteklių paskirstymo tinklo saugumui svarba.
Atlikus tolesnę „TJ Maxx“ įsilaužimo analizę, galima nurodyti apčiuopiamą momentą, kuriame įvykis galiausiai buvo pastebėtas ir sušvelnintas. O kaip dėl saugumo incidentų, kurie nepastebimi? Ką daryti, jei iniciatyvus jaunas įsilaužėlis yra pakankamai atidus, kad iš tinklo pasisavintų mažus gyvybiškai svarbios informacijos fragmentus taip, kad sistemos administratoriai nebūtų protingesni? Norėdami geriau kovoti su tokio tipo scenarijais, saugos / sistemos administratoriai gali apsvarstyti „Snort“ įsibrovimo aptikimo sistemą (IDS).
„Snort“ pradžia
1998 m. „Snort“ išleido „Sourcefire“ įkūrėjas Martinas Roeschas. Tuo metu tai buvo apmokestinama kaip lengva įsilaužimo aptikimo sistema, kuri pirmiausia veikė „Unix“ ir „Unix“ tipo operacinėse sistemose. Tuo metu „Snort“ diegimas buvo laikomas pažangiausiu, nes jis greitai tapo de facto standartu tinklo įsibrovimo aptikimo sistemose. Parašyta C programavimo kalba, „Snort“ greitai įgijo populiarumą, kai saugumo analitikai patraukė link detalumo, su kuriuo jį buvo galima sukonfigūruoti. „Snort“ taip pat yra visiškai atvirojo kodo programa, kurios rezultatas - labai tvirta, plačiai populiari programinė įranga, atlaikiusi daugybę patikrinimų atvirojo kodo bendruomenėje.Snorto pagrindai
Rašymo metu dabartinė „Snort“ gamybos versija yra 2.9.2. Jis palaiko tris veikimo režimus: „Sniffer“ režimą, paketinių duomenų kaupiklio režimą ir tinklo įsibrovimo aptikimo ir prevencijos sistemos (IDS / IPS) režimą.
„Sniffer“ režimas apima ne tik paketų fiksavimą, nes jie kerta kelius, atsižvelgiant į tai, kuri tinklo sąsajos kortelė (NIC) yra įdiegta. Apsaugos administratoriai gali naudoti šį režimą iššifruoti, kokio tipo srautas aptinkamas NIC, ir tada atitinkamai suderinti savo „Snort“ konfigūraciją. Reikėtų pažymėti, kad šiame režime nėra registravimo, todėl visi paketai, kurie patenka į tinklą, tiesiog rodomi viename nenutrūkstamame sraute konsolėje. Šis triktis, be trikčių šalinimo ir pradinio diegimo, neturi jokios naudos, nes dauguma sistemos administratorių yra geriau aptarnaujami kaip „tcpdump“ programa arba „Wireshark“.
Paketų registravimo režimas yra labai panašus į šnipinėjimo režimą, tačiau vienas pagrindinių skirtumų turėtų būti akivaizdus šio konkretaus režimo pavadinime. Paketų registravimo režimas leidžia sistemos administratoriams registruoti bet kokius paketus, kurie patenka į pageidaujamas vietas ir formatus. Pvz., Jei sistemos administratorius nori registruoti paketus į katalogą pavadinimu / prisijungti prie konkretaus tinklo mazgo, jis pirmiausia sukurs katalogą tame mazge. Komandinėje eilutėje jis nurodys „Snort“ atitinkamai registruoti paketus. Vertė paketinio duomenų kaupiklio režime yra jo vardui būdingas įrašymo aspektas, nes tai leidžia saugumo analitikams ištirti tam tikro tinklo istoriją.
GERAI. Visą šią informaciją malonu žinoti, tačiau kur yra pridėtinė vertė? Kodėl sistemos administratorius turėtų skirti laiko ir pastangų diegdamas ir konfigūruodamas „Snort“, kai „Wireshark“ ir „Syslog“ gali atlikti praktiškai tas pačias paslaugas su daug gražesne sąsaja? Atsakymas į šiuos labai svarbius klausimus yra tinklo įsibrovimo aptikimo sistemos (NIDS) režimas.
„Sniffer“ ir paketinių duomenų kaupimo režimas yra žingsnis į kelią, kuris iš tikrųjų yra „Snort“ - NIDS režimas. NIDS režimas visų pirma priklauso nuo snorto konfigūracijos failo (paprastai vadinamo snort.conf), kuriame yra visi taisyklių rinkiniai, su kuriais, prieš siunčiant įspėjimus sistemos administratoriams, konsultuojasi tipiškas „Snort“ diegimas. Pvz., Jei administratorė norėtų suaktyvinti perspėjimą kiekvieną kartą, kai FTP srautas patenka į tinklą ir (arba) išeina iš jo, ji tiesiog remiasi atitinkamu taisyklių failu, esančiu snort.conf, ir voila! Įspėjimas bus atitinkamai suaktyvintas. Kaip galima įsivaizduoti, „snort.conf“ konfigūracija gali būti labai detali, atsižvelgiant į perspėjimus, protokolus, tam tikrus prievadų numerius ir bet kokią kitą euristinę situaciją, kuri, sistemos administratoriaus manymu, yra aktuali jos konkrečiam tinklui.
Kur netrūksta Snorto
Netrukus po to, kai „Snort“ pradėjo populiarėti, vienintelis jo trūkumas buvo jį konfigūravusio žmogaus talentas. Laikui bėgant, patys paprasčiausi kompiuteriai pradėjo palaikyti kelis procesorius ir daugelis vietinių tinklų pradėjo artėti prie 10 Gbps spartos. „Snort“ per visą savo istoriją buvo nuolat apskaitomas kaip „lengvasis“, ir šis monkeris yra aktualus šiai dienai. Vykdydamas komandinę eilutę, paketų delsimas niekada nebuvo daug kliūčių, tačiau pastaraisiais metais daugialypiu pavadinimu vadinama koncepcija iš tikrųjų pradėjo domėtis, nes daugelis programų bando pasinaudoti aukščiau paminėtais keliais procesoriais. Nepaisant kelių bandymų įveikti daugialypį klausimą, „Roesch“ ir likusi „Snort“ komanda nesugebėjo duoti jokių apčiuopiamų rezultatų. „Snort 3.0“ turėjo būti išleistas 2009 m., Tačiau dar nebuvo pateiktas jo rengimo metu. Be to, Ellen Messmer iš „Network World“ teigia, kad „Snort“ greitai susidūrė su vidaus saugumo departamento IDS departamentu, žinomu kaip „Suricata 1.0“, kurio šalininkai teigia, kad jis palaiko daugybę siužetų. Tačiau reikia pažymėti, kad šiuos teiginius karštai ginčijo „Snort“ įkūrėjas.Snorto ateitis
Ar „Snort“ vis dar naudingas? Tai priklauso nuo scenarijaus. Piratai, kurie žino, kaip išnaudoti daugybę „Snort“ trūkumų, būtų malonu žinoti, kad vienintelis nurodyto tinklo būdas aptikti įsibrovimus yra „Snort 2.x“. Tačiau „Snort“ niekada nebuvo siekiama būti saugumo sprendimas jokiame tinkle. „Snort“ visada buvo laikomas pasyviu įrankiu, kuris tarnauja tam tikram tikslui tinklo paketų analizės ir tinklo kriminalistikos srityse. Jei ištekliai yra riboti, protingas sistemos administratorius, turintis daug žinių apie „Linux“, gali apsvarstyti galimybę įdiegti „Snort“ kartu su likusiu savo tinklo puslapiu. Nors „Snort“ gali turėti trūkumų, ji vis dar teikia didžiausią vertę mažiausiomis sąnaudomis. (apie „Linux“ diskusijas „Linux“: Laisvės bastionas.)
