בית אבטחה נחר וערך גילוי הבלתי ניתן לגילוי

נחר וערך גילוי הבלתי ניתן לגילוי

תוכן עניינים:

Anonim

ישנם מקרים רבים שבהם רשתות נפרצות, גישה לא חוקית או מושבתות באופן יעיל. הפריצה הידועה לשמצה כעת של רשת TJ Maxx מ -2006 תועדה היטב - הן מבחינת היעדר בדיקת נאותות מצד TJ Maxx והן מההשלכות החוקיות שספגה החברה כתוצאה מכך. הוסף לכך את רמת הפגיעה שנגרמה לאלפי לקוחות TJ Maxx והחשיבות של הקצאת משאבים לאבטחת רשת מתבררת במהירות.


על ניתוח נוסף של פריצת ה- TJ Maxx, ניתן להצביע על נקודת זמן מוחשית בה סוף סוף הבחין האירוע והופחת. אבל מה עם אירועי הביטחון שלא מתבוננים? מה אם האקר צעיר וחד-משמעי מספיק דיסקרטי בכדי לנפות חתיכות קטנות של מידע חיוני מרשת באופן שלא יותיר למנהלי מערכות שום חכם יותר? כדי להילחם טוב יותר בתרחיש מסוג זה, מנהלי אבטחה / מערכות עשויים לשקול את מערכת זיהוי החדירה לנחירות (IDS).

תחילת סנורט

בשנת 1998 שוחרר סנורט על ידי מייסד Sourcefire מרטין רואש. באותה תקופה היא חויבה כמערכת גילוי חדירה קלת משקל שפעלה בעיקר במערכות הפעלה דמויות יוניקס ו- Unix. באותה תקופה, פריסת Snort נחשבה לחדשה, מכיוון שהיא הפכה במהרה לתקן דה-פקטו במערכות גילוי חדירות לרשת. שנכתב בשפת התכנות C, Snort זכה במהירות לפופולריות כשאנליסטים בתחום האבטחה חזרו לכדי גרגיריות שאפשר היה להגדיר אותה. Snort הוא גם קוד פתוח לחלוטין, והתוצאה הייתה פיסת תוכנה חזקה ופופולרית מאוד, שעמדה בכמויות רבות של בדיקה בקהילת הקוד הפתוח.

יסודות נוח

בזמן כתיבת שורות אלה גרסת ההפקה הנוכחית של Snort היא 2.9.2. הוא שומר על שלושה מצבי פעולה: מצב Sniffer, מצב לוגר מנות ומערכת איתור ומניעה של חדירות רשת (IDS / IPS).


מצב Sniffer כרוך במעט יותר מלכידת מנות בזמן שהם חוצים נתיבים עם איזה כרטיס ממשק רשת (NIC) Snort מותקן עליו. מנהלי אבטחה יכולים להשתמש במצב זה כדי לפענח איזה סוג של תנועה מתגלה ב- NIC, ואז יכולים לכוונן את התצורה שלהם של Snort בהתאם. יש לציין כי אין כניסה במצב זה, כך שכל המנות שנכנסות לרשת מוצגות פשוט בזרם רציף אחד בקונסולה. מחוץ לפתרון בעיות ולהתקנה ראשונית, למצב מסוים זה אין ערך בפני עצמו, שכן לרוב מנהלי המערכת מוגשים טוב יותר באמצעות משהו כמו כלי השירות tcpdump או Wireshark.


מצב לוגני מנות דומה מאוד למצב של ריחוף, אך הבדל מפתח אחד צריך להיות ניכר בשם של מצב מסוים זה. מצב רישום מנות מאפשר למנהלי מערכת לרשום כל מנות שיורדות למקומות ולפורמטים מועדפים. לדוגמה, אם מנהל מערכת רוצה לרשום מנות לתיקייה בשם / להיכנס לצומת ספציפי ברשת, הוא היה יוצר תחילה את הספרייה בצומת הספציפי הזה. בשורת הפקודה הוא היה מורה לסנורט לרשום מנות בהתאם. הערך במצב רישום מנות הוא בפן שמירת הרשומות הגלום בשמו, מכיוון שהוא מאפשר למנתחי אבטחה לבחון את ההיסטוריה של רשת נתונה.


בסדר. כל המידע הזה נחמד לדעת, אבל איפה הערך המוסף? מדוע מנהל מערכת צריך להשקיע זמן ומאמץ בהתקנה והגדרת תצורת Snort כאשר Wireshark ו- Syslog יכולים לבצע כמעט את אותם שירותים עם ממשק הרבה יותר יפה? התשובה לשאלות הרלוונטיות מאוד הללו היא מצב איתור חדירות רשת (NIDS).


מצב רחרוח ומצב לוגר מנות הם אבני דרך בדרך למה שנורט באמת עוסק בה - מצב NIDS. מצב NIDS מסתמך בעיקר על קובץ תצורת הנחר (המכונה בדרך כלל snort.conf), המכיל את כל מערכי הכללים שפריסת טיפוס snort מתייעצת לפני שליחת התראות למנהלי מערכת. לדוגמה, אם מנהל מערכת רוצה להפעיל התראה בכל פעם שתעבורת FTP נכנסת ו / או עוזבת את הרשת, היא פשוט הייתה מתייחסת לקובץ הכללים המתאים בתוך snort.conf ו- voila! התראה תופעל בהתאם. כפי שאפשר לדמיין, התצורה של snort.conf יכולה לקבל גרגירים במיוחד מבחינת התראות, פרוטוקולים, מספרי יציאה מסוימים וכל היוריסטי אחר שמנהל מערכת עשוי לחוש שהוא רלוונטי לרשת הספציפית שלה.

איפה שנורט מגיע קצר

זמן קצר לאחר שסנורט החלה לצבור פופולריות, חסרונה היחיד היה רמת הכישרון של האדם שמגדיר אותו. עם חלוף הזמן, המחשבים הבסיסיים ביותר החלו לתמוך במעבדים מרובים, ורשתות מקומיות רבות החלו להתקרב למהירויות של 10 ג'יגה-בתים לשנייה. סנורט נחשב בעקביות כ"קל משקל "לאורך כל תולדותיו, והמוניקר הזה רלוונטי עד היום. כאשר הוא מופעל בשורת הפקודה, חביון מנות מעולם לא היווה מכשול גדול במיוחד, אך בשנים האחרונות מושג המכונה multithreading באמת החל לתפוס כמו יישומים רבים מנסים לנצל את המעבדים המרובים שהוזכרו לעיל. למרות מספר ניסיונות להתגבר על סוגיית ריבוי השלבים, רוש ושאר צוות סנורט לא הצליחו להביא לתוצאות מוחשיות. Snort 3.0 אמור היה לצאת ב -2009, אך טרם הועמד לרשותו בעת כתיבת שורות אלה. יתרה מזאת, אלן מסמר מ- Network World מציעה כי סנורט מצא את עצמו במהירות ביריבות עם המחלקה לביטחון פנים המזהה "סוריקטה 1.0", שתומכיה טוענים שהיא תומכת בריבוי מרוצים. עם זאת, יש לציין כי טענות אלה חולקו בתוקף על ידי מייסד סנורט.

העתיד של נורט

האם נורט עדיין מועיל? זה תלוי בתרחיש. האקרים שיודעים לנצל את החסרונות הרב-סתיים של סנורט ישמחו לדעת שהאמצעי היחיד של רשת מסוימת לגילוי חדירות הוא Snort 2.x. עם זאת, מעולם לא נועד סנורט להיות פיתרון האבטחה לשום רשת. סנורט תמיד נחשב ככלי פסיבי המשרת מטרה מסוימת מבחינת ניתוח מנות רשת ופלילי רשת. אם המשאבים מוגבלים, מנהל מערכת נבון עם ידע רב בלינוקס עשוי לשקול לפרוס את Snort בהתאם לשאר הרשת שלו. למרות שזה עשוי להיות חסרונות, Snort עדיין מספק את הערך הגדול ביותר בעלות הנמוכה ביותר. (על מחוזות לינוקס בלינוקס: Bastion of Freedom.)

נחר וערך גילוי הבלתי ניתן לגילוי