Isi kandungan:
Terdapat banyak contoh di mana rangkaian digodam, diakses secara tidak sah atau dilumpuhkan secara berkesan. Penggeledahan 2006 yang terkenal di rangkaian TJ Maxx telah didokumenkan dengan baik - baik dari segi kekurangan ketekunan wajar di pihak TJ Maxx dan kesan undang-undang yang dialami oleh syarikat itu. Tambah ini tahap kemudaratan yang dilakukan kepada beribu-ribu pelanggan TJ Maxx dan kepentingan memperuntukkan sumber ke arah keselamatan rangkaian dengan cepat menjadi jelas.
Pada analisis selanjutnya mengenai penggodaman TJ Maxx, kemungkinan untuk menunjuk pada titik ketara dalam masa di mana insiden itu akhirnya dapat diperhatikan dan dikurangkan. Tetapi bagaimana dengan insiden keselamatan yang tidak disedari? Bagaimana jika seorang hacker muda yang berdaya usaha cukup bijak untuk menyedut kepingan kecil maklumat penting dari rangkaian dengan cara yang meninggalkan pentadbir sistem tidak ada yang lebih bijak? Untuk memerangi senario jenis ini dengan lebih baik, pentadbir keselamatan / sistem boleh mempertimbangkan Sistem Pengesan Intrusion Snort (IDS).
Permulaan Snort
Pada tahun 1998, Snort telah dikeluarkan oleh pengasas Sourcefire, Martin Roesch. Pada masa itu, ia dibebankan sebagai sistem pengesanan pencerobohan ringan yang berfungsi terutamanya pada sistem operasi Unix dan Unix. Pada masa itu, penggunaan Snort dianggap canggih, dengan cepatnya menjadi standard de facto dalam sistem pengesanan pencerobohan rangkaian. Ditulis dalam bahasa pengaturcaraan C, Snort dengan cepat mendapat populariti sebagai penganalisis keselamatan ditarik ke arah granularity yang mana ia dapat dikonfigurasi. Snort juga merupakan sumber terbuka sepenuhnya, dan hasilnya menjadi perisian yang sangat popular dan popular yang telah mengawasi banyak penelitian dalam komuniti sumber terbuka.Fundamental Snort
Pada masa penulisan ini, versi pengeluaran semasa Snort adalah 2.9.2. Ia mengekalkan tiga mod operasi: mod Sniffer, mod pembekal paket dan sistem pengesanan dan pencegahan pencerobohan rangkaian (IDS / IPS).
Mod Sniffer melibatkan sedikit lebih daripada menangkap paket kerana mereka melintasi laluan dengan mana-mana kad antara muka rangkaian (NIC) Snort dipasang pada. Pentadbir keselamatan boleh menggunakan mod ini untuk menguraikan jenis lalu lintas yang dikesan di NIC, dan kemudian dapat menyesuaikan konfigurasi Snort mereka dengan sewajarnya. Harus diingat bahawa tidak ada pembalakan dalam mod ini, jadi semua paket yang memasuki rangkaian hanya dipaparkan dalam satu aliran berterusan pada konsol. Di luar pemecahan masalah dan pemasangan awal, mod tertentu ini mempunyai nilai yang sedikit dan sendiri, kerana kebanyakan pentadbir sistem lebih baik dilayan dengan menggunakan sesuatu seperti utiliti tcpdump atau Wireshark.
Mod logger paket adalah sangat serupa dengan mod sniffer, tetapi satu perbezaan utama harus jelas dalam nama mod ini. Mod logger paket membolehkan pentadbir sistem untuk log apa sahaja paket yang turun ke tempat dan format pilihan. Contohnya, jika pentadbir sistem mahu log paket ke dalam direktori bernama / log pada nod tertentu dalam rangkaian, dia akan mula membuat direktori pada nod tertentu itu. Pada baris arahan, dia akan mengarahkan Snort untuk log paket dengan sewajarnya. Nilai dalam mod logger paket adalah dalam aspek penyimpanan rekod yang terdapat dalam namanya, kerana ia membenarkan penganalisis keselamatan untuk memeriksa sejarah rangkaian yang diberikan.
OKEY. Semua maklumat ini bagus untuk mengetahui, tetapi di manakah nilai tambah? Kenapa pentadbir sistem perlu menghabiskan masa dan usaha memasang dan mengkonfigurasi Snort apabila Wireshark dan Syslog boleh melakukan praktikal perkhidmatan yang sama dengan antara muka yang lebih cantik? Jawapan kepada soalan-soalan yang sangat penting ini ialah mod sistem pengesanan pencerobohan rangkaian (NIDS).
Mod sniffer dan mod logger berpindah adalah batu melangkah dalam perjalanan ke Snort apa sebenarnya - mod NIDS. Mod NIDS bergantung terutamanya pada fail konfigurasi snort (lazimnya dirujuk sebagai snort.conf), yang mengandungi semua peraturan yang menetapkan bahawa penyebaran Snort biasa merujuk sebelum menghantar isyarat kepada pentadbir sistem. Sebagai contoh, jika pentadbir ingin mencetuskan amaran setiap kali trafik FTP masuk dan / atau meninggalkan rangkaian, dia hanya akan merujuk kepada fail peraturan yang sesuai dalam snort.conf, dan voila! Amaran akan dicetuskan dengan sewajarnya. Seperti yang mungkin dibayangkan, konfigurasi snort.conf boleh menjadi sangat berbutir dari segi amaran, protokol, nombor port tertentu, dan mana-mana heuristik lain yang mungkin dirasakan oleh pentadbir sistem berkaitan dengan rangkaiannya.
Di mana Snort Comes Up Short
Tidak lama selepas Snort mula mendapat populariti, satu-satunya kelemahan adalah tahap bakat orang yang mengkonfigurasinya. Walau bagaimanapun, pada masa yang sama, komputer yang paling asas mula menyokong beberapa pemproses, dan banyak rangkaian kawasan tempatan mula mendekati kelajuan 10 Gbps. Snort telah secara konsisten ditaksir sebagai "ringan" sepanjang sejarahnya, dan moniker ini relevan untuk hari ini. Apabila berjalan pada baris perintah, latensi paket tidak pernah menjadi halangan, tetapi pada tahun-tahun kebelakangan ini konsep yang dikenali sebagai multithreading telah benar-benar mulai memegang banyak aplikasi yang cuba memanfaatkan prosesor berbilang yang disebutkan di atas. Walaupun terdapat beberapa percubaan untuk mengatasi masalah multithreading, Roesch dan seluruh pasukan Snort tidak dapat menghasilkan sebarang hasil yang ketara. Snort 3.0 akan dikeluarkan pada tahun 2009, tetapi belum tersedia pada masa penulisan. Tambahan pula, Ellen Messmer dari Network World mencadangkan Snort dengan cepat mendapati dirinya dalam persaingan dengan Jabatan Keselamatan Dalam Negeri IDS yang dikenali sebagai Suricata 1.0, yang penyokongnya mencadangkan bahawa ia menyokong multithreading. Walau bagaimanapun, harus diperhatikan bahawa tuntutan-tuntutan ini telah dipertikaikan oleh pengasas Snort.Masa Depan Snort
Adakah Snort masih berguna? Ini bergantung kepada senario ini. Hacker yang tahu bagaimana memanfaatkan kelemahan multithreading Snort akan senang mengetahui bahawa satu-satunya cara rangkaian untuk mengesan pencerobohan adalah Snort 2.x. Bagaimanapun, Snort tidak pernah menjadi penyelesaian keselamatan kepada rangkaian mana pun. Snort selalu dianggap sebagai alat pasif yang melayani tujuan tertentu dari segi analisis paket rangkaian dan forensik rangkaian. Sekiranya sumber terhad, pentadbir sistem yang bijak dengan pengetahuan yang berlimpah di Linux mungkin mempertimbangkan untuk menggunakan Snort selaras dengan rangkaiannya yang lain. Walaupun ia mungkin mempunyai kekurangannya, Snort masih memberikan nilai terbesar pada kos terendah. (mengenai distros Linux di Linux: Bastion of Freedom.)