Snort และค่าของการตรวจจับที่ตรวจจับไม่ได้

มีหลายกรณีที่เครือข่ายถูกแฮกเข้าถึงผิดกฎหมายหรือปิดการใช้งานอย่างมีประสิทธิภาพ การแฮ็คที่น่าอับอายในปี 2549 ของเครือข่าย TJ Maxx ได้รับการบันทึกไว้อย่างดีทั้งในแง่ของการขาดความขยันเนื่องจากในส่วนของ TJ Maxx และการแตกสาขาทางกฎหมายที่ บริษัท ได้รับผลกระทบ เพิ่มระดับของความเสียหายที่เกิดขึ้นกับลูกค้า TJ Maxx หลายพันคนและความสำคัญของการจัดสรรทรัพยากรเพื่อความปลอดภัยของเครือข่ายจะปรากฏขึ้นอย่างรวดเร็ว

ในการวิเคราะห์เพิ่มเติมเกี่ยวกับการแฮ็ก TJ Maxx เป็นไปได้ที่จะชี้ไปที่จุดที่จับต้องได้ในเวลาที่เหตุการณ์นั้นถูกสังเกตเห็นและบรรเทาลงในที่สุด แต่แล้วเหตุการณ์ความปลอดภัยที่ไม่มีใครสังเกตเห็นล่ะ จะเกิดอะไรขึ้นถ้าแฮกเกอร์หนุ่มผู้กล้าได้กล้าเสียมีความสุขุมเพียงพอที่จะดูดข้อมูลสำคัญชิ้นเล็ก ๆ จากเครือข่ายในลักษณะที่ทำให้ผู้ดูแลระบบไม่มีผู้ใดฉลาด? เพื่อต่อสู้กับสถานการณ์ประเภทนี้ได้ดีขึ้นผู้ดูแลระบบ / ความปลอดภัยอาจพิจารณาระบบตรวจจับการบุกรุก Snort (IDS)

จุดเริ่มต้นของ Snort

ในปี 1998 Snort ได้รับการปล่อยตัวโดยผู้ก่อตั้ง Sourcefire Martin Roesch ในเวลานั้นมันถูกเรียกเก็บเงินเป็นระบบตรวจจับการบุกรุกที่มีน้ำหนักเบาซึ่งทำหน้าที่เป็นหลักในระบบปฏิบัติการแบบ Unix และ Unix ในขณะนั้นการปรับใช้ Snort นั้นถือว่าทันสมัยเนื่องจากกลายเป็นมาตรฐานอย่างแท้จริงในระบบตรวจจับการบุกรุกเครือข่าย เขียนในภาษาการเขียนโปรแกรม C, Snort ได้รับความนิยมอย่างรวดเร็วในขณะที่นักวิเคราะห์ความปลอดภัยมุ่งเน้นไปที่ความละเอียดที่สามารถกำหนดค่า Snort นั้นเป็นโอเพ่นซอร์สอย่างสมบูรณ์และผลลัพธ์ก็เป็นซอฟต์แวร์ที่ได้รับความนิยมอย่างกว้างขวางและได้รับการยอมรับอย่างกว้างขวางในแวดวงโอเพนซอร์ซ

ความรู้พื้นฐาน Snort

ในช่วงเวลาของการเขียนนี้ Snort เวอร์ชันการผลิตปัจจุบันคือ 2.9.2 มันคงโหมดการทำงานสามโหมด: โหมด Sniffer, โหมดตัวบันทึกแพ็คเก็ตและโหมดการตรวจจับและป้องกันการบุกรุกเครือข่าย (IDS / IPS) โหมด

โหมด Sniffer เกี่ยวข้องกับการจับแพ็คเก็ตเพียงเล็กน้อยเนื่องจากมีการข้ามเส้นทางกับการ์ดเครือข่ายอินเทอร์เฟซ (NIC) Snort ที่ติดตั้งไว้ ผู้ดูแลความปลอดภัยสามารถใช้โหมดนี้เพื่อถอดรหัสประเภทของทราฟฟิกที่ตรวจพบที่ NIC และจากนั้นสามารถปรับแต่งการกำหนดค่าของ Snort ตามนั้น ควรสังเกตว่าไม่มีการบันทึกในโหมดนี้ดังนั้นแพ็คเก็ตทั้งหมดที่เข้าสู่เครือข่ายจะแสดงเพียงในกระแสข้อมูลอย่างต่อเนื่องหนึ่งบนคอนโซล นอกเหนือจากการแก้ไขปัญหาและการติดตั้งครั้งแรกโหมดนี้มีค่าเล็กน้อยในตัวของมันเองเนื่องจากผู้ดูแลระบบส่วนใหญ่จะให้บริการที่ดีขึ้นโดยใช้บางอย่างเช่นยูทิลิตี้ tcpdump หรือ Wireshark

โหมดตัวบันทึกแพ็คเก็ตนั้นคล้ายกับโหมดดมกลิ่น แต่มีความแตกต่างหลักอย่างหนึ่งที่เห็นได้ชัดเจนในชื่อของโหมดนี้ โหมดตัวบันทึกแพ็คเก็ตช่วยให้ผู้ดูแลระบบสามารถบันทึกสิ่งที่แพ็กเก็ตลงมาในสถานที่และรูปแบบที่ต้องการ ตัวอย่างเช่นหากผู้ดูแลระบบต้องการบันทึกแพ็กเก็ตลงในไดเรกทอรีชื่อ / log บนโหนดเฉพาะภายในเครือข่ายเขาจะสร้างไดเรกทอรีบนโหนดนั้น ๆ ก่อน บนบรรทัดคำสั่งเขาจะแนะนำให้ Snort บันทึกแพ็กเก็ตตามลำดับ ค่าในโหมดตัวบันทึกแพ็คเก็ตอยู่ในลักษณะการเก็บบันทึกโดยกำเนิดในชื่อเนื่องจากช่วยให้นักวิเคราะห์ความปลอดภัยสามารถตรวจสอบประวัติของเครือข่ายที่กำหนด

ตกลง. ข้อมูลทั้งหมดนี้เป็นเรื่องน่ารู้ แต่มูลค่าเพิ่มอยู่ที่ไหน ทำไมผู้ดูแลระบบควรใช้เวลาและความพยายามในการติดตั้งและกำหนดค่า Snort เมื่อ Wireshark และ Syslog สามารถทำงานบริการเดียวกันได้จริงด้วยอินเตอร์เฟสที่สวยกว่ามาก คำตอบของคำถามที่เกี่ยวข้องเหล่านี้คือโหมดระบบตรวจจับการบุกรุกเครือข่าย (NIDS)

โหมด Sniffer และโหมดตัวบันทึกแพ็คเก็ตกำลังก้าวเข้าสู่โหมด Snort ซึ่งเป็นเรื่องเกี่ยวกับโหมด NIDS โหมด NIDS อาศัยส่วนใหญ่เป็นไฟล์การกำหนดค่า snort (โดยทั่วไปเรียกว่า snort.conf) ซึ่งมีชุดของกฎทั้งหมดที่การปรับใช้ Snort ทั่วไปให้คำปรึกษาก่อนที่จะส่งการแจ้งเตือนไปยังผู้ดูแลระบบ ตัวอย่างเช่นหากผู้ดูแลระบบต้องการที่จะทริกเกอร์การแจ้งเตือนทุกครั้งที่ปริมาณการใช้ FTP เข้าและ / หรือออกจากเครือข่ายเธอก็จะอ้างถึงไฟล์กฎที่เหมาะสมภายใน snort.conf และ voila! การแจ้งเตือนจะถูกเรียกใช้ตามลำดับ ดังที่เราอาจจินตนาการได้ว่าการกำหนดค่าของ snort.conf นั้นสามารถทำให้เกิดการเตือนภัยได้อย่างมากทั้งในแง่ของการแจ้งเตือนโปรโตคอลหมายเลขพอร์ตที่แน่นอนและการแก้ปัญหาอื่น ๆ ที่ผู้ดูแลระบบอาจรู้สึกว่าเกี่ยวข้องกับเครือข่ายของเธอ

ที่ Snort มาสั้น ๆ

ไม่นานหลังจาก Snort เริ่มได้รับความนิยมข้อบกพร่องเพียงอย่างเดียวคือระดับความสามารถของคนที่กำหนดค่ามัน อย่างไรก็ตามเมื่อเวลาผ่านไปคอมพิวเตอร์พื้นฐานส่วนใหญ่เริ่มให้การสนับสนุนโปรเซสเซอร์หลายตัวและเครือข่ายท้องถิ่นหลายแห่งเริ่มเข้าใกล้ความเร็ว 10 Gbps Snort ถูกเรียกเก็บเงินเป็น "เบา" อย่างต่อเนื่องตลอดประวัติศาสตร์และชื่อเล่นนี้มีความเกี่ยวข้องกับวันนี้ เมื่อทำงานบนบรรทัดคำสั่งความหน่วงแฝงของแพ็คเก็ตไม่เคยเป็นอุปสรรคมากนัก แต่ในช่วงไม่กี่ปีที่ผ่านมาแนวคิดที่รู้จักกันในชื่อมัลติเธรดได้เริ่มที่จะถือเป็นแอพพลิเคชั่นจำนวนมากพยายามที่จะใช้ประโยชน์ แม้จะมีความพยายามหลายครั้งในการเอาชนะปัญหามัลติเธรด แต่ Roesch และทีม Snort คนอื่น ๆ ยังไม่สามารถสร้างผลลัพธ์ที่เป็นรูปธรรมได้ Snort 3.0 มีกำหนดจะเปิดตัวในปี 2009 แต่ยังไม่มีการเผยแพร่ในขณะที่เขียน นอกจากนี้ Ellen Messmer จาก Network World ยังแนะนำว่า Snort พบตัวเองอย่างรวดเร็วในการแข่งขันกับกระทรวงความมั่นคงแห่งมาตุภูมิ IDS ที่รู้จักกันในชื่อ Suricata 1.0 ซึ่งผู้สนับสนุนแนะนำว่ารองรับมัลติเธรด อย่างไรก็ตามควรสังเกตว่าการเรียกร้องเหล่านี้ได้รับการโต้แย้งอย่างฉุนเฉียวโดยผู้ก่อตั้ง Snort

อนาคตของ Snort

Snort ยังมีประโยชน์หรือไม่ ขึ้นอยู่กับสถานการณ์ แฮกเกอร์ที่รู้วิธีการใช้ประโยชน์จากข้อบกพร่องแบบมัลติเธรดของ Snort จะดีใจที่รู้ว่าวิธีการตรวจจับการบุกรุกของเครือข่ายที่ระบุคือ Snort 2.x อย่างไรก็ตาม Snort ไม่ได้ตั้งใจให้เป็นโซลูชั่นความปลอดภัยสำหรับเครือข่ายใด ๆ Snort ได้รับการพิจารณาเสมอว่าเป็นเครื่องมือแบบพาสซีฟที่ทำหน้าที่เฉพาะในแง่ของการวิเคราะห์แพ็คเก็ตเครือข่ายและนิติเวชเครือข่าย หากทรัพยากรมี จำกัด ผู้ดูแลระบบที่ชาญฉลาดที่มีความรู้มากมายใน Linux อาจพิจารณาปรับใช้ Snort ตามส่วนที่เหลือของเครือข่ายของเขาหรือเธอ ในขณะที่มันอาจมีข้อบกพร่อง Snort ยังคงให้ค่ามากที่สุดในราคาต่ำสุด (เกี่ยวกับ distros Linux ใน Linux: Bastion of Freedom)