Преглед садржаја:
Много је случајева где су мреже хаковане, незаконито приступане или ефикасно онемогућене. Већ злогласно хаковање мреже ТЈ Макк из 2006. године добро је документовано - како у погледу недостатка дужне ревности од стране ТЈ Макк-а, тако и због правних посљедица које је компанија претрпела као резултат. К томе додајте ниво штете која је нанета хиљадама ТЈ Макк купаца и важност алокације ресурса ка мрежној сигурности брзо постаје очигледна.
Даљњом анализом хаковања ТЈ Макк-а могуће је указати на опипљиву тачку у којој је инцидент коначно примећен и ублажен. Али шта је са безбедносним инцидентима који прођу незапажено? Шта ако је предузетни млади хакер довољно дискретан да са мреже пошаљи ситне комаде виталних информација на начин који администраторе система не оставља ништа мудријим? Да би се боље суочили са овом врстом сценарија, администратори система безбедности / система могу размотрити Снорт систем за откривање упада (ИДС).
Почеци Снорта
1998. године Снорт је издао оснивач Соурцефире Мартин Роесцх. У то се време наплаћивао као лагани систем за откривање провале који је функционисао превасходно на Уник-у и Уник-овим оперативним системима. У то време се примена Снорт-а сматрала врхунском, јер је брзо постала де фацто стандард у мрежним системима за откривање упада. Написан на програмском језику Ц, Снорт је брзо стекао популарност када су безбедносни аналитичари гравитирали ка прецизности са којом је могао да се конфигурише. Снорт је такође потпуно отворени извор, а резултат је био врло робустан, широко популаран део софтвера који је издржао доста велике количине надзора у заједници отвореног кода.Снорт Фундаменталс
У време писања овог текста тренутна продукцијска верзија Снорт-а је 2.9.2. Одржава три начина рада: Сниффер режим, режим записивања пакета и режим детекције и спречавања упада у мрежу (ИДС / ИПС).
Сниффер мод укључује мало више од хватања пакета док они прелазе стазе овисно о томе која је мрежна интерфејс картица (НИЦ) Снорт инсталирана. Администратори безбедности могу да користе овај начин да дешифрују врсту саобраћаја који се детектује у НИЦ-у и потом на одговарајући начин подешавају своју конфигурацију Снорта. Треба напоменути да у овом режиму нема евидентирања, тако да се сви пакети који уђу у мрежу једноставно приказују у једном непрекидном току на конзоли. Изван решавања проблема и почетне инсталације, овај одређени режим сам по себи има малу вредност, пошто се већини системских администратора боље служи ако користите нешто попут услужног програма тцпдумп или Виресхарк.
Режим записивања пакета врло је сличан режиму њушкања, али једна кључна разлика требало би да буде видљива у називу овог одређеног режима. Режим записивања пакета омогућава администраторима система да бележе све пакете који се спуштају на преферирана места и формате. На пример, ако администратор система жели да пакете евидентира у директорију именован / лог на одређеном чвору унутар мреже, прво би креирао директориј на том одређеном чвору. У командној линији он би упутио Снорт-у да у складу с тим евидентира пакете. Вриједност у режиму записивања пакета је у аспекту чувања података својственом њеном имену, јер омогућава сигурносним аналитичарима да прегледају историју одређене мреже.
ОК. Све ове информације је лепо знати, али где је додана вредност? Зашто би администратор система требао трошити вријеме и труд на инсталацију и конфигурирање Снорт-а када Виресхарк и Сислог могу обављати практички исте услуге с пуно љепшим интерфејсом? Одговор на та врло релевантна питања је режим детекције мрежних провала (НИДС).
Сниффер режим и начин записивања пакета корак су од камена на путу ка ономе што Снорт заиста јесте - НИДС режиму. НИДС режим првенствено се ослања на датотеку за конфигурацију снорт-а (уобичајено названу снорт.цонф), која садржи све скупове правила о којима се уобичајена Снорт-ова имплементација савјетује прије слања упозорења администраторима система. На пример, ако администратор жели да активира упозорење сваки пут када ФТП саобраћај уђе и / или напусти мрежу, она би се једноставно упутила на одговарајућу датотеку правила унутар снорт.цонф и воила! Упозорење ће се активирати у складу с тим. Као што неко може замислити, конфигурација снорт.цонф може бити изузетно детаљна у погледу упозорења, протокола, одређених бројева портова и било које друге хеуристике за коју администратор система може да се сматра релевантном за њену одређену мрежу.
Где је смрад кратак
Убрзо након што је Снорт почео да добија популарност, његов једини недостатак био је ниво талената особе која га конфигурише. Како је време одмицало, најосновнији рачунари почели су да подржавају више процесора, и многе локалне мреже почеле су да се приближавају брзином од 10 Гбпс. Снорт се током своје историје константно називао "лаганим", а овај је снимак релевантан до данашњег дана. Када се изводи на командној линији, кашњење пакета никада није била велика препрека, али последњих година концепт познат као мултитхреадинг заиста је почео да прихвата што више апликација покушава да искористи горе поменуте вишеструке процесоре. Упркос неколико покушаја да се превазиђе мултитхреадинг тема, Роесцх и остатак Снорт тима нису успели да дају опипљиве резултате. Снорт 3.0 је требао бити објављен 2009. године, али још није био доступан у тренутку писања. Надаље, Еллен Мессмер из Нетворк Ворлд-а сугерира да се Снорт брзо нашао у супарништву с Министарством ИДС-а за домовинску сигурност познатим као Сурицата 1.0, чији заговорници сугерирају да подржава мултитхреадинг. Међутим, треба напоменути да је оснивач Снорт-а ове тврдње жестоко оспорио.Снорт'с Футуре
Да ли је Снорт још увек користан? То зависи од сценарија. Хакери који знају како да искористе Снорттове мултитхреадинг недостатке били би одушевљени када знају да је једино средство за откривање упада одређене мреже од стране Снорт 2.к. Међутим, Снорт никада није требао бити сигурносно решење за било коју мрежу. Снорт се одувек сматрао пасивним алатом који служи одређеној сврси у погледу анализе мрежних пакета и мрежне форензике. Ако су ресурси ограничени, мудри системски администратор с богатим знањем у Линуку могао би размотрити распоређивање Снорт-а у складу с остатком његове мреже. Иако може имати својих недостатака, Снорт и даље пружа највећу вредност уз најнижу цену. (о дистрибуцијама Линука у Линуку: Бастион оф Фреедом.)
