Mục lục:
Có nhiều trường hợp mạng bị hack, truy cập bất hợp pháp hoặc bị vô hiệu hóa một cách hiệu quả. Vụ hack TJ Maxx năm 2006 khét tiếng hiện nay đã được ghi nhận rõ ràng - cả về sự thiếu siêng năng của TJ Maxx và sự phân nhánh pháp lý mà công ty phải gánh chịu. Thêm vào đó, mức độ gây hại cho hàng ngàn khách hàng của TJ Maxx và tầm quan trọng của việc phân bổ tài nguyên đối với an ninh mạng nhanh chóng trở nên rõ ràng.
Khi phân tích sâu hơn về vụ hack TJ Maxx, có thể chỉ ra một điểm hữu hình trong thời gian mà sự cố cuối cùng đã được chú ý và giảm nhẹ. Nhưng những gì về sự cố an ninh mà không được chú ý? Điều gì sẽ xảy ra nếu một hacker trẻ tuổi dám nghĩ dám làm đủ kín đáo để lọc những mẩu thông tin quan trọng từ mạng theo cách khiến các quản trị viên hệ thống không thể khôn ngoan hơn? Để chống lại loại kịch bản này tốt hơn, các quản trị viên hệ thống / bảo mật có thể xem xét Hệ thống phát hiện xâm nhập Snort (IDS).
Khởi đầu của Snort
Năm 1998, Snort được phát hành bởi người sáng lập Sourcefire Martin Roesch. Vào thời điểm đó, nó được coi là một hệ thống phát hiện xâm nhập hạng nhẹ, hoạt động chủ yếu trên các hệ điều hành giống như Unix và Unix. Vào thời điểm đó, việc triển khai Snort được coi là tiên tiến, vì nó nhanh chóng trở thành tiêu chuẩn thực tế trong các hệ thống phát hiện xâm nhập mạng. Được viết bằng ngôn ngữ lập trình C, Snort nhanh chóng trở nên phổ biến khi các nhà phân tích bảo mật hướng đến mức độ chi tiết mà nó có thể được cấu hình. Snort cũng hoàn toàn là nguồn mở và kết quả là một phần mềm rất mạnh mẽ, phổ biến rộng rãi, đã chịu được sự xem xét kỹ lưỡng trong cộng đồng nguồn mở.Nguyên tắc cơ bản
Tại thời điểm viết bài này, phiên bản sản xuất hiện tại của Snort là 2.9.2. Nó duy trì ba chế độ hoạt động: chế độ Sniffer, chế độ logger gói và chế độ phát hiện và ngăn chặn xâm nhập mạng (IDS / IPS).
Chế độ Sniffer liên quan nhiều hơn một chút so với việc bắt các gói khi chúng đi qua các đường dẫn với bất kỳ thẻ giao diện mạng (NIC) nào được cài đặt. Quản trị viên bảo mật có thể sử dụng chế độ này để giải mã loại lưu lượng truy cập nào được phát hiện tại NIC và sau đó có thể điều chỉnh cấu hình Snort của họ theo đó. Cần lưu ý rằng không có đăng nhập trong chế độ này, vì vậy tất cả các gói vào mạng chỉ được hiển thị trong một luồng liên tục trên bàn điều khiển. Ngoài việc khắc phục sự cố và cài đặt ban đầu, chế độ cụ thể này có rất ít giá trị, vì hầu hết các quản trị viên hệ thống được phục vụ tốt hơn bằng cách sử dụng một cái gì đó như tiện ích tcpdump hoặc Wireshark.
Chế độ logger gói rất giống với chế độ sniffer, nhưng một sự khác biệt chính phải được thể hiện rõ trong tên của chế độ cụ thể này. Chế độ ghi nhật ký gói cho phép quản trị viên hệ thống ghi nhật ký bất kỳ gói nào được gửi xuống các vị trí và định dạng ưa thích. Ví dụ: nếu quản trị viên hệ thống muốn đăng nhập các gói vào thư mục có tên / đăng nhập vào một nút cụ thể trong mạng, trước tiên anh ta sẽ tạo thư mục trên nút cụ thể đó. Trên dòng lệnh, anh ta sẽ hướng dẫn Snort ghi nhật ký các gói phù hợp. Giá trị trong chế độ logger gói nằm ở khía cạnh lưu giữ bản ghi vốn có trong tên của nó, vì nó cho phép các nhà phân tích bảo mật kiểm tra lịch sử của một mạng nhất định.
ĐỒNG Ý. Tất cả các thông tin này là tốt đẹp để biết, nhưng giá trị gia tăng ở đâu? Tại sao quản trị viên hệ thống nên dành thời gian và công sức để cài đặt và định cấu hình Snort khi Wireshark và Syslog có thể thực hiện các dịch vụ thực tế giống nhau với giao diện đẹp hơn nhiều? Câu trả lời cho những câu hỏi rất thích hợp này là chế độ phát hiện xâm nhập mạng (NIDS).
Chế độ Sniffer và chế độ ghi nhật ký gói đang bước đi trên con đường mà Snort thực sự hướng tới - chế độ NIDS. Chế độ NIDS chủ yếu dựa vào tệp cấu hình snort (thường được gọi là snort.conf), chứa tất cả các bộ quy tắc mà triển khai Snort điển hình trước khi gửi thông báo tới quản trị viên hệ thống. Ví dụ: nếu quản trị viên muốn kích hoạt cảnh báo mỗi khi lưu lượng truy cập FTP vào và / hoặc rời khỏi mạng, cô ấy chỉ cần tham khảo tệp quy tắc phù hợp trong snort.conf và voila! Một cảnh báo sẽ được kích hoạt tương ứng. Như mọi người có thể tưởng tượng, cấu hình của snort.conf có thể cực kỳ chi tiết về các cảnh báo, giao thức, số cổng nhất định và bất kỳ heuristic nào khác mà quản trị viên hệ thống có thể cảm thấy có liên quan đến mạng cụ thể của cô ấy.
Trường hợp Snort xuất hiện ngắn
Ngay sau khi Snort bắt đầu nổi tiếng, thiếu sót duy nhất của nó là mức độ tài năng của người định cấu hình nó. Tuy nhiên, khi thời gian trôi qua, các máy tính cơ bản nhất đã bắt đầu hỗ trợ nhiều bộ xử lý và nhiều mạng cục bộ bắt đầu đạt tốc độ 10 Gbps. Snort đã liên tục được lập hóa đơn là "nhẹ" trong suốt lịch sử của nó, và biệt danh này có liên quan đến ngày nay. Khi chạy trên dòng lệnh, độ trễ gói chưa bao giờ là một trở ngại, nhưng trong những năm gần đây, một khái niệm được gọi là đa luồng đã thực sự bắt đầu khi nhiều ứng dụng cố gắng tận dụng nhiều bộ xử lý nói trên. Mặc dù có nhiều nỗ lực khắc phục vấn đề đa luồng, Roesch và phần còn lại của nhóm Snort đã không thể tạo ra bất kỳ kết quả rõ ràng nào. Snort 3.0 dự kiến sẽ được phát hành vào năm 2009, nhưng vẫn chưa được cung cấp tại thời điểm viết bài. Hơn nữa, Ellen Messmer của Thế giới mạng cho thấy Snort đã nhanh chóng tìm thấy sự cạnh tranh với IDS Bộ An ninh Nội địa được gọi là Suricata 1.0, người đề xuất rằng nó hỗ trợ đa luồng. Tuy nhiên, cần lưu ý rằng những tuyên bố này đã bị tranh cãi kịch liệt bởi người sáng lập của Snort.Tương lai của Snort
Snort có còn hữu dụng không? Điều này phụ thuộc vào kịch bản. Các tin tặc biết cách tận dụng những thiếu sót đa luồng của Snort sẽ rất vui mừng khi biết rằng phương tiện duy nhất để phát hiện sự xâm nhập của một mạng là Snort 2.x. Tuy nhiên, Snort không bao giờ có nghĩa là giải pháp bảo mật cho bất kỳ mạng nào. Snort luôn được coi là một công cụ thụ động phục vụ một mục đích cụ thể về mặt phân tích gói mạng và pháp y mạng. Nếu tài nguyên bị hạn chế, một quản trị viên hệ thống khôn ngoan có kiến thức dồi dào về Linux có thể xem xét triển khai Snort phù hợp với phần còn lại của mạng. Mặc dù có thể có những thiếu sót, Snort vẫn cung cấp giá trị lớn nhất với chi phí thấp nhất. (về các bản phân phối Linux trong Linux: Bastion of Freedom.)