Innehållsförteckning:
Det finns många fall där nätverk är hackade, olagligt åtkomliga eller effektivt inaktiverade. Den nu ökända 2006-hacking av TJ Maxx-nätverket har varit väl dokumenterad - både när det gäller brist på due diligence från TJ Maxx sida och de rättsliga följder som företaget lidit. Lägg till detta nivån på skador som har gjorts för tusentals TJ Maxx-kunder och vikten av att fördela resurser till nätverkssäkerhet blir snabbt uppenbar.
Vid ytterligare analys av TJ Maxx-hacking är det möjligt att peka på en konkret tidpunkt där händelsen äntligen märktes och mildras. Men hur är det med de säkerhetsincidenter som går obemärkt? Vad händer om en initiativrik ung hacker är tillräckligt diskret för att sippla små bitar med viktig information från ett nätverk på ett sätt som lämnar systemadministratörer ingen klokare? För att bättre bekämpa denna typ av scenarier kan säkerhets- / systemadministratörer överväga Snort Intrusion Detection System (IDS).
Början på Snort
1998 släpptes Snort av Sourcefire-grundaren Martin Roesch. Vid den tiden fakturerades det som ett system för lättdetektering av intrång som främst fungerade på Unix och Unix-liknande operativsystem. Vid den tiden ansågs utplaceringen av Snort som banbrytande, eftersom det snabbt blev de facto-standarden i nätverkets intrångsdetekteringssystem. Skrivet på C-programmeringsspråket fick Snort snabbt popularitet när säkerhetsanalytikerna tvingade sig till den granularitet som den kunde konfigureras med. Snort är också helt öppen källkod, och resultatet har varit en mycket robust, allmänt populär mjukvara som har motstått stora mängder granskning i öppen källkod.Snort Fundamentals
Vid detta skrivande är den nuvarande produktionsversionen av Snort 2.9.2. Den upprätthåller tre driftsätt: Sniffer-läge, paketloggarläge och nätverksintrångsdetekterings- och förebyggande system (IDS / IPS) -läge.
Snifferläge innebär lite mer än att fånga paket när de korsar banor med vilket nätverksgränssnittskort (NIC) som Snort är installerat på. Säkerhetsadministratörer kan använda detta läge för att dechiffrera vilken typ av trafik som upptäcks vid NIC, och kan sedan ställa in deras Snort-konfiguration i enlighet därmed. Det bör noteras att det inte finns någon loggning i det här läget, så alla paket som kommer in i nätverket visas helt enkelt i en kontinuerlig ström på konsolen. Utanför felsökning och initial installation har det här läget litet värde i sig självt, eftersom de flesta systemadministratörer bättre tjänar genom att använda något som tcpdump-verktyget eller Wireshark.
Paketloggarläge liknar snifferläge, men en nyckelskillnad borde vara tydlig i namnet på just detta läge. Med paketloggarläge kan systemadministratörer logga in alla paket som kommer ner på föredragna platser och format. Till exempel, om en systemadministratör vill logga paket i en katalog med namnet / logga in på en specifik nod i nätverket, skulle han först skapa katalogen på den specifika noden. På kommandoraden instruerade han Snort att logga paket i enlighet därmed. Värdet i paketloggerns läge ligger i inspelningsaspekten som ligger i dess namn, eftersom det gör det möjligt för säkerhetsanalytiker att undersöka historien för ett givet nätverk.
OK. All den här informationen är trevlig att veta, men var är värdet tillagd? Varför ska en systemadministratör spendera tid och ansträngning på att installera och konfigurera Snort när Wireshark och Syslog kan utföra praktiskt taget samma tjänster med ett mycket snyggare gränssnitt? Svaret på dessa mycket relevanta frågor är NIDS-läget.
Snifferläge och paketloggningsläge är steget på väg till det Snort egentligen handlar om - NIDS-läge. NIDS-läget bygger främst på snortkonfigurationsfilen (ofta kallad snort.conf), som innehåller alla regeluppsättningar som en typisk Snort-distribution konsulterar innan skickar varningar till systemadministratörer. Om en administratör exempelvis vill utlösa en varning varje gång FTP-trafik går in i och / eller lämnar nätverket, hänvisar hon helt enkelt till lämplig regelfil inom snort.conf och voila! En varning utlöses i enlighet därmed. Som man kan föreställa sig kan konfigurationen av snort.conf bli extremt granulär när det gäller varningar, protokoll, vissa portnummer och alla andra heuristiker som en systemadministratör kan känna är relevant för hennes specifika nätverk.
Där Snort kommer kort
Strax efter att Snort började vinna popularitet var dess enda brist talangnivån för den person som konfigurerade den. När tiden gick började dock de mest grundläggande datorerna stödja flera processorer, och många nätverk i det lokala området började närma sig hastigheter på 10 Gbps. Snort har konsekvent fakturerats som "lätt" under hela sin historia, och denna moniker är relevant för denna dag. När paketets latens körs på kommandoraden har aldrig varit mycket hinder, men under senare år har ett koncept som kallas multithreading verkligen börjat ta tag i eftersom många applikationer försöker dra fördel av de ovannämnda flera processorerna. Trots flera försök att övervinna frågan om flertrådning har Roesch och resten av Snort-teamet inte lyckats ge några konkreta resultat. Snort 3.0 skulle släppas 2009, men hade ännu inte gjorts tillgängligt i skrivande stund. Dessutom föreslår Ellen Messmer från Network World att Snort snabbt har befunnit sig i en rivalitet med Department of Homeland Security IDS känd som Suricata 1.0, vars förespråkare antyder att den stöder multithreading. Det bör emellertid noteras att dessa påståenden har tvistats hårt av Snorts grundare.Snorts framtid
Är Snort fortfarande användbart? Detta beror på scenariot. Hackare som vet hur de kan dra nytta av Snorts multithreading-brister skulle gärna veta att ett givet nätverk enda sätt att upptäcka intrång är Snort 2.x. Snort var dock aldrig tänkt att vara den säkerhetslösningen för något nätverk. Snort har alltid betraktats som ett passivt verktyg som tjänar ett särskilt syfte när det gäller nätverkspaketanalys och nätverksforensik. Om resurserna är begränsade kan en klok systemadministratör med riklig kunskap i Linux överväga att distribuera Snort i linje med resten av hans eller hennes nätverk. Även om det kan ha sina brister, ger Snort fortfarande det största värdet till lägsta kostnad. (om Linux-distros i Linux: Bastion of Freedom.)
