Πίνακας περιεχομένων:
Υπάρχουν πολλές περιπτώσεις όπου τα δίκτυα έχουν καταστρατηγηθεί, έχουν προσπελάσει παράνομα ή έχουν πραγματικά απενεργοποιηθεί. Η πλέον κακόφημη πειρατεία του δικτύου TJ Maxx το 2006 ήταν καλά τεκμηριωμένη - τόσο από την άποψη της έλλειψης δέουσας επιμέλειας εκ μέρους της TJ Maxx όσο και από τις νομικές επιπτώσεις που υπέστη η εταιρεία ως αποτέλεσμα. Προσθέστε σε αυτό το επίπεδο βλάβης που έχει γίνει σε χιλιάδες πελάτες της TJ Maxx και η σημασία της κατανομής των πόρων για την ασφάλεια του δικτύου γίνεται γρήγορα εμφανής.
Σε περαιτέρω ανάλυση της πειρατείας TJ Maxx, είναι δυνατό να επισημανθεί ένα απτό σημείο στο χρόνο όπου το περιστατικό τελικά παρατηρήθηκε και μετριάστηκε. Αλλά τι γίνεται με τα περιστατικά ασφάλειας που περνούν απαρατήρητα; Τι θα συμβεί αν ένας επιχειρηματίας νέος χάκερ είναι αρκετά διακριτός ώστε να σιγοβράζει μικροσκοπικά κομμάτια ζωτικής σημασίας πληροφορίες από ένα δίκτυο με τρόπο που δεν αφήνει τους διαχειριστές συστημάτων κανέναν σοφότερο; Για την καλύτερη αντιμετώπιση αυτού του τύπου σεναρίου, οι διαχειριστές συστημάτων / συστημάτων ενδέχεται να εξετάσουν το Σύστημα ανίχνευσης εισβολής Snort (IDS).
Αρχές του Snort
Το 1998, το Snort κυκλοφόρησε από τον ιδρυτή της Sourcefire, Martin Roesch. Την εποχή εκείνη, τιμολογήθηκε ως ένα ελαφρύ σύστημα ανίχνευσης εισβολών που λειτουργούσε κυρίως σε λειτουργικά συστήματα που μοιάζουν με Unix και Unix. Εκείνη την εποχή, η ανάπτυξη του Snort θεωρήθηκε αιχμή, καθώς γρήγορα έγινε το de facto πρότυπο στα συστήματα ανίχνευσης εισβολής στο δίκτυο. Γράφτηκε στη γλώσσα προγραμματισμού C, ο Snort κέρδισε γρήγορα τη δημοτικότητα, καθώς οι αναλυτές ασφαλείας στρέφονται προς την καμπύλη με την οποία θα μπορούσε να ρυθμιστεί. Το Snort είναι επίσης εντελώς ανοιχτό και το αποτέλεσμα είναι ένα πολύ ισχυρό, ευρέως δημοφιλές κομμάτι του λογισμικού που έχει αντέξει άφθονο έλεγχο στην κοινότητα ανοιχτού κώδικα.Snort Fundamentals
Τη στιγμή της γραφής, η τρέχουσα έκδοση της Snort είναι 2.9.2. Διατηρεί τρεις τρόπους λειτουργίας: λειτουργία Sniffer, λειτουργία καταγραφής πακέτων και λειτουργία εντοπισμού και πρόληψης εισβολής δικτύου (IDS / IPS).
Η λειτουργία Sniffer περιλαμβάνει ελάχιστη δέσμευση των πακέτων καθώς διασχίζουν μονοπάτια με οποιαδήποτε κάρτα δικτύου (NIC) Snort είναι εγκατεστημένη. Οι διαχειριστές ασφαλείας μπορούν να χρησιμοποιήσουν αυτήν τη λειτουργία για να αποκρυπτογραφήσουν τον τύπο κίνησης που εντοπίζεται στη NIC και, στη συνέχεια, να συντονίσουν τη διαμόρφωσή τους ανάλογα με το Snort. Θα πρέπει να σημειωθεί ότι δεν υπάρχει καταγραφή σε αυτή τη λειτουργία, έτσι ώστε όλα τα πακέτα που εισέρχονται στο δίκτυο να εμφανίζονται απλά σε μια συνεχή ροή στην κονσόλα. Εκτός από την αντιμετώπιση προβλημάτων και την αρχική εγκατάσταση, αυτή η συγκεκριμένη λειτουργία έχει μικρή αξία και από μόνη της, καθώς οι περισσότεροι διαχειριστές του συστήματος εξυπηρετούνται καλύτερα χρησιμοποιώντας κάτι παρόμοιο με το βοηθητικό πρόγραμμα tcpdump ή το Wireshark.
Η λειτουργία καταγραφής πακέτων είναι πολύ παρόμοια με τη λειτουργία sniffer, αλλά μία διαφορά κλειδιού πρέπει να είναι εμφανής στο όνομα αυτής της συγκεκριμένης λειτουργίας. Η λειτουργία καταγραφής πακέτων επιτρέπει στους διαχειριστές συστημάτων να καταγράφουν τα πακέτα που καταλήγουν σε προτιμώμενα μέρη και μορφές. Για παράδειγμα, αν ένας διαχειριστής συστήματος θέλει να καταγράψει τα πακέτα σε έναν κατάλογο που ονομάζεται / καταγραφή σε έναν συγκεκριμένο κόμβο μέσα στο δίκτυο, θα δημιουργήσει πρώτα τον κατάλογο στον συγκεκριμένο κόμβο. Στη γραμμή εντολών, θα έδινε οδηγίες στο Snort να καταγράψει τα πακέτα ανάλογα. Η τιμή στη λειτουργία καταγραφής πακέτων βρίσκεται στην πτυχή της τήρησης αρχείων που είναι εγγενής στο όνομά της, καθώς επιτρέπει στους αναλυτές ασφαλείας να εξετάσουν το ιστορικό ενός συγκεκριμένου δικτύου.
ΕΝΤΑΞΕΙ. Όλες αυτές οι πληροφορίες είναι ωραίο να γνωρίζουμε, αλλά πού είναι η προστιθέμενη αξία; Γιατί πρέπει ένας διαχειριστής συστήματος να ξοδεύει χρόνο και προσπάθεια να εγκαταστήσει και να ρυθμίσει το Snort όταν τα Wireshark και Syslog μπορούν να εκτελέσουν πρακτικά τις ίδιες υπηρεσίες με μια πολύ πιο όμορφη διεπαφή; Η απάντηση σε αυτές τις πολύ σημαντικές ερωτήσεις είναι η λειτουργία του συστήματος ανίχνευσης εισβολής στο δίκτυο (NIDS).
Η λειτουργία Sniffer και η λειτουργία καταγραφής πακέτων είναι οι βήματα προς την κατεύθυνση σε ό, τι αφορά το Snort - λειτουργία NIDS. Η λειτουργία NIDS εξαρτάται κυρίως από το αρχείο ρυθμίσεων snort (συνήθως αναφέρεται ως snort.conf), το οποίο περιέχει όλα τα σύνολα κανόνων που συμβουλεύει μια τυπική ανάπτυξη Snort πριν από την αποστολή ειδοποιήσεων σε διαχειριστές συστήματος. Για παράδειγμα, αν ένας διαχειριστής επιθυμεί να ενεργοποιήσει μια ειδοποίηση κάθε φορά που εισέρχεται ή / και φεύγει από το δίκτυο FTP, θα παραπέμπει απλώς στο κατάλληλο αρχείο κανόνων στο snort.conf και στο voila! Μια ειδοποίηση θα ενεργοποιηθεί αναλόγως. Όπως μπορεί κανείς να φανταστεί, η διαμόρφωση του snort.conf μπορεί να πάρει εξαιρετικά κοκκώδη όσον αφορά τις ειδοποιήσεις, τα πρωτόκολλα, ορισμένους αριθμούς θύρας και κάθε άλλο ευρετικό που μπορεί να αισθάνεται ένας διαχειριστής του συστήματος που σχετίζεται με το συγκεκριμένο δίκτυο.
Όπου το Snort έρχεται σύντομο
Λίγο μετά το Snort άρχισε να κερδίζει δημοτικότητα, το μοναδικό μειονέκτημα του ήταν το επίπεδο ταλέντου του ατόμου που το διαμόρφωσε. Με την πάροδο του χρόνου, οι πιο βασικοί υπολογιστές άρχισαν να υποστηρίζουν πολλούς επεξεργαστές και πολλά τοπικά δίκτυα άρχισαν να προσεγγίζουν ταχύτητες 10 Gbps. Το Snort τιμολογείται σταθερά ως "ελαφρύ" σε όλη του την ιστορία και αυτό το μνημείο είναι σχετικό μέχρι σήμερα. Όταν τρέχετε στη γραμμή εντολών, η καθυστέρηση του πακέτου δεν υπήρξε ποτέ ένα εμπόδιο, αλλά τα τελευταία χρόνια μια έννοια γνωστή ως multithreading έχει αρχίσει πραγματικά να κρατιέται, καθώς πολλές εφαρμογές προσπαθούν να επωφεληθούν από τους προαναφερθέντες πολλαπλούς επεξεργαστές. Παρά τις πολλές προσπάθειες να ξεπεραστεί το θέμα πολλαπλών θορύβων, ο Roesch και η υπόλοιπη ομάδα του Snort δεν μπόρεσαν να δώσουν απτά αποτελέσματα. Το Snort 3.0 επρόκειτο να κυκλοφορήσει το 2009, αλλά δεν είχε ακόμη διατεθεί κατά τη στιγμή της σύνταξης. Επιπλέον, η Ellen Messmer του Network World προτείνει ότι ο Snort βρέθηκε γρήγορα σε αντιπαλότητα με το IDS του Homeland Security IDS, γνωστό ως Suricata 1.0, του οποίου οι υποστηρικτές υποδεικνύουν ότι υποστηρίζει πολυθρυμματισμό. Ωστόσο, πρέπει να σημειωθεί ότι οι ισχυρισμοί αυτοί αμφισβητήθηκαν έντονα από τον ιδρυτή της Snort.Το Μέλλον του Snort
Είναι ακόμα χρήσιμο το Snort; Αυτό εξαρτάται από το σενάριο. Οι χάκερ που γνωρίζουν πώς να επωφεληθούν από τις αδυναμίες πολλαπλών θορύβων του Snort θα είναι ευτυχείς να γνωρίζουν ότι το μοναδικό μέσο ανίχνευσης εισβολών ενός συγκεκριμένου δικτύου είναι το Snort 2.x. Ωστόσο, το Snort δεν είχε ποτέ σκοπό να είναι η λύση ασφαλείας σε οποιοδήποτε δίκτυο. Το Snort θεωρήθηκε πάντοτε ως ένα παθητικό εργαλείο που εξυπηρετεί έναν συγκεκριμένο σκοπό όσον αφορά την ανάλυση πακέτων δικτύου και την εγκληματολογία δικτύων. Εάν οι πόροι είναι περιορισμένοι, ένας σοφός διαχειριστής συστήματος με άφθονη γνώση στο Linux μπορεί να εξετάσει το ενδεχόμενο να αναπτύξει το Snort σύμφωνα με το υπόλοιπο δίκτυο του. Ενώ μπορεί να έχει τα μειονεκτήματά της, το Snort εξακολουθεί να παρέχει τη μεγαλύτερη αξία με το χαμηλότερο κόστος. (σχετικά με το Linux distros στο Linux: Bastion of Freedom.)
