Talaan ng mga Nilalaman:
Maraming mga pagkakataon kung saan ang mga network ay na-hack, hindi naa-access sa batas o epektibong hindi pinagana. Ang nakamamanghang ngayon ng 2006 na pag-hack ng network ng TJ Maxx ay na-dokumentado - kapwa sa mga tuntunin ng kakulangan ng nararapat na kasipagan sa bahagi ng TJ Maxx at ang ligal na ramifications na dinanas ng kumpanya bilang isang resulta. Idagdag sa antas ng pinsala na nagawa sa libu-libong mga customer ng TJ Maxx at ang kahalagahan ng paglalaan ng mga mapagkukunan patungo sa seguridad ng network ay mabilis na naging maliwanag.
Sa karagdagang pagsusuri ng TJ Maxx na pag-hack, posible na ituro sa isang nasasalat na punto sa oras kung saan ang insidente ay sa wakas napansin at naliwa. Ngunit ano ang tungkol sa mga insidente sa seguridad na hindi napansin? Paano kung ang isang mapang-akit na batang hacker ay sapat na maingat na humigop ng maliliit na piraso ng mahahalagang impormasyon mula sa isang network sa isang paraan na hindi iniwan ng mga administrador ng system ang mas marunong? Upang mas mahusay na labanan ang ganitong uri ng senaryo, maaaring isaalang-alang ng mga administrator / system administrator ang Snort Intrusion Detection System (IDS).
Simula ng Snort
Noong 1998, pinakawalan si Snort ng tagapagtatag ng Sourcefire na si Martin Roesch. Sa oras na ito, sinisingil bilang isang magaan na sistema ng pagtuklas ng panghihimasok na gumaganap lalo sa Unix at tulad ng mga operating system. Sa oras na ito, ang paglawak ng Snort ay itinuturing na paggupit, dahil mabilis itong naging pamantayan ng de facto sa mga sistema ng pagtuklas ng panghihimasok sa network. Nakasulat sa C programming language, mabilis na nakakuha ng katanyagan si Snort dahil ang mga analyst ng seguridad na gravitated patungo sa kadiliman kung saan maaaring mai-configure ito. Ang Snort ay ganap ding buksan ang mapagkukunan, at ang resulta ay isang napaka-matatag, malawak na tanyag na piraso ng software na may matibay na maraming halaga ng pagsusuri sa komunidad ng bukas na mapagkukunan.Mga Batayang Snort
Sa oras ng pagsulat na ito, ang kasalukuyang bersyon ng produksiyon ng Snort ay 2.9.2. Pinapanatili nito ang tatlong mga mode ng operasyon: Sniffer mode, mode ng packet logger at pag-iwas sa network at pag-iwas sa system (IDS / IPS) mode.
Ang Sniffer mode ay nagsasangkot ng kaunti pa kaysa sa pagkuha ng mga packet habang tumatawid sila ng mga landas na kung saan naka-install ang Snackfer ng network (NIC) Snort. Maaaring gamitin ng mga administrator ng seguridad ang mode na ito upang matukoy kung anong uri ng trapiko ang napansin sa NIC, at pagkatapos ay maaaring i-tune ang kanilang pagsasaayos ng Snort nang naaayon. Dapat pansinin na walang pag-log in sa mode na ito, kaya ang lahat ng mga packet na pumapasok sa network ay ipinapakita lamang sa isang tuluy-tuloy na stream sa console. Sa labas ng pag-aayos at paunang pag-install, ang partikular na mode na ito ay may kaunting halaga sa sarili nito, dahil ang karamihan sa mga tagapangasiwa ng system ay mas mahusay na naihatid sa pamamagitan ng paggamit ng isang bagay tulad ng utility ng tcpdump o Wireshark.
Ang mode ng packet logger ay halos kapareho sa sniffer mode, ngunit ang isang pangunahing pagkakaiba ay dapat na maliwanag sa pangalan ng partikular na mode na ito. Pinapayagan ng packet logger mode ang mga administrador ng system na mag-log ng anumang mga packet na bumababa sa mga ginustong mga lugar at format. Halimbawa, kung nais ng isang tagapangasiwa ng system na mag-log packet sa isang direktoryo na pinangalanan / mag-log sa isang tukoy na node sa loob ng network, gagawin niya muna ang direktoryo sa partikular na node. Sa linya ng utos, tuturuan niya si Snort na mag-log pack nang naaayon. Ang halaga sa packet logger mode ay nasa aspeto ng pagpapanatili ng tala na likas sa pangalan nito, dahil pinapayagan nitong suriin ang mga security analyst ng kasaysayan ng isang naibigay na network.
OK. Ang lahat ng impormasyong ito ay gandang malaman, ngunit saan idinagdag ang halaga? Bakit dapat gumastos ng oras at pagsisikap ang pag-install at pag-configure ng Snort kapag ang Wireshark at Syslog ay maaaring gumanap sa parehong mga serbisyo na may mas mahusay na interface? Ang sagot sa mga napakahalagang katanungan na ito ay ang network na panghihimasok sa system (NIDS) mode.
Ang Sniffer mode at packet logger mode ay mga hakbang sa paglalakad sa kung ano talaga ang Snort tungkol sa - NIDS mode. Ang mode ng NIDS ay nakasalalay lalo sa file ng pagsasaayos ng snort (karaniwang tinutukoy bilang snort.conf), na naglalaman ng lahat ng mga panuntunan na nagtatakda na isang tipikal na konsultasyon sa pag-deploy ng Snort bago magpadala ng mga alerto sa mga administrador ng system. Halimbawa, kung nais ng isang tagapangasiwa na mag-trigger ng isang alerto sa tuwing papasok ang trapiko ng FTP at / o umalis sa network, sasangguni lamang niya ang naaangkop na mga patakaran ng file sa loob ng snort.conf, at voila! Ang isang alerto ay mai-trigger nang naaayon. Tulad ng maaaring isipin ng isang tao, ang pagsasaayos ng snort.conf ay maaaring makakuha ng sobrang butil sa mga tuntunin ng mga alerto, protocol, ilang mga numero ng port, at anumang iba pang heuristic na maaaring madama ng isang tagapangasiwa ng system ay may kaugnayan sa kanyang partikular na network.
Kung Saan Maiksi ang Snort
Ilang sandali pagkatapos na nagsimulang makakuha ng katanyagan si Snort, ang kakulangan lamang nito ay ang antas ng talento ng taong nag-configure nito. Sa paglipas ng panahon, ang pinaka pangunahing mga computer ay nagsimulang suportahan ang maraming mga processors, at maraming mga lokal na network ng network ang nagsimulang lumapit sa bilis ng 10 Gbps. Ang Snort ay patuloy na sinisingil bilang "magaan" sa buong kasaysayan nito, at ang moniker na ito ay may kaugnayan sa araw na ito. Kapag tumatakbo sa linya ng utos, ang latency ng packet ay hindi kailanman naging labis ng isang balakid, ngunit sa mga nakaraang taon ang isang konsepto na kilala bilang multithreading ay talagang nagsimulang hawakan ang maraming mga application na pagtatangka upang samantalahin ang nabanggit na maraming mga processors. Sa kabila ng maraming mga pagtatangka sa pagtagumpayan ng isyu ng multithreading, si Roesch at ang natitira sa koponan ng Snort ay hindi nakagawa ng anumang nasasalat na mga resulta. Ang Snort 3.0 ay dapat mailabas noong 2009, ngunit hindi pa ginawang magagamit sa oras ng pagsulat. Bukod dito, iminumungkahi ni Ellen Messmer ng Network World na ang Snort ay mabilis na natagpuan ang kanyang sarili sa isang pakikipagkumpitensya sa mga ID ng Kagawaran ng Homeland Security na kilala bilang Suricata 1.0, na ang mga proponents ay nagmumungkahi na sinusuportahan nito ang multithreading. Gayunpaman, dapat itong tandaan na ang mga pag-angkin na ito ay naiinis na pinagtatalunan ng tagapagtatag ni Snort.Hinaharap ni Snort
Kapaki-pakinabang pa ba si Snort? Ito ay nakasalalay sa senaryo. Ang mga hacker na nakakaalam kung paano samantalahin ang mga pagkukulang ng multithreading ni Snort ay matutuwa nang malaman na ang tanging paraan lamang ng isang natukoy na panghihimasok ay ang Snort 2.x. Gayunpaman, ang Snort ay hindi kailanman sinadya upang maging ANG solusyon sa seguridad sa anumang network. Ang Snort ay palaging itinuturing na isang tool ng pasibo na nagsisilbi ng isang partikular na layunin sa mga tuntunin ng pagtatasa ng packet ng network at mga forensics ng network. Kung ang mga mapagkukunan ay limitado, ang isang pantas na tagapangasiwa ng system na may maraming kaalaman sa Linux ay maaaring isaalang-alang ang pag-aalis ng Snort na naaayon sa natitirang bahagi ng kanyang network. Habang maaaring magkaroon ito ng mga pagkukulang nito, ang Snort ay nagbibigay pa rin ng pinakamalaking halaga sa pinakamababang gastos. (tungkol sa Linux distros sa Linux: Bastion of Freedom.)