Casa Seguretat Snort i el valor de detectar l'indetectable

Snort i el valor de detectar l'indetectable

Taula de continguts:

Anonim

Hi ha molts casos en què les xarxes es pirategen, s’accedeix il·legalment o es desactiva de manera efectiva. L’ara famós pirateria del 2006 de la xarxa TJ Maxx ha estat ben documentat, tant pel que fa a la falta de diligència deguda per part de TJ Maxx com per les ramificacions legals que pateix l’empresa com a resultat. A això s'afegeix ràpidament el nivell de perjudici causat per milers de clients de TJ Maxx i la importància d'assignar recursos a la seguretat de la xarxa.


Si es fa una anàlisi més detallada de la pirateria informàtica TJ Maxx, és possible indicar un moment tangible en el qual finalment es va notar i pal·liar l'incident. Però, i els incidents de seguretat que passen desapercebuts? Què passa si un jove hacker emprenedor és prou discret per sifonar petites dades d’informació vital d’una xarxa de manera que els administradors del sistema no siguin més savis? Per combatre millor aquest tipus d’escenaris, els administradors de seguretat / sistema poden considerar el sistema de detecció d’intrusions de snort (IDS).

Inicis de Snort

El 1998, Snort va ser llançat pel fundador de Sourcefire, Martin Roesch. En aquell moment, es facturava com un sistema lleuger de detecció d’intrusions que funcionava principalment en sistemes operatius com Unix i Unix. En aquell moment, es va considerar que el desplegament de Snort va ser l'avantguarda, ja que es va convertir ràpidament en l'estàndard de facto en els sistemes de detecció d'intrusions de xarxa. Escrit en el llenguatge de programació C, Snort va guanyar ràpidament popularitat a mesura que els analistes de seguretat gravitaven fins a la granularitat amb la qual es podia configurar. Snort també és completament de codi obert, i el resultat ha estat un programari molt robust i àmpliament popular que ha resistit una gran quantitat d’escrutini a la comunitat de codi obert.

Fonaments bàsics

Al moment d’aquest escrit, la versió actual de producció de Snort és 2.9.2. Manté tres modes de funcionament: mode Sniffer, mode registrador de paquets i mode de prevenció d’intrusions de xarxa i sistema de prevenció (IDS / IPS).


El mode Sniffer implica poc més que capturar paquets ja que creuen recorreguts amb la targeta d'interfície de xarxa (NIC) Snort instal·lada. Els administradors de seguretat poden utilitzar aquest mode per desxifrar quin tipus de trànsit s'està detectant a la NIC, i poden ajustar la seva configuració de Snort en conseqüència. Cal tenir en compte que no hi ha cap registre en aquest mode, de manera que tots els paquets que entren a la xarxa es mostren simplement en un flux continu a la consola. Fora de la resolució de problemes i la instal·lació inicial, aquest mode en particular té poc valor en si mateix, ja que la majoria dels administradors del sistema serveixen millor utilitzant alguna cosa com la utilitat tcpdump o Wireshark.


El mode registrador de paquets és molt semblant al mode sniffer, però en el nom d’aquest mode en concret s’hauria de fer evident una diferència de clau. El mode registrador de paquets permet als administradors del sistema registrar qualsevol cosa que es descendeixi en paquets i formats preferits. Per exemple, si un administrador del sistema vol registrar els paquets en un directori anomenat / registre en un node específic de la xarxa, primer crearia el directori en aquest node concret. A la línia d’ordres, instruiria a Snort que registrés els paquets en conseqüència. El valor del mode registrador de paquets està en l’aspecte de manteniment de registres inherent al seu nom, ja que permet als analistes de seguretat examinar l’historial d’una xarxa determinada.


D'ACORD. Tota aquesta informació és agradable de conèixer, però, on és el valor afegit? Per què un administrador del sistema ha de dedicar temps i esforç a instal·lar i configurar Snort quan Wireshark i Syslog poden realitzar pràcticament els mateixos serveis amb una interfície molt més bonica? La resposta a aquestes preguntes molt rellevants és el mode del sistema de detecció d’intrusions de xarxa (NIDS).


El mode sniffer i el mode logger de paquets estan obrint pas cap a allò que és realment Snort: el mode NIDS. El mode NIDS es basa principalment en el fitxer de configuració de snort (normalment anomenat snort.conf), que conté tots els conjunts de regles que un desplegament típic de Snort consulta abans d’enviar alertes als administradors del sistema. Per exemple, si un administrador vol activar una alerta cada vegada que el trànsit FTP entra i / o surt de la xarxa, simplement es referiria al fitxer de regles adequat dins snort.conf i voila! En conseqüència, es desencadenarà una alerta. Com es pot imaginar, la configuració de snort.conf pot ser extremadament granular quant a alertes, protocols, determinats números de port i qualsevol altra eurística que un administrador del sistema pugui considerar que és rellevant per a la seva xarxa en particular.

On Snort és curt

Poc després que Snort comencés a guanyar popularitat, la seva única mancança era el nivell de talent de la persona que la configurava. Amb el pas del temps, però, els ordinadors més bàsics van començar a suportar diversos processadors i moltes xarxes d'àrea local van començar a apropar-se a velocitats de 10 Gbps. Snort ha estat constantment facturat com a "lleuger" al llarg de la seva història, i aquest moniker és rellevant per als nostres dies. Quan s’executa a la línia d’ordres, la latència de paquets no ha estat mai un obstacle, però en els darrers anys un concepte conegut com multithreading ha començat a agafar força ja que moltes aplicacions intenten aprofitar els processadors múltiples esmentats anteriorment. Malgrat diversos intents de superar la qüestió multitreta, Roesch i la resta de l’equip de Snort no han pogut produir resultats tangibles. Snort 3.0 es va publicar el 2009, però encara no estava disponible a l’hora d’escriure. D'altra banda, Ellen Messmer de Network World suggereix que Snort s'ha trobat ràpidament en una rivalitat amb el Departament de Seguretat Nacional IDS conegut com a Suricata 1.0, els promotors del qual suggereixen que dóna suport al multitreball. Tot i això, cal destacar que aquestes afirmacions han estat disputades vehement pel fundador de Snort.

El futur de Snort

Encara és útil Snort? Això depèn de l'escenari. Els pirates informàtics que saben aprofitar les mancances multitreballs de Snort estarien encantats de saber que l’únic mitjà de detecció d’una xarxa determinada és Snort 2.x. Tanmateix, Snort mai va ser la solució de seguretat de cap xarxa. Snort sempre s’ha considerat una eina passiva que serveix per a un propòsit particular en termes d’anàlisi de paquets de xarxa i forenses de xarxa. Si els recursos són limitats, un administrador de sistemes encertat amb un coneixement ampli en Linux podria plantejar desplegar Snort en línia amb la resta de la seva xarxa. Si bé pot tenir les seves mancances, Snort encara proporciona el valor més baix al menor cost. (sobre les distros de Linux a Linux: Bastió de la llibertat.)

Snort i el valor de detectar l'indetectable