目次:
ネットワークがハッキングされたり、違法にアクセスされたり、効果的に無効にされたりする多くの例があります。 TJ Maxxネットワークの2006年の悪名高いハッキングは、TJ Maxx側のデューデリジェンスの欠如とその結果として会社が被った法的影響の両方に関して、十分に文書化されています。 これに加えて、数千のTJ Maxx顧客にもたらされる害のレベルと、ネットワークセキュリティにリソースを割り当てることの重要性がすぐに明らかになります。
TJ Maxxハッキングの詳細な分析では、インシデントが最終的に気付き軽減された具体的な時点を示すことができます。 しかし、気付かれないセキュリティインシデントはどうでしょうか。 進取の気性に満ちた若いハッカーが、システム管理者に賢さを与えない方法で、ネットワークから重要な情報の小さな断片を吸い上げるのに十分な目立たない場合はどうでしょうか? このタイプのシナリオに対抗するために、セキュリティ/システム管理者はSnort Intrusion Detection System(IDS)を検討する場合があります。
Snortの始まり
1998年、SnortはSourcefireの創設者Martin Roeschによってリリースされました。 当時、それは主にUnixおよびUnixライクなオペレーティングシステムで機能する軽量の侵入検知システムとして請求されました。 当時、Snortはネットワーク侵入検知システムの事実上の標準になり、Snortの展開は最先端と見なされていました。 Cプログラミング言語で書かれたSnortは、セキュリティアナリストが設定可能な粒度に引き寄せられたため、すぐに人気を博しました。 Snortは完全にオープンソースでもあり、その結果、非常に堅牢で広く普及しているソフトウェアがオープンソースコミュニティでの十分な精査に耐えてきました。Snort Fundamentals
この記事の執筆時点では、Snortの現在の製品バージョンは2.9.2です。 スニファーモード、パケットロガーモード、ネットワーク侵入検知および防止システム(IDS / IPS)モードの3つの動作モードを維持します。
Snifferモードでは、Snortがインストールされているネットワークインターフェイスカード(NIC)とパスを横断するため、パケットをキャプチャするだけです。 セキュリティ管理者は、このモードを使用して、NICで検出されているトラフィックのタイプを解読し、それに応じてSnortの構成を調整できます。 このモードではロギングが行われないため、ネットワークに入るすべてのパケットは、コンソール上の1つの連続したストリームに単純に表示されることに注意してください。 ほとんどのシステム管理者はtcpdumpユーティリティやWiresharkのようなものを使用するほうが適切に処理されるため、トラブルシューティングと初期インストール以外では、この特定のモード自体にはほとんど価値がありません。
パケットロガーモードはスニファーモードに非常に似ていますが、この特定のモードの名前に重要な違いが1つあります。 パケットロガーモードを使用すると、システム管理者は、優先される場所と形式に到達するパケットをすべて記録できます。 たとえば、システム管理者がネットワーク内の特定のノードの/ logというディレクトリにパケットを記録する場合、最初にその特定のノードにディレクトリを作成します。 コマンドラインで、彼はそれに応じてパケットを記録するようにSnortに指示します。 パケットロガーモードの値は、セキュリティアナリストが特定のネットワークの履歴を調べることができるため、その名前に固有の記録保持の側面にあります。
OK。 この情報はすべて知っておくと便利ですが、付加価値はどこにありますか? WiresharkとSyslogがよりきれいなインターフェースで実質的に同じサービスを実行できるのに、システム管理者がSnortのインストールと設定に時間と労力を費やす必要があるのはなぜですか? これらの非常に適切な質問に対する答えは、ネットワーク侵入検知システム(NIDS)モードです。
スニファーモードとパケットロガーモードは、Snortの本当の目的であるNIDSモードへの足掛かりです。 NIDSモードは主にsnort構成ファイル(通常snort.confと呼ばれます)に依存します。このファイルには、システム管理者にアラートを送信する前に標準的なSnort展開が参照するすべてのルールセットが含まれます。 たとえば、管理者がFTPトラフィックがネットワークに出入りするたびにアラートをトリガーする場合、snort.conf内の適切なルールファイルを参照するだけです。 それに応じてアラートがトリガーされます。 ご想像のとおり、snort.confの構成は、アラート、プロトコル、特定のポート番号、およびシステム管理者が特定のネットワークに関連すると感じるかもしれないその他のヒューリスティックの観点から非常にきめ細かくなります。
Snortの登場場所が短い
Snortが人気を博し始めた直後に、唯一の欠点は、Snortを構成する人の才能レベルでした。 しかし、時間が経つにつれて、最も基本的なコンピューターが複数のプロセッサーをサポートするようになり、多くのローカルエリアネットワークが10 Gbpsの速度に近づき始めました。 Snortはその歴史を通じて一貫して「軽量」と呼ばれてきましたが、このモニカはこの日に関連しています。 コマンドラインで実行した場合、パケット遅延は大きな障害になりませんでしたが、近年、多くのアプリケーションが上記のマルチプロセッサを活用しようとするため、マルチスレッドとして知られる概念が定着し始めています。 マルチスレッドの問題を克服するためのいくつかの試みにもかかわらず、RoeschとSnortチームの残りの部分は、具体的な結果を出すことができませんでした。 Snort 3.0は2009年にリリースされる予定でしたが、執筆時点ではまだ利用可能になっていませんでした。 さらに、Network WorldのEllen Messmerは、SnortがSuricata 1.0として知られる国土安全保障省との競合にすぐに気づいたことを示唆しています。 ただし、これらの主張はSnortの創設者によって激しく議論されていることに注意する必要があります。Snortの未来
Snortはまだ便利ですか? これはシナリオによって異なります。 Snortのマルチスレッドの欠点を利用する方法を知っているハッカーは、特定のネットワークの侵入を検出する唯一の手段がSnort 2.xであることを知って喜んでいます。 ただし、Snortがネットワークのセキュリティソリューションになることは決してありませんでした。 Snortは、常にネットワークパケット分析とネットワークフォレンジックの観点から特定の目的に役立つ受動的なツールと見なされてきました。 リソースが限られている場合、Linuxの豊富な知識を持つ賢明なシステム管理者は、Snortを他のネットワークに合わせて展開することを検討するかもしれません。 Snortには欠点があるかもしれませんが、低価格で最大の価値を提供します。 (LinuxのLinuxディストリビューションについて:Bastion of Freedom。)
