Koti turvallisuus Snort ja havaitsemisen arvo havaitsematon

Snort ja havaitsemisen arvo havaitsematon

Sisällysluettelo:

Anonim

Verkkoihin on hakkeroitu, niitä on laittomasti käytetty tai käytöstä poistettu monissa tapauksissa. TJ Maxx -verkon nyt pahamaineinen 2006-hakkerointi on dokumentoitu hyvin - sekä TJ Maxxin huolellisuuden puuttumisen että yrityksen seurauksena kärsimien oikeudellisten seurausten suhteen. Lisää tähän tuhansien TJ Maxx -asiakkaiden haittojen taso ja resurssien kohdistamisen tärkeys verkon tietoturvalle ilmenee nopeasti.


Tarkempi analyysi TJ Maxx-hakkeroinnista on mahdollista osoittaa konkreettiseen ajankohtaan, jolloin tapahtuma havaittiin lopulta ja lievennettiin. Entä turvallisuustilanteet, jotka jäävät huomaamatta? Entä jos yritteliäs nuori hakkeri on riittävän hienovarainen sipponi pieniä elintärkeitä tietoja verkosta tavalla, joka ei jätä järjestelmänvalvojia viisaammiksi? Tämän tyyppisten tilanteiden torjumiseksi paremmin tietoturva- / järjestelmänvalvojat voivat harkita Snort-tunkeutumisen havaitsemisjärjestelmää (IDS).

Snortin alku

Sourcefire-perustaja Martin Roesch julkaisi Snortin vuonna 1998. Tuolloin sitä laskutettiin kevyeksi tunkeutumisen havaitsemisjärjestelmäksi, joka toimi pääasiassa Unixissa ja Unixin kaltaisissa käyttöjärjestelmissä. Snortin käyttöönottoa pidettiin tuolloin kärjessä, koska siitä tuli nopeasti käytännöllinen standardi verkon tunkeutumisen havaitsemisjärjestelmissä. C-ohjelmointikielellä kirjoitettu Snort sai nopeasti suosiota, kun turvallisuusanalyytikot suuntasivat kohti sen yksityiskohtaisuutta, jolla se voidaan konfiguroida. Snort on myös täysin avoimen lähdekoodin tulos, ja tuloksena on ollut erittäin vankka, laajalti suosittu ohjelmisto, joka on kestänyt runsaasti tarkastuksia avoimen lähdekoodin yhteisössä.

Snort-perusteet

Tätä kirjoitettaessa Snortin nykyinen tuotantoversio on 2.9.2. Se ylläpitää kolmea toimintatapaa: Sniffer-tila, pakettilokeritila ja verkon tunkeutumisen havaitsemis- ja estämisjärjestelmä (IDS / IPS).


Sniffer-moodi sisältää vain muuta kuin pakettien sieppaamisen, koska ne ylittävät polun sen mukaan, kumpi verkkokortti (NIC) Snort on asennettu. Tietoturvan järjestelmänvalvojat voivat käyttää tätä tilaa selvittääkseen, minkä tyyppinen liikenne NIC: ssä havaitaan, ja voi sitten virittää Snort-konfiguraationsa vastaavasti. On huomattava, että tässä tilassa ei kirjaudu, joten kaikki verkkoon tulevat paketit näytetään yksinkertaisesti yhtenä jatkuvana virtauksena konsolissa. Vianmäärityksen ja alkuperäisen asennuksen ulkopuolella tällä tietyllä moodilla ei itsessään ole juurikaan arvoa, koska useimmille järjestelmänvalvojille tarjotaan parempi palvelu esimerkiksi tcpdump-apuohjelman tai Wiresharkin avulla.


Pakettilokeritila on hyvin samanlainen kuin nuuskimistila, mutta yhden avaineron tulisi olla ilmeinen tämän nimen nimessä. Pakettien tallennustilan avulla järjestelmänvalvojat voivat kirjata kaikki paketit, jotka tulevat haluttuihin paikkoihin ja muotoihin. Esimerkiksi, jos järjestelmänvalvoja haluaa kirjata paketit hakemistoon, jonka nimi on / loki tietyssä verkon solmussa, hän luo ensin hakemiston kyseiseen solmuun. Komentorivillä hän käski Snortin kirjaamaan paketit vastaavasti. Paketinkeruumoodin arvo on nimensä luonteenomainen tietueenpito, koska se antaa turvallisuusanalyytikoille mahdollisuuden tutkia tietyn verkon historiaa.


OK. Kaikki nämä tiedot ovat mukavia tietää, mutta missä on lisäarvo? Miksi järjestelmänvalvojan tulisi viettää aikaa ja vaivaa Snortin asentamiseen ja määrittämiseen, kun Wireshark ja Syslog voivat suorittaa käytännössä samat palvelut paljon kauniimmalla käyttöliittymällä? Vastaus näihin erittäin tärkeisiin kysymyksiin on verkon tunkeutumisen ilmaisujärjestelmä (NIDS).


Sniffer-tila ja pakettien kirjaajatila ovat askelta kohti matkaa siihen, mistä Snort oikeasti kuuluu - NIDS-tilaan. NIDS-tila luottaa ensisijaisesti snort-määritystiedostoon (jota yleisesti kutsutaan snort.conf), joka sisältää kaikki sääntöjoukot, joita tyypillinen Snort-käyttöönotto konsultoi ennen hälytysten lähettämistä järjestelmänvalvojille. Esimerkiksi, jos järjestelmänvalvoja haluaa laukaista hälytyksen joka kerta, kun FTP-liikenne tulee verkkoon ja / tai poistuu siitä, hän viittaa vain asianmukaiseen sääntötiedostoon snort.conf-sivustossa ja voila! Hälytys laukaistaan ​​vastaavasti. Kuten voi kuvitella, snort.conf-kokoonpano voi saada erittäin yksityiskohtaisesti hälytysten, protokollien, tiettyjen porttinumeroiden ja muun heuristiikan suhteen, jonka järjestelmänvalvoja voi nähdä olevan merkityksellinen hänen tietyn verkonsa suhteen.

Missä Snort tulee lyhyeksi

Pian sen jälkeen, kun Snort alkoi kasvattaa suosiotaan, sen ainoa puute oli sitä konfiguroivan henkilön kykytaso. Ajan myötä alkeellisimmat tietokoneet alkoivat kuitenkin tukea useita suorittimia, ja monet lähiverkot alkoivat lähestyä nopeutta 10 Gbps. Snortia on laskettu jatkuvasti "kevyeksi" koko historiansa ajan, ja tämä ohjaaja on merkityksellinen tänä päivänä. Komentorivillä ajettaessa paketin viive ei ole koskaan ollut suurempi este, mutta viime vuosina monisäikeinen käsite on todella alkanut tarttua, koska monet sovellukset yrittävät hyödyntää edellä mainittuja useita suorittimia. Huolimatta useista yrityksistä ratkaista monisäikeinen kysymys, Roesch ja muu Snort-tiimi eivät ole pystyneet tuottamaan konkreettisia tuloksia. Snort 3.0 oli tarkoitus julkaista vuonna 2009, mutta sitä ei ollut vielä julkaistu kirjoittamishetkellä. Lisäksi Ellen Messmer of Network World ehdottaa, että Snort on nopeasti löytänyt kilpailun Suricata 1.0 -nimisen kotimaan turvallisuuslaitoksen IDS-osaston kanssa, jonka puolustajat viittaavat siihen, että se tukee monisäikeistä lukemista. On kuitenkin huomattava, että Snortin perustaja on kiistänyt nämä väitteet kiihkeästi.

Snortin tulevaisuus

Onko Snort edelleen hyödyllinen? Tämä riippuu tilanteesta. Hakkerit, jotka osaavat hyödyntää Snortin monisäikeisiä puutteita, olisivat iloisia tietäen, että tietyn verkon ainoa keino tunkeutua tunkeutua on Snort 2.x. Snortia ei kuitenkaan koskaan tarkoitettu olevan minkään verkon tietoturvaratkaisu. Snortia on aina pidetty passiivisena työkaluna, joka palvelee tiettyä tarkoitusta verkon paketti-analyysin ja verkon oikeuslääketieteen kannalta. Jos resursseja on rajoitetusti, viisas järjestelmänvalvoja, jolla on runsaasti tietoa Linuxista, saattaa harkita Snortin käyttöönottoa muun hänen verkonsa mukaisesti. Vaikka Snortilla voi olla puutteita, se tarjoaa suurimman arvon alhaisin kustannuksin. (Linux-distrosta Linuxissa: Bastion of Freedom.)

Snort ja havaitsemisen arvo havaitsematon