Casa Sicurezza Snort e il valore di rilevare l'inosservabile

Snort e il valore di rilevare l'inosservabile

Sommario:

Anonim

Ci sono molti casi in cui le reti sono state violate, sono state lette illegalmente o disabilitate in modo efficace. L'ormai famigerato hacking del 2006 della rete TJ Maxx è stato ben documentato, sia in termini di mancanza di due diligence da parte di TJ Maxx sia di conseguenze legali subite dalla società di conseguenza. Aggiungete a ciò il livello di danno arrecato a migliaia di clienti di TJ Maxx e diventa subito evidente l'importanza di allocare risorse per la sicurezza della rete.


Su ulteriori analisi dell'hacking di TJ Maxx, è possibile indicare un punto tangibile nel tempo in cui l'incidente è stato finalmente notato e mitigato. Ma che dire degli incidenti di sicurezza che passano inosservati? E se un giovane hacker intraprendente fosse abbastanza discreto da sottrarre minuscole informazioni vitali da una rete in un modo che non lascia gli amministratori di sistema più saggi? Per combattere meglio questo tipo di scenario, gli amministratori della sicurezza / del sistema possono prendere in considerazione Snort Intrusion Detection System (IDS).

Inizi di Snort

Nel 1998, Snort è stato rilasciato dal fondatore di Sourcefire Martin Roesch. A quel tempo, era fatturato come un leggero sistema di rilevamento delle intrusioni che funzionava principalmente su sistemi operativi Unix e simili a Unix. All'epoca, l'implementazione di Snort era considerata all'avanguardia, poiché divenne rapidamente lo standard di fatto nei sistemi di rilevamento delle intrusioni di rete. Scritto nel linguaggio di programmazione C, Snort guadagnò rapidamente popolarità mentre gli analisti della sicurezza si avvicinavano alla granularità con cui poteva essere configurato. Snort è anche completamente open source e il risultato è stato un software molto robusto e molto popolare che ha resistito a una grande quantità di controlli nella comunità open source.

Fondamenti di Snort

Al momento in cui scrivo, l'attuale versione di produzione di Snort è 2.9.2. Mantiene tre modalità operative: modalità Sniffer, modalità logger di pacchetti e modalità di rilevamento e prevenzione delle intrusioni di rete (IDS / IPS).


La modalità Sniffer comporta poco più che l'acquisizione di pacchetti mentre si incrociano con qualunque scheda di interfaccia di rete (NIC) Snort sia installata. Gli amministratori della sicurezza possono utilizzare questa modalità per decifrare quale tipo di traffico viene rilevato nella scheda di rete e quindi ottimizzare la loro configurazione di Snort di conseguenza. Va notato che non esiste alcuna registrazione in questa modalità, quindi tutti i pacchetti che entrano nella rete vengono semplicemente visualizzati in un flusso continuo sulla console. Al di fuori della risoluzione dei problemi e dell'installazione iniziale, questa particolare modalità ha poco valore in sé e per sé, poiché la maggior parte degli amministratori di sistema viene servita meglio usando qualcosa come l'utilità tcpdump o Wireshark.


La modalità di registrazione dei pacchetti è molto simile alla modalità sniffer, ma una differenza chiave dovrebbe essere evidente nel nome di questa particolare modalità. La modalità di registrazione dei pacchetti consente agli amministratori di sistema di registrare qualsiasi pacchetto scenda in posizioni e formati preferiti. Ad esempio, se un amministratore di sistema desidera registrare i pacchetti in una directory denominata / accedere a un nodo specifico all'interno della rete, creerebbe prima la directory su quel particolare nodo. Sulla riga di comando, avrebbe istruito Snort a registrare i pacchetti di conseguenza. Il valore in modalità logger di pacchetti è nel record mantenendo l'aspetto inerente al suo nome, in quanto consente agli analisti della sicurezza di esaminare la cronologia di una determinata rete.


OK. Tutte queste informazioni sono belle da sapere, ma dov'è il valore aggiunto? Perché un amministratore di sistema dovrebbe dedicare tempo e fatica all'installazione e alla configurazione di Snort quando Wireshark e Syslog possono eseguire praticamente gli stessi servizi con un'interfaccia molto più carina? La risposta a queste domande molto pertinenti è la modalità del sistema di rilevamento delle intrusioni di rete (NIDS).


La modalità Sniffer e la modalità logger dei pacchetti sono i trampolini di lancio verso ciò che Snort è veramente: la modalità NIDS. La modalità NIDS si basa principalmente sul file di configurazione dello snort (comunemente noto come snort.conf), che contiene tutti i set di regole che una tipica distribuzione di Snort consulta prima di inviare avvisi agli amministratori di sistema. Ad esempio, se un amministratore desidera attivare un avviso ogni volta che il traffico FTP entra e / o esce dalla rete, farebbe semplicemente riferimento al file delle regole appropriato all'interno di snort.conf e voilà! Verrà attivato un avviso di conseguenza. Come si può immaginare, la configurazione di snort.conf può diventare estremamente granulare in termini di avvisi, protocolli, determinati numeri di porta e qualsiasi altra euristica che un amministratore di sistema possa ritenere rilevante per la sua particolare rete.

Dove Snort arriva breve

Poco dopo che Snort ha iniziato a guadagnare popolarità, il suo unico difetto era il livello di talento della persona che lo stava configurando. Con il passare del tempo, tuttavia, i computer più elementari hanno iniziato a supportare più processori e molte reti locali hanno iniziato ad avvicinarsi a velocità di 10 Gbps. Snort è stato costantemente considerato "leggero" per tutta la sua storia e questo moniker è rilevante fino ad oggi. Quando eseguito dalla riga di comando, la latenza dei pacchetti non è mai stata un grosso ostacolo, ma negli ultimi anni un concetto noto come multithreading ha davvero iniziato a prendere piede mentre molte applicazioni tentano di sfruttare i suddetti processori multipli. Nonostante diversi tentativi di superare il problema del multithreading, Roesch e il resto del team di Snort non sono stati in grado di produrre risultati tangibili. Snort 3.0 doveva essere rilasciato nel 2009, ma non era ancora stato reso disponibile al momento della stesura. Inoltre, Ellen Messmer di Network World suggerisce che Snort si è rapidamente trovato in una rivalità con l'IDS del Dipartimento della sicurezza nazionale noto come Suricata 1.0, i cui sostenitori suggeriscono che supporta il multithreading. Tuttavia, va notato che queste affermazioni sono state contestate con veemenza dal fondatore di Snort.

Il futuro di Snort

Snort è ancora utile? Questo dipende dallo scenario. Gli hacker che sanno come sfruttare le carenze del multithreading di Snort sarebbero lieti di sapere che l'unico mezzo di una determinata rete per rilevare le intrusioni è Snort 2.x. Tuttavia, Snort non è mai stato pensato per essere la soluzione di sicurezza per nessuna rete. Snort è sempre stato considerato uno strumento passivo che ha uno scopo particolare in termini di analisi dei pacchetti di rete e analisi forensi della rete. Se le risorse sono limitate, un saggio amministratore di sistema con una conoscenza approfondita di Linux potrebbe prendere in considerazione la distribuzione di Snort in linea con il resto della sua rete. Sebbene possa avere i suoi difetti, Snort offre comunque il massimo valore al minor costo. (sulle distro Linux in Linux: Bastion of Freedom.)

Snort e il valore di rilevare l'inosservabile