安全 鼻息和检测到不可检测的价值

鼻息和检测到不可检测的价值

目录:

Anonim

在许多情况下,网络被黑,被非法访问或被有效禁用。 TJ Maxx网络目前臭名昭著的2006年骇客事件已得到充分记录-既由于TJ Maxx缺乏尽职调查,也因此公司遭受了法律后果。 除此之外,对成千上万的TJ Maxx客户造成的危害程度也越来越明显,迅速为网络安全分配资源的重要性变得显而易见。


在对TJ Maxx黑客行为进行进一步分析时,有可能指向一个具体的时间点,该事件最终被发现并得到缓解。 但是,那些没有引起注意的安全事件呢? 如果一个进取的年轻黑客足够谨慎,以一种使系统管理员毫无智慧的方式从网络中窃取微小的重要信息,该怎么办? 为了更好地应对这种情况,安全/系统管理员可以考虑使用Snort入侵检测系统(IDS)。

Snort的开始

1998年,Snort由Sourcefire创始人Martin Roesch发布。 当时,它被称为轻型入侵检测系统,主要在Unix和类似Unix的操作系统上运行。 当时,Snort的部署被认为是最前沿的,因为它很快成为网络入侵检测系统中的事实上的标准。 用C编程语言编写的Snort迅速流行起来,因为安全分析师倾向于使用可配置的粒度。 Snort也是完全开源的,其结果是产生了非常强大,广受欢迎的软件,它经受了开源社区的大量审查。

Snort基础知识

在撰写本文时,Snort的当前生产版本为2.9.2。 它保持三种操作模式:嗅探器模​​式,数据包记录器模式和网络入侵检测与防御系统(IDS / IPS)模式。


嗅探器模式仅涉及捕获数据包,因为它们与安装了Snort的任何网络接口卡(NIC)穿越路径时都可以捕获。 安全管理员可以使用此模式来解密在NIC上检测到的流量类型,然后可以相应地调整其Snort配置。 应该注意的是,在此模式下没有日志记录,因此所有进入网络的数据包仅在控制台上连续显示一个流。 除了故障排除和初始安装之外,这种特殊模式本身没有什么价值,因为使用tcpdump实用程序或Wireshark之​​类的工具可以为大多数系统管理员提供更好的服务。


数据包记录器模式与嗅探器模式非常相似,但是在此特定模式的名称上应该有一个明显的区别。 数据包记录器模式使系统管理员可以记录所有出现在首选位置和格式的数据包。 例如,如果系统管理员希望将数据包登录到网络中特定节点上名为/ log的目录中,则他将首先在该特定节点上创建目录。 在命令行上,他将指示Snort相应地记录数据包。 数据包记录器模式中的值是其名称所固有的记录保持方面,因为它允许安全分析人员检查给定网络的历史记录。


好。 所有这些信息都很高兴知道,但是增加值在哪里? 当Wireshark和Syslog可以通过更漂亮的界面执行几乎相同的服务时,为什么系统管理员应该花时间和精力安装和配置Snort? 这些非常相关的问题的答案是网络入侵检测系统(NIDS)模式。


嗅探器模式和数据包记录器模式是通往Snort真正意义所在-NIDS模式的垫脚石。 NIDS模式主要依赖于snort配置文件(通常称为snort.conf),该文件包含典型的Snort部署在向系统管理员发送警报之前要查阅的所有规则集。 例如,如果管理员希望每次FTP流量进入和/或离开网络时都触发警报,则她只需引用snort.conf中的适当规则文件,瞧! 将相应地触发警报。 可以想象,snort.conf的配置在警报,协议,某些端口号以及系统管理员可能认为与其特定网络有关的任何其他启发式方法方面都变得极为精细。

Snort出现的地方

Snort开始流行后不久,它的唯一缺点是配置它的人员的才能水平。 但是,随着时间的流逝,最基本的计算机开始支持多个处理器,并且许多局域网开始接近10 Gbps的速度。 Snort在其整个历史上一直被誉为“轻量级”,这个绰号与今天有关。 当在命令行上运行时,数据包延迟从来就不是什么大障碍,但是近年来,由于许多应用程序试图利用上述多个处理器,因此称为多线程的概念已真正开始流行起来。 尽管已尝试解决多线程问题,但Roesch和Snort团队的其他成员仍未产生任何切实的结果。 Snort 3.0将于2009年发布,但在撰写本文时尚未提供。 此外,《网络世界》的艾伦·梅斯默(Ellen Messmer)提出,斯诺特已迅速与国土安全部IDS称为Suricata 1.0竞争,后者的支持者表示它支持多线程。 但是,应该指出的是,Snort的创始人强烈质疑这些主张。

斯诺特的未来

Snort仍然有用吗? 这取决于方案。 知道如何利用Snort多线程缺陷的黑客将很高兴得知给定网络检测入侵的唯一手段是Snort2.x。 但是,Snort绝不是要成为任何网络的安全解决方案。 Snort一直被认为是一种被动工具,可以在网络数据包分析和网络取证方面达到特定目的。 如果资源有限,明智的系统管理员应具有Linux方面的丰富知识,可以考虑根据其网络的其余部分来部署Snort。 尽管Snort有其缺点,但它仍以最低的成本提供了最大的价值。 (关于Linux中的Linux发行版:自由堡垒。)

鼻息和检测到不可检测的价值