Inhoudsopgave:
Er zijn veel gevallen waarin netwerken worden gehackt, onrechtmatig worden geopend of effectief worden uitgeschakeld. De nu beruchte hacking van 2006 van het TJ Maxx-netwerk is goed gedocumenteerd - zowel in termen van gebrek aan due diligence van TJ Maxx als de juridische gevolgen die het bedrijf als gevolg daarvan heeft geleden. Voeg hier het niveau van schade aan aan duizenden TJ Maxx-klanten en het belang van het toewijzen van middelen voor netwerkbeveiliging wordt snel duidelijk.
Bij verdere analyse van de TJ Maxx-hacking is het mogelijk om naar een tastbaar tijdstip te wijzen waar het incident eindelijk werd opgemerkt en beperkt. Maar hoe zit het met de beveiligingsincidenten die onopgemerkt blijven? Wat als een ondernemende jonge hacker discreet genoeg is om kleine stukjes vitale informatie uit een netwerk te overhevelen op een manier die systeembeheerders niet wijzer maakt? Om dit soort scenario's beter te bestrijden, kunnen beveiligings- / systeembeheerders het Snort Intrusion Detection System (IDS) overwegen.
Begin van Snort
In 1998 werd Snort uitgebracht door Sourcefire-oprichter Martin Roesch. Destijds werd het gefactureerd als een lichtgewicht inbraakdetectiesysteem dat voornamelijk functioneerde op Unix- en Unix-achtige besturingssystemen. Destijds werd de inzet van Snort als de allernieuwste beschouwd, omdat het al snel de de facto standaard werd in netwerkintrusiedetectiesystemen. Geschreven in de C programmeertaal, werd Snort snel populair toen beveiligingsanalisten zich aangetrokken voelden tot de granulariteit waarmee het kon worden geconfigureerd. Snort is ook volledig open source, en het resultaat is een zeer robuust, alom populair stuk software dat in de open source-gemeenschap voldoende controle heeft doorstaan.Snort Fundamentals
Op het moment van schrijven is de huidige productieversie van Snort 2.9.2. Het handhaaft drie werkingsmodi: Sniffer-modus, pakketlogger-modus en netwerkinbraakdetectie en preventiesysteem (IDS / IPS) modus.
De sniffer-modus omvat niet veel meer dan het vastleggen van pakketten terwijl ze paden kruisen met de netwerkinterface-kaart (NIC) waarop Snort is geïnstalleerd. Beveiligingsbeheerders kunnen deze modus gebruiken om te ontcijferen welk type verkeer op de NIC wordt gedetecteerd en kunnen vervolgens hun configuratie van Snort dienovereenkomstig afstemmen. Opgemerkt moet worden dat er geen logboekregistratie is in deze modus, dus alle pakketten die het netwerk binnenkomen, worden eenvoudig weergegeven in één continue stream op de console. Buiten het oplossen van problemen en de eerste installatie, heeft deze specifieke modus op zichzelf weinig waarde, omdat de meeste systeembeheerders beter worden bediend door zoiets als het hulpprogramma tcpdump of Wireshark.
De pakketregistratiemodus lijkt erg op de sniffer-modus, maar een belangrijk verschil moet duidelijk zijn in de naam van deze specifieke modus. Met de pakketregistratiemodus kunnen systeembeheerders registreren welke pakketten naar voorkeurslocaties en -formaten worden verzonden. Als een systeembeheerder bijvoorbeeld pakketten in een map met de naam / log op een specifiek knooppunt in het netwerk wil loggen, maakt hij eerst de map op dat specifieke knooppunt. Op de opdrachtregel zou hij Snort opdracht geven om pakketten dienovereenkomstig te loggen. De waarde in de pakketregistratiemodus zit in het archiveringsaspect dat inherent is aan de naam, omdat beveiligingsanalisten de geschiedenis van een bepaald netwerk kunnen onderzoeken.
OK. Al deze informatie is leuk om te weten, maar waar is de toegevoegde waarde? Waarom zou een systeembeheerder tijd en moeite besteden aan het installeren en configureren van Snort wanneer Wireshark en Syslog vrijwel dezelfde services kunnen uitvoeren met een veel mooiere interface? Het antwoord op deze zeer relevante vragen is de NIDS-modus (Network Intrusion Detection System).
Sniffer-modus en pakket-logger-modus zijn stapstenen op weg naar waar Snort echt om draait - NIDS-modus. De NIDS-modus is voornamelijk afhankelijk van het snortconfiguratiebestand (gewoonlijk snort.conf genoemd), dat alle regelsets bevat die een typische Snort-implementatie raadpleegt voordat waarschuwingen naar systeembeheerders worden verzonden. Als een beheerder bijvoorbeeld een waarschuwing wil activeren telkens wanneer FTP-verkeer het netwerk binnenkomt en / of het netwerk verlaat, verwijst ze eenvoudigweg naar het juiste regelsbestand in snort.conf en voila! Een waarschuwing wordt dienovereenkomstig geactiveerd. Zoals u zich kunt voorstellen, kan de configuratie van snort.conf extreem gedetailleerd worden wat betreft waarschuwingen, protocollen, bepaalde poortnummers en andere heuristieken die volgens een systeembeheerder relevant kunnen zijn voor haar specifieke netwerk.
Waar snort kort komt
Kort nadat Snort aan populariteit begon te winnen, was de enige tekortkoming het talentniveau van de persoon die het configureerde. Naarmate de tijd verstreek, begonnen de meest basale computers meerdere processors te ondersteunen en veel lokale netwerken benaderden snelheden van 10 Gbps. Snort is door de hele geschiedenis heen als "lichtgewicht" gefactureerd en deze naam is tot op de dag van vandaag relevant. Wanneer het op de opdrachtregel wordt uitgevoerd, is pakketlatentie nooit een groot obstakel geweest, maar in de afgelopen jaren is een concept dat bekend staat als multithreading echt begonnen aan te nemen, omdat veel toepassingen proberen te profiteren van de bovengenoemde meerdere processors. Ondanks verschillende pogingen om het multithreading-probleem te overwinnen, hebben Roesch en de rest van het Snort-team geen tastbare resultaten kunnen produceren. Snort 3.0 zou in 2009 uitkomen, maar was nog niet beschikbaar gesteld op het moment van schrijven. Bovendien suggereert Ellen Messmer van Network World dat Snort snel in een rivaliteit is geraakt met het Department of Homeland Security IDS bekend als Suricata 1.0, wiens voorstanders suggereren dat het multithreading ondersteunt. Er moet echter worden opgemerkt dat deze claims door de oprichter van Snort fel zijn betwist.Snort's Future
Is Snort nog steeds nuttig? Dit is afhankelijk van het scenario. Hackers die weten hoe ze moeten profiteren van de multithreading-tekortkomingen van Snort, zouden graag willen weten dat Snort 2.x het enige middel is om inbraken te detecteren. Snort was echter nooit bedoeld als DE beveiligingsoplossing voor elk netwerk. Snort is altijd beschouwd als een passieve tool die een bepaald doel dient in termen van netwerkpakketanalyse en netwerkforensisch onderzoek. Als de middelen beperkt zijn, kan een wijze systeembeheerder met veel kennis van Linux overwegen om Snort in te zetten in overeenstemming met de rest van zijn of haar netwerk. Hoewel het misschien zijn tekortkomingen heeft, biedt Snort nog steeds de grootste waarde tegen de laagste kosten. (over Linux distros in Linux: Bastion of Freedom.)
