Inhaltsverzeichnis:
Es gibt viele Fälle, in denen Netzwerke gehackt, unrechtmäßig zugegriffen oder effektiv deaktiviert werden. Das mittlerweile berüchtigte Hacken des TJ Maxx-Netzwerks im Jahr 2006 wurde gut dokumentiert - sowohl im Hinblick auf die mangelnde Sorgfalt von TJ Maxx als auch auf die rechtlichen Konsequenzen, unter denen das Unternehmen zu leiden hat. Hinzu kommt, dass Tausenden von TJ Maxx-Kunden ein erheblicher Schaden zugefügt wurde und die Bedeutung der Ressourcenzuweisung für die Netzwerksicherheit schnell deutlich wird.
Bei der weiteren Analyse des TJ Maxx-Hacks kann auf einen konkreten Zeitpunkt hingewiesen werden, an dem der Vorfall endgültig bemerkt und entschärft wurde. Aber was ist mit den Sicherheitsvorfällen, die unbemerkt bleiben? Was ist, wenn ein unternehmungslustiger junger Hacker diskret genug ist, um winzige wichtige Informationen auf eine Weise aus einem Netzwerk zu entfernen, die den Systemadministratoren nichts vormacht? Um diese Art von Szenario besser zu bekämpfen, können Sicherheits- / Systemadministratoren das Snort Intrusion Detection System (IDS) in Betracht ziehen.
Anfänge von Snort
1998 wurde Snort vom Sourcefire-Gründer Martin Roesch veröffentlicht. Zu dieser Zeit wurde es als leichtgewichtiges Intrusion Detection-System in Rechnung gestellt, das hauptsächlich auf Unix- und Unix-ähnlichen Betriebssystemen funktioniert. Zu dieser Zeit galt der Einsatz von Snort als wegweisend, da er sich schnell zum De-facto-Standard für Systeme zur Erkennung von Netzwerkeinbrüchen entwickelte. In der Programmiersprache C verfasst, gewann Snort schnell an Popularität, da sich Sicherheitsanalysten auf die Granularität konzentrierten, mit der es konfiguriert werden konnte. Snort ist auch vollständig Open Source und das Ergebnis ist eine sehr robuste, weit verbreitete Software, die in der Open Source-Community zahlreichen Prüfungen standgehalten hat.Schnauben Grundlagen
Zum Zeitpunkt dieses Schreibens ist die aktuelle Produktionsversion von Snort 2.9.2. Es verfügt über drei Betriebsmodi: Sniffer-Modus, Paketlogger-Modus und IDS / IPS-Modus (Network Intrusion Detection and Prevention System).
Im Sniffer-Modus müssen Pakete lediglich erfasst werden, da sie sich mit der Netzwerkkarte (NIC) kreuzen, auf der Snort installiert ist. Sicherheitsadministratoren können diesen Modus verwenden, um zu entschlüsseln, welche Art von Datenverkehr auf der Netzwerkkarte erkannt wird, und können dann die Konfiguration von Snort entsprechend anpassen. Es sollte beachtet werden, dass in diesem Modus keine Protokollierung stattfindet, sodass alle Pakete, die in das Netzwerk gelangen, einfach in einem fortlaufenden Stream auf der Konsole angezeigt werden. Abgesehen von der Fehlerbehebung und der Erstinstallation hat dieser spezielle Modus an sich nur geringen Wert, da die meisten Systemadministratoren besser mit dem Dienstprogramm tcpdump oder Wireshark bedient werden können.
Der Paket-Logger-Modus ist dem Sniffer-Modus sehr ähnlich, jedoch sollte ein wesentlicher Unterschied im Namen dieses bestimmten Modus erkennbar sein. Im Paketprotokollierungsmodus können Systemadministratoren alle Pakete protokollieren, die an bevorzugten Orten und Formaten eingehen. Wenn ein Systemadministrator beispielsweise Pakete in einem Verzeichnis mit dem Namen / log auf einem bestimmten Knoten im Netzwerk protokollieren möchte, erstellt er zuerst das Verzeichnis auf diesem bestimmten Knoten. In der Befehlszeile wies er Snort an, die Pakete entsprechend zu protokollieren. Der Wert im Paket-Logger-Modus liegt im Aufzeichnungsaspekt, der seinem Namen innewohnt, da Sicherheitsanalysten den Verlauf eines bestimmten Netzwerks untersuchen können.
IN ORDNUNG. All diese Informationen sind gut zu wissen, aber wo liegt der Mehrwert? Warum sollte ein Systemadministrator Zeit und Mühe aufwenden, um Snort zu installieren und zu konfigurieren, wenn Wireshark und Syslog praktisch dieselben Dienste mit einer viel schöneren Oberfläche ausführen können? Die Antwort auf diese sehr wichtigen Fragen ist der NIDS-Modus (Network Intrusion Detection System).
Sniffer-Modus und Packet Logger-Modus sind Meilensteine auf dem Weg zu dem, worum es bei Snort wirklich geht - dem NIDS-Modus. Der NIDS-Modus basiert hauptsächlich auf der snort-Konfigurationsdatei (im Allgemeinen als snort.conf bezeichnet), die alle Regelsätze enthält, die eine typische Snort-Bereitstellung vor dem Senden von Warnungen an Systemadministratoren verwendet. Wenn ein Administrator beispielsweise jedes Mal eine Warnung auslösen möchte, wenn FTP-Verkehr in das Netzwerk eintritt und / oder das Netzwerk verlässt, verweist er einfach auf die entsprechende Regeldatei in snort.conf und voila! Ein Alarm wird entsprechend ausgelöst. Wie man sich vorstellen kann, kann die Konfiguration der snort.conf in Bezug auf Warnungen, Protokolle, bestimmte Portnummern und jede andere Heuristik, die ein Systemadministrator für relevant hält, äußerst detailliert sein.
Wo Snort zu kurz kommt
Kurz nachdem Snort an Popularität gewonnen hatte, war sein einziges Manko das Talentniveau der Person, die es konfigurierte. Mit der Zeit unterstützten die grundlegendsten Computer jedoch mehrere Prozessoren, und viele lokale Netzwerke näherten sich einer Geschwindigkeit von 10 Gbit / s. Snort wurde in seiner gesamten Geschichte stets als "leichtgewichtig" eingestuft, und dieser Spitzname ist bis heute relevant. Bei der Ausführung über die Befehlszeile war die Paketlatenz noch nie ein großes Hindernis. In den letzten Jahren hat jedoch ein als Multithreading bezeichnetes Konzept zunehmend an Bedeutung gewonnen, da viele Anwendungen versuchen, die oben genannten Mehrfachprozessoren zu nutzen. Trotz mehrerer Versuche, das Multithreading-Problem zu lösen, konnten Roesch und der Rest des Snort-Teams keine konkreten Ergebnisse erzielen. Snort 3.0 sollte 2009 veröffentlicht werden, war jedoch zum Zeitpunkt des Schreibens noch nicht verfügbar. Außerdem schlägt Ellen Messmer von Network World vor, dass Snort sich schnell in einer Rivalität mit Suricata 1.0, dem IDS des US-Heimatschutzministeriums, befindet, dessen Befürworter darauf hinweisen, dass es Multithreading unterstützt. Es sei jedoch darauf hingewiesen, dass diese Behauptungen vom Gründer von Snort vehement bestritten wurden.Snorts Zukunft
Ist Snort immer noch nützlich? Das hängt vom Szenario ab. Hacker, die wissen, wie sie die Multithreading-Mängel von Snort ausnutzen können, wären erfreut zu wissen, dass Snort 2.x das einzige Mittel eines bestimmten Netzwerks ist, um Einbrüche zu erkennen. Snort war jedoch nie als DIE Sicherheitslösung für ein Netzwerk gedacht. Snort wurde immer als passives Tool angesehen, das einen bestimmten Zweck in Bezug auf die Netzwerkpaketanalyse und die Netzwerkforensik erfüllt. Wenn die Ressourcen begrenzt sind, kann ein weiser Systemadministrator mit umfangreichen Linux-Kenntnissen in Betracht ziehen, Snort im Einklang mit dem Rest seines Netzwerks bereitzustellen. Snort hat zwar einige Nachteile, bietet aber immer noch den größten Wert zu den niedrigsten Kosten. (Über Linux-Distributionen in Linux: Bastion der Freiheit.)
