İçindekiler:
Ağların saldırıya uğradığı, yasa dışı olarak erişildiği veya etkin bir şekilde devre dışı bırakıldığı birçok durum vardır. TJ Maxx ağının şu anda meşhur 2006 hacklenmesi, hem TJ Maxx'in yeterince titiz olmaması ve bunun sonucunda şirketin maruz kaldığı yasal sonuçlar açısından iyi belgelenmiştir. Buna binlerce TJ Maxx müşterisine verilen zarar düzeyini de eklediğinizde, kaynakların ağ güvenliğine tahsis edilmesinin önemi hızla ortaya çıkmaktadır.
TJ Maxx hacklemesinin daha ileri analizlerinde, olayın nihayet farkedildiği ve azaltıldığı somut bir noktaya işaret etmek mümkündür. Ama fark edilmeyen güvenlik olayları ne olacak? Girişimci bir genç bilgisayar korsanı, ağdaki küçük hayati bilgileri sistem yöneticilerini akılsız bırakacak şekilde sifonlayacak kadar ihtiyatlıysa ne olur? Bu tür senaryolarla daha iyi mücadele etmek için, güvenlik / sistem yöneticileri Snort Saldırı Tespit Sistemini (IDS) düşünebilir.
Snort'un Başlangıcı
1998 yılında Snort, Sourcefire'ın kurucusu Martin Roesch tarafından serbest bırakıldı. O sırada, öncelikle Unix ve Unix benzeri işletim sistemlerinde çalışan hafif bir saldırı tespit sistemi olarak faturalandırıldı. O zaman, Snort'un konuşlandırılması, ağ saldırı tespit sistemlerinde hızla fiili standart haline geldiği için son teknoloji olarak kabul edildi. C programlama dilinde yazılan Snort, güvenlik analistlerinin yapılandırılabileceği ayrıntı düzeyine doğru çekilmesiyle hızla popülerlik kazandı. Snort da tamamen açık kaynak ve sonuç, açık kaynak topluluğunda bol miktarda incelemeye dayanan çok sağlam, yaygın olarak kullanılan bir yazılım parçası oldu.Snort'un Temelleri
Bu yazı yazıldığı sırada Snort'un mevcut üretim versiyonu 2.9.2'dir. Üç çalışma modunu korur: Sniffer modu, paket kaydedici modu ve ağ saldırı tespit ve önleme sistemi (IDS / IPS) modu.
Sniffer modu, hangi ağ arabirim kartı (NIC) Snort'un yüklü olduğu yollarla kesiştikçe paketleri yakalamaktan biraz daha fazlasını içerir. Güvenlik yöneticileri, NIC'de ne tür bir trafik algılandığını çözmek için bu modu kullanabilir ve ardından Snort yapılandırmalarını buna göre ayarlayabilir. Bu modda hiçbir kayıt olmadığı unutulmamalıdır, bu nedenle ağa giren tüm paketler konsoldaki sürekli bir akışta görüntülenir. Çoğu sistem yöneticisi tcpdump yardımcı programı veya Wireshark gibi bir şey kullanılarak daha iyi hizmet verildiğinden, sorun giderme ve ilk kurulumun dışında, bu modun kendi başına çok az değeri vardır.
Paket günlüğü modu sniffer moduna çok benzer, ancak bu özel modun adında bir anahtar fark olmalıdır. Paket günlüğü modu, sistem yöneticilerinin tercih edilen yerlere ve biçimlere gelen paketleri günlüğe kaydetmelerini sağlar. Örneğin, bir sistem yöneticisi paketleri ağ içindeki belirli bir düğümde / log adlı bir dizine günlüğe kaydetmek istiyorsa, önce söz konusu düğümde dizini oluşturur. Komut satırında Snort'a paketleri buna göre kaydetmesini söylerdi. Paket kaydedici modundaki değer, güvenlik analistlerinin belirli bir ağın geçmişini incelemesine izin verdiği için adının doğasında bulunan kayıt tutma özelliğindedir.
TAMAM. Tüm bu bilgileri bilmek güzel, ama katma değer nerede? Bir sistem yöneticisi Wireshark ve Syslog neredeyse aynı hizmetleri çok daha güzel bir arayüzle gerçekleştirebildiğinde neden Snort'u kurmak ve yapılandırmak için zaman ve çaba harcamalıdır? Bu çok ilgili soruların cevabı ağ saldırı tespit sistemi (NIDS) modudur.
Sniffer modu ve paket kaydedici modu, Snort'un gerçekte ne olduğuna dair basamak taşlarıdır - NIDS modu. NIDS modu, genellikle sistem yöneticilerine uyarı göndermeden önce tipik bir Snort dağıtımının başvurduğu tüm kural kümelerini içeren snort yapılandırma dosyasına (genellikle snort.conf olarak adlandırılır) dayanır. Örneğin, bir yönetici FTP trafiği her ağa girdiğinde ve / veya ağdan her çıktığında bir uyarı tetiklemek istiyorsa, snort.conf ve voila içindeki uygun kurallar dosyasına başvurur! Buna göre bir uyarı tetiklenir. Tahmin edilebileceği gibi, snort.conf yapılandırması, uyarılar, protokoller, belirli bağlantı noktası numaraları ve bir sistem yöneticisinin belirli ağıyla ilgili olduğunu düşündüğü diğer sezgisel açıdan son derece ayrıntılı olabilir.
Snort Kısa Nerede Geliyor
Snort popülerlik kazanmaya başladıktan kısa bir süre sonra, tek eksikliği onu yapılandıran kişinin yetenek seviyesiydi. Ancak zaman geçtikçe, en temel bilgisayarlar birden fazla işlemciyi desteklemeye başladı ve birçok yerel alan ağı 10 Gbps hıza yaklaşmaya başladı. Snort, tarihi boyunca sürekli olarak "hafif" olarak faturalandırıldı ve bu takma ad bugünle ilgilidir. Komut satırında çalıştırıldığında, paket gecikmesi hiç bu kadar engel olmamıştı, ancak son yıllarda çok iş parçacığı olarak bilinen bir kavram, birçok uygulama yukarıda belirtilen çoklu işlemcilerden yararlanmaya çalıştığından gerçekten tutmaya başladı. Çok iş parçacığı sorununun üstesinden gelmek için yapılan bazı girişimlere rağmen, Roesch ve Snort ekibinin geri kalanı somut sonuçlar üretemedi. Snort 3.0'ın 2009'da piyasaya sürülmesi bekleniyordu, ancak henüz yazı yazılmadı. Ayrıca, Network World'den Ellen Messmer, Snort'un, savunucuları çok iş parçacığını desteklediğini önerdiği Suricata 1.0 olarak bilinen İç Güvenlik IDS Departmanı ile hızla bir rekabet içinde olduğunu önermektedir. Ancak, bu iddiaların Snort'un kurucusu tarafından şiddetle tartışıldığı unutulmamalıdır.Snort'un Geleceği
Snort hala faydalı mı? Bu senaryoya bağlıdır. Snort'un çok iş parçacıklı eksikliklerinden nasıl yararlanacağını bilen bilgisayar korsanları, belirli bir ağın izinsiz girişleri tespit etmenin tek yolunun Snort 2.x olduğunu bilmekten mutluluk duyacaktır. Bununla birlikte, Snort hiçbir zaman herhangi bir ağ için güvenlik çözümü olmadı. Snort, her zaman ağ paketi analizi ve ağ adli tıp açısından belirli bir amaca hizmet eden pasif bir araç olarak düşünülmüştür. Kaynaklar sınırlıysa, Linux'ta çok fazla bilgiye sahip olan akıllı bir sistem yöneticisi Snort'u ağının geri kalanına göre dağıtmayı düşünebilir. Eksiklikleri olsa da, Snort hala en düşük maliyetle en büyük değeri sağlar. (Linux'taki Linux dağıtımları hakkında: Özgürlük Tabyası.)
