Dom Bezpieczeństwo Snort i wartość wykrycia niewykrywalnego

Snort i wartość wykrycia niewykrywalnego

Spisu treści:

Anonim

Istnieje wiele przypadków, w których sieci są zhakowane, bezprawnie udostępnione lub skutecznie wyłączone. Niesławne teraz hackowanie sieci TJ Maxx w 2006 r. Zostało dobrze udokumentowane - zarówno pod względem braku należytej staranności ze strony TJ Maxx, jak i wynikających z tego konsekwencji prawnych. Dodaj do tego poziom szkód wyrządzonych tysiącom klientów TJ Maxx, a znaczenie alokacji zasobów dla bezpieczeństwa sieci szybko stanie się oczywiste.


Po dalszej analizie włamań do TJ Maxx można wskazać namacalny punkt w czasie, w którym incydent został w końcu zauważony i złagodzony. Ale co z incydentami bezpieczeństwa, które pozostają niezauważone? Co zrobić, jeśli przedsiębiorczy młody haker jest wystarczająco dyskretny, aby wysysać z sieci drobne fragmenty ważnych informacji w sposób, który nie czyni administratorów systemu mądrzejszymi? Aby lepiej zwalczyć ten rodzaj scenariusza, administratorzy bezpieczeństwa / systemu mogą rozważyć system wykrywania włamań Snort (IDS).

Początki Snorta

W 1998 roku Snort został wydany przez założyciela Sourcefire, Martina Roescha. W tym czasie był on wystawiany na rynek jako lekki system wykrywania włamań, który działał przede wszystkim w systemach operacyjnych Unix i podobnych do Unixa. W tamtym czasie wdrożenie Snorta było uważane za najnowocześniejsze, ponieważ szybko stało się de facto standardem w systemach wykrywania włamań do sieci. Napisany w języku programowania C Snort szybko zyskał popularność, gdy analitycy bezpieczeństwa dążyli do szczegółowości, z jaką można go skonfigurować. Snort jest również całkowicie otwartym oprogramowaniem, czego rezultatem jest bardzo solidne, bardzo popularne oprogramowanie, które przetrwało wiele analiz w społeczności open source.

Snort Podstawy

W chwili pisania tego tekstu obecna produkcyjna wersja Snorta to 2.9.2. Utrzymuje trzy tryby działania: tryb Sniffer, tryb rejestratora pakietów oraz tryb wykrywania i zapobiegania włamaniom do sieci (IDS / IPS).


Tryb Sniffer obejmuje niewiele więcej niż przechwytywanie pakietów, gdy krzyżują się one z dowolną zainstalowaną kartą sieciową (NIC) Snort. Administratorzy bezpieczeństwa mogą użyć tego trybu do odszyfrowania, jaki rodzaj ruchu jest wykrywany na karcie sieciowej, a następnie mogą odpowiednio dostosować konfigurację Snorta. Należy zauważyć, że w tym trybie nie ma rejestrowania, więc wszystkie pakiety, które wchodzą do sieci, są po prostu wyświetlane w jednym ciągłym strumieniu na konsoli. Poza rozwiązywaniem problemów i wstępną instalacją, ten konkretny tryb sam w sobie ma niewielką wartość, ponieważ większość administratorów systemu jest lepiej obsługiwana za pomocą narzędzia tcpdump lub Wireshark.


Tryb rejestratora pakietów jest bardzo podobny do trybu sniffera, ale w nazwie tego konkretnego trybu powinna być widoczna jedna kluczowa różnica. Tryb rejestratora pakietów pozwala administratorom systemu rejestrować wszystkie przychodzące pakiety w preferowanych miejscach i formatach. Na przykład, jeśli administrator systemu chce zalogować pakiety do katalogu o nazwie / log na określonym węźle w sieci, najpierw utworzy katalog w tym węźle. W wierszu poleceń polecił Snortowi odpowiednie rejestrowanie pakietów. Wartość w trybie rejestratora pakietów jest zapisywana w jej nazwie, ponieważ pozwala analitykom bezpieczeństwa badać historię danej sieci.


DOBRZE. Wszystkie te informacje warto wiedzieć, ale gdzie jest wartość dodana? Dlaczego administrator systemu miałby poświęcać czas i wysiłek na instalowanie i konfigurowanie Snorta, skoro Wireshark i Syslog mogą wykonywać praktycznie te same usługi z dużo ładniejszym interfejsem? Odpowiedzią na te bardzo ważne pytania jest tryb systemu wykrywania włamań do sieci (NIDS).


Tryb Sniffer i tryb rejestrowania pakietów są krokami naprzód w drodze do tego, o co tak naprawdę chodzi w Snort - tryb NIDS. Tryb NIDS opiera się przede wszystkim na pliku konfiguracyjnym snort (zwykle nazywanym snort.conf), który zawiera wszystkie zestawy reguł, które typowe wdrożenie Snort sprawdza przed wysłaniem ostrzeżeń do administratorów systemu. Na przykład, jeśli administrator chciałby wywoływać alarm za każdym razem, gdy ruch FTP wchodzi i / lub wychodzi z sieci, po prostu odwołuje się do odpowiedniego pliku reguł w snort.conf i voila! Powiadomienie zostanie odpowiednio uruchomione. Jak można sobie wyobrazić, konfiguracja snort.conf może stać się bardzo szczegółowa pod względem alertów, protokołów, niektórych numerów portów i wszelkich innych heurystyk, które administrator systemu może uważać za istotne dla jej konkretnej sieci.

Gdzie Snort pojawia się krótko

Krótko po tym, jak Snort zaczął zdobywać popularność, jego jedyną wadą był poziom talentu konfigurującej go osoby. Z czasem jednak najbardziej podstawowe komputery zaczęły obsługiwać wiele procesorów, a wiele sieci lokalnych zaczęło zbliżać się do prędkości 10 Gb / s. Snort był konsekwentnie określany jako „lekki” w całej swojej historii, a ten pseudonim ma znaczenie do dziś. Podczas uruchamiania w wierszu poleceń opóźnienie pakietu nigdy nie było dużą przeszkodą, ale w ostatnich latach koncepcja znana jako wielowątkowość naprawdę zaczęła obowiązywać, gdy wiele aplikacji próbuje skorzystać z wyżej wymienionych wielu procesorów. Pomimo kilku prób przezwyciężenia problemu wielowątkowości, Roesch i reszta zespołu Snorta nie byli w stanie osiągnąć wymiernych rezultatów. Snort 3.0 miał zostać wydany w 2009 roku, ale nie został jeszcze udostępniony w momencie pisania. Ponadto Ellen Messmer z Network World sugeruje, że Snort szybko znalazł się w rywalizacji z Departamentem Bezpieczeństwa Wewnętrznego IDS znanym jako Suricata 1.0, którego zwolennicy sugerują, że obsługuje wielowątkowość. Należy jednak zauważyć, że te twierdzenia zostały gwałtownie zakwestionowane przez założyciela Snorta.

Snort's Future

Czy Snort jest nadal przydatny? To zależy od scenariusza. Hakerzy, którzy wiedzą, jak wykorzystać niedociągnięcia Snorta, byliby zachwyceni wiedząc, że jedyną metodą wykrywania włamań w danej sieci jest Snort 2.x. Jednak Snort nigdy nie miał być rozwiązaniem bezpieczeństwa w żadnej sieci. Snort zawsze był uważany za pasywne narzędzie, które służy konkretnemu celowi w zakresie analizy pakietów sieciowych i kryminalistyki sieciowej. Jeśli zasoby są ograniczone, mądry administrator systemu z dużą wiedzą na temat systemu Linux może rozważyć wdrożenie Snorta zgodnie z resztą jego sieci. Chociaż może mieć swoje wady, Snort nadal zapewnia największą wartość przy najniższym koszcie. (o dystrybucjach Linuksa w Linux: Bastion of Freedom.)

Snort i wartość wykrycia niewykrywalnego