Оглавление:
Есть много случаев, когда сети взламывают, незаконно получают доступ или эффективно отключают. Известный в 2006 году взлом сети TJ Maxx был хорошо задокументирован - как с точки зрения отсутствия должной осмотрительности со стороны TJ Maxx, так и с точки зрения юридических последствий, понесенных компанией в результате. Добавьте к этому уровень вреда, причиненный тысячам клиентов TJ Maxx, и важность распределения ресурсов для обеспечения безопасности сети быстро становится очевидной.
При дальнейшем анализе взлома TJ Maxx можно указать на ощутимый момент времени, когда инцидент был наконец замечен и смягчен. Но как насчет инцидентов безопасности, которые остаются незамеченными? Что если предприимчивый молодой хакер достаточно осторожен, чтобы откачивать крошечные кусочки жизненно важной информации из сети таким образом, чтобы системные администраторы не стали мудрее? Чтобы лучше бороться с этим типом сценария, администраторы системы безопасности могут рассмотреть систему обнаружения вторжений Snort (IDS).
Начало Snort
В 1998 году Snort был выпущен основателем Sourcefire Мартином Рошем. В то время это было объявлено как легкая система обнаружения вторжений, которая функционировала главным образом в Unix и Unix-подобных операционных системах. В то время развертывание Snort считалось передовым, поскольку оно быстро стало стандартом де-факто в системах обнаружения сетевых вторжений. Написанный на языке программирования C, Snort быстро завоевал популярность, так как аналитики безопасности стали стремиться к степени детализации, с которой его можно было настраивать. Snort также является полностью открытым исходным кодом, и в результате получилось очень надежное, широко популярное программное обеспечение, которое выдержало достаточное количество проверок в сообществе открытого кода.Основы фырканья
На момент написания этой статьи текущей производственной версией Snort является 2.9.2. Он поддерживает три режима работы: режим сниффера, режим регистрации пакетов и режим системы обнаружения и предотвращения вторжений в сеть (IDS / IPS).
Режим Sniffer включает в себя чуть больше, чем захват пакетов, поскольку они пересекаются с любой сетевой картой (NIC), на которой установлен Snort. Администраторы безопасности могут использовать этот режим для расшифровки того, какой тип трафика обнаруживается на сетевой карте, и затем могут соответствующим образом настроить свою конфигурацию Snort. Следует отметить, что в этом режиме нет регистрации, поэтому все пакеты, которые входят в сеть, просто отображаются в консоли в одном непрерывном потоке. Помимо устранения неполадок и начальной установки, этот конкретный режим сам по себе не имеет большого значения, поскольку большинство системных администраторов лучше обслуживаются с помощью чего-то вроде утилиты tcpdump или Wireshark.
Режим регистрации пакетов очень похож на режим сниффера, но в названии этого конкретного режима должно быть очевидно одно ключевое отличие. Режим регистрации пакетов позволяет системным администраторам регистрировать любые пакеты, поступающие в предпочтительные места и форматы. Например, если системный администратор хочет зарегистрировать пакеты в каталоге с именем / log на определенном узле в сети, он сначала должен создать каталог на этом конкретном узле. В командной строке он инструктирует Snort для регистрации пакетов соответствующим образом. Значение в режиме регистрации пакетов находится в аспекте ведения записей, присущем его имени, так как позволяет аналитикам безопасности изучать историю данной сети.
OK. Всю эту информацию приятно знать, но где добавленная стоимость? Зачем системному администратору тратить время и усилия на установку и настройку Snort, когда Wireshark и Syslog могут выполнять практически одинаковые сервисы с гораздо более симпатичным интерфейсом? Ответом на эти очень важные вопросы является режим системы обнаружения вторжений в сеть (NIDS).
Режим Sniffer и режим регистрации пакетов являются ступеньками на пути к тому, что в действительности представляет собой Snort - режим NIDS. Режим NIDS основывается главным образом на файле конфигурации snort (обычно называемом snort.conf), который содержит все наборы правил, с которыми типичное развертывание Snort обращается до отправки предупреждений системным администраторам. Например, если администратор хотел бы запускать предупреждение каждый раз, когда FTP-трафик входит и / или покидает сеть, он просто обращается к соответствующему файлу правил в snort.conf и вуаля! Предупреждение будет активировано соответственно. Как можно догадаться, конфигурация snort.conf может быть чрезвычайно детализированной с точки зрения предупреждений, протоколов, определенных номеров портов и любой другой эвристики, которая, по мнению системного администратора, может иметь отношение к ее конкретной сети.
Где фыркает коротко
Вскоре после того, как Snort начал набирать популярность, его единственным недостатком был уровень таланта человека, который его настраивал. Однако со временем самые простые компьютеры стали поддерживать несколько процессоров, и многие локальные сети стали приближаться к скорости 10 Гбит / с. На протяжении всей своей истории Snort постоянно назывался «легковесным», и это прозвище актуально и по сей день. При запуске в командной строке задержка пакетов никогда не была большим препятствием, но в последние годы концепция, известная как многопоточность, действительно начала распространяться, поскольку многие приложения пытаются использовать преимущества вышеупомянутых нескольких процессоров. Несмотря на несколько попыток преодолеть проблему многопоточности, Рош и остальная часть команды Snort не смогли добиться каких-либо ощутимых результатов. Snort 3.0 должен был быть выпущен в 2009 году, но еще не был доступен на момент написания. Кроме того, Эллен Мессмер из Network World предполагает, что Snort быстро оказался в конкурентной борьбе с IDS Министерства внутренней безопасности, известным как Suricata 1.0, сторонники которого предполагают, что он поддерживает многопоточность. Тем не менее, следует отметить, что эти претензии были сильно оспорены основателем Snort.Будущее фырканья
Snort все еще полезен? Это зависит от сценария. Хакеры, которые знают, как воспользоваться преимуществами многопоточности Snort, будут рады узнать, что в данной сети единственным средством обнаружения вторжений является Snort 2.x. Тем не менее, Snort никогда не предназначался для обеспечения безопасности в любой сети. Snort всегда считался пассивным инструментом, который служит определенной цели с точки зрения анализа сетевых пакетов и сетевой экспертизы. Если ресурсы ограничены, мудрый системный администратор, обладающий обширными знаниями в Linux, может рассмотреть вопрос о развертывании Snort в соответствии с остальной частью его или ее сети. Хотя у него могут быть свои недостатки, Snort по-прежнему обеспечивает наибольшую ценность при минимальных затратах. (о дистрибутивах Linux в Linux: Bastion of Freedom.)
