Atvira ir naudojama daugelyje tinklo įsibrovimų aptikimo sistemų. Taip pat naudojamas daugelyje hibridinių IDS (Prelude, OSSIM) ir palaikomas daugelio saugumo stebėjimo sistemų (Cisco Security MARS).

„Snort“ sukūrė Martinas Roeschas, kuris vėliau įkūrė įmonę, kuri tęsia savo plėtrą ir prižiūri komercinę IPS aparatinę įrangą, pagrįstą „Snort“. Sourcefire integruota su integruota sistema apsauga Sourcefire 3D System – įmonės grėsmių valdymo sistema, kurioje taip pat yra prieigos kontrolės sistema bei įvairūs stebėjimo ir analizės įrankiai. Snort galima naudotis nemokamai. Sistema veikia keliais režimais:

• sniffer režimas – paketai nuskaitomi iš tinklo, informacija apie juos rodoma srautinio perdavimo režimu konsolėje,
• registravimo režimas – paketai įrašomi į diską,
• NIDS režimas – paketai analizuojami pagal vartotojo nustatytas taisykles,
• embedding mode – paketai gaunami ne per libpcap biblioteką (leidžia žemo lygio paketus stebėti), o per iptables ir pagal taisykles gali būti išmesti.

Papildomi „Snort“ funkciniai moduliai:

• „Basic Analysis and Security Engine“, BASE – žiniatinklio sąsaja, skirta žurnalų analizei ir peržiūrai
• Sguil – TCL/TK sąsaja tinklo saugumo stebėjimui
• RazorBack – įspėjimų apie aptiktus parašus įgyvendinimas realiuoju laiku
• ClamAV – srautinis antivirusinis skaitytuvas
• IDS Policy Manager – valdo Snort taisykles

„Snort“ pranašumai – plačios papildomų naudojamų modulių galimybės ir parašų atvirumas. Suvart: sunku nustatyti ir trūksta patogios dokumentacijos.

„Snort“ yra de facto įsibrovimų prevencijos standartas, sukurtas „Sourcefire“, kurį atsisiunčia daugiau nei 3,7 mln. kartų ir daugiau nei 225 000 registruotų vartotojų. Snort visame pasaulyje naudojamas dažniau nei bet kuri kita įsilaužimo prevencijos technologija. Per pastaruosius dešimt metų „Snort“ bendruomenė išaugo į ekosistemą – nuo ​​vartotojų grupių iki vadovėlių ir kursų, dėstomų šimtuose kolegijų ir universitetų. Snort yra geriau žinomas IT saugumo specialistams nei bet kuri kita rinkoje esanti IPS technologija. Sourcefire klientai naudojasi išplėsta Snort ekosistema.

Snort 2.9.0

Svarbiausi patobulinimai:

• Atakų prevencijos režimas (IPS) apima srauto posistemio (procesoriaus / TCP srautų rinktuvo, skirto atskiroms sesijoms stebėti) galimybių išplėtimą, kad jis veiktų aktyviu tiesioginiu režimu (snort veikia kaip vartai ir leidžia priimti sprendimus dėl tolesnio paketus jų gavimo metu, o ne remiantis pasyvia srauto analize). Visų paketų atsakas dabar nustatomas per vieną API, palaikantį srauto, atsakymo ir reakcijos modulius. Pridėtas naujas atsakymo modulis - response3, kuris palaiko tiek resp, tiek resp2 modulių sintaksę, įskaitant galimybę blokuoti konfigūracijas naudojant pasyvią srauto analizę. Kai „Snort“ veikia aktyviu eilutiniu režimu, paketams normalizuoti dabar naudojamas naujas išankstinis procesorius, leidžiantis paketus interpretuoti taip pat, kaip juos priimantis pagrindinis kompiuteris;
• Apima DAQ (Data Acquisition API) modulį, kuris apibrėžia daugybę skirtingų paketų gavimo prieigos metodų, tokių kaip libpcap, netfilterq, IPFW ir afpacket. Naudojant libpcap, dabar reikalinga bent 1.0 šios bibliotekos versija. DAQ kodas gali būti atnaujintas nepriklausomai nuo Snort, nes dabar jis yra nepriklausomas modulis.
• Atnaujintas HTTP tikrinimo kodas, kuris dabar gali išgauti ir naudoti IP adresus iš X-Forward-For ir True-Client-IP HTTP antraščių;
• Nauja parinktis „byte_extract“ leidžia naudoti dabartinėje taisyklėje ištrauktas reikšmes šiose parinktyse isdataat ir byte_test, byte_jump, taip pat atstumo / viduje / gylio / poslinkio turinyje;
• SMTP išankstinis procesorius dabar palaiko didelių MIME priedų, kuriems reikia išsiųsti daugiau nei vieną tinklo paketą, dekodavimą;
• Galimybė išbandyti paketų blokavimo taisykles. Inline testavimo režimu paketai neatmetami, o tik rodomi žurnale kaip blokuojami;
• Naujos base64 duomenų blokų dekodavimo ir tikrinimo taisyklių parinktys;
• Pagerintas kodo našumas dekoduojant IPv6 paketus, siekiant pagerinti anomalijų aptikimą;
• Pridėtas programų duomenų apdorojimui unified2 formatu kūrimo pavyzdys, naudojamas kompaktiškam Snort žurnalų saugojimui;
• Pridėtas naujas šablono variklis, kuris palaiko aparatūros greitintuvus, suderinamus su „Intel Quick Assist“ technologija, kad būtų paspartintas kaukių suderinimas.

Snort versija 2.9.1 RC.

Naujoje Snort sistemos versijoje yra IP adresų reputacijai įvertinti skirtas išankstinis procesorius, kuris jau sulaukė daug teigiamų atsiliepimų iš vartotojų, išbandžiusių Snort 2.9.1 RC versiją.

Manekenų įsibrovimų aptikimo sistema. SNORT diegimas ir konfigūravimas.

Aleksandras Antipovas

Snort yra lengva įsilaužimo aptikimo sistema. Snort paprastai vadinamas „lengvuoju“ NIDS, nes jis pirmiausia skirtas mažiems tinklams. Programa gali atlikti protokolo analizę ir gali būti naudojama aptikti įvairias atakas ir tirti problemas, tokias kaip buferio perpildymas, paslėptų prievadų nuskaitymai, CGI atakos, OS aptikimo bandymai ir kt. „Snort“ naudoja „taisykles“ (nurodytas „taisyklių“ failuose), kad žinotų, kurį srautą leisti, o kurį blokuoti. Priemonė yra lanksti, leidžianti užsirašyti naujas taisykles ir jų laikytis. Programa taip pat turi "atradimo variklį", kuris naudoja modulinę papildinio architektūrą, pagal kurią tam tikrus programos papildymus galima pridėti arba pašalinti iš "atradimo variklio".

Snort gali veikti trimis režimais:
1. Kaip paketų snifferis, panašus į tcpdump
2. Kaip pakuočių registratorius
3. Kaip sukurti įsibrovimo aptikimo sistemą
Šiame straipsnyje mes išsamiai kalbėsime apie „Snort“ diegimą, jo architektūrą ir sužinosime, kaip kurti ir valdyti taisykles.

Platforma:
Linux 2.2.*,
„Snort 1.7“ (http://www.snort.org/)
Sparc: SunOS 4.1.x, Solaris, Linux ir OpenBSD
x86: Linux, OpenBSD, FreeBSD, NetBSD ir Solaris
M68k/PPC: Linux, OpenBSD, NetBSD, Mac OS X serveris

Reikalavimai:
Tcpdump (www.tcpdump.org)
„Libpcap“ („Snort“ yra pagrįsta libpcap biblioteka, dažniausiai naudojama daugumoje TCP/IP snifferių ir analizatorių) – galite atsisiųsti iš čia:

Snort for Windows reikalinga Windows 2000 arba XP; NT, 98 ar 95 vykdyti negalima. Taip pat turi būti įdiegtos „WinPcap“ bibliotekos. Jei jie buvo įdiegti anksčiau šioje knygoje aprašytoms programoms, pvz., Ethereal arba WinDump, esate pasiruošę. Kitu atveju galite nuvežti juos į:

netgroup-serv.polito.it/winpcap

Jums taip pat gali prireikti MySQL duomenų bazės, jei planuojate importuoti rezultatus į duomenų bazę. Konkreti MySQL konfigūracija šiam tikslui aprašyta analizės ir valdymo įrankiuose.

Kad „Snort for Windows“ veiktų taip pat gerai, kaip UNIX versija, jums reikės galingesnės aparatinės įrangos. Mašina su 700 MHz procesoriumi yra minimali, bet 1 GHz ar didesnis procesorius yra geresnis. Taip pat turėtumėte įsitikinti, kad „Windows“ serveris yra gerai apsaugotas, jame veikia mažiausiai paslaugų ir pašalinamos daug procesoriaus reikalaujančios programos, pvz., IIS. Norėdami patikrinti, ar neveikia nieko nereikalingo, naudokite paslaugų langą iš valdymo skydo administravimo įrankių.

„Snort“, skirto „Windows“, diegimas

Norėdami įdiegti „Snort“, skirtą „Windows“, paimkite dvejetainį failą iš kompaktinio disko, gauto su knyga, arba iš http://www.snort.org. Dukart spustelėkite jį ir jis bus įdiegtas automatiškai. Jūsų paklaus, ar jums reikia konkrečios duomenų bazės ar papildomų modulių, pvz., „Responsive“ modulio.

„Snort“, skirto „Windows“, nustatymas

„Windows“ versijos „Snort“ sąrankos procesas yra gana panašus į UNIX sąranką. Visi konfigūracijos ir taisyklių failai yra tuose pačiuose santykiniuose pakatalogiuose. Įveskite failą snort.conf į savo Snort diegimo pakatalogį etc. Pakeiskite ir redaguokite jį, kaip siūloma UNIX versijos skyriuje. Tada eikite į taisyklių failus ir ten atlikite pakeitimus. Po to būsite pasirengę paleisti „Snort“. Norėdami gauti UNIX, žr. „Snort paleidimas“. papildomos informacijos apie Snort for Windows naudojimą, nes visos komandos yra vienodos. Papildomi nustatymai ir išdėstymo rekomendacijos yra tokios pačios kaip ir originalioje UNIX versijoje.

Flamy Tech Coders Corner

Individualių snortavimo taisyklių rašymas

Nors standartiniai „Snort“ taisyklių rinkiniai užtikrina pakankamą apsaugą nuo atakų su žinomais parašais, galite sukurti kai kurias tinkintas taisykles, būdingas jūsų tinklui, kad išnaudotumėte visas įsibrovimo aptikimo sistemos galimybes. Galite parašyti taisykles:

• konkrečių serverių gaunamos ir išeinančios prieigos sekimas;
• Ieškokite konkrečių failų tipų arba pavadinimų, būdingų jūsų organizacijai;
• stebėti tam tikrų tipų srautą, kuris yra svetimas jūsų tinklui;

Išmokti rašyti Snort taisykles lengva; tai leis greitai padidinti programos funkcionalumą net ir neturint plačių programavimo žinių. Kaip matėte, visos „Snort“ taisyklės yra tiesiog tekstinės instrukcijos viename iš taisyklių failų.

Jei norite, kad „Snort“ aptiktų konkrečią elgseną, kuri būtų laikoma įtartina jūsų tinkle, galite greitai užkoduoti taisyklę ir nedelsdami ją patikrinti. Snort taisyklės iš esmės yra vienos teksto eilutės, prasidedančios veiksmu (dažniausiai įspėjimu), po kurio seka keli argumentai. Naujausioje versijoje (2.0 ir naujesnėje versijoje) galite pridėti kelias eilutes, tiesiog įdėdami \ (pasvirąjį brūkšnį) kiekvienos eilutės, išskyrus paskutinę, pabaigoje. Sudėtingesniais atvejais taip pat galite iškviesti kitas programas naudodami įgalinimo teiginį. Tačiau savo pagrindine forma Snort taisyklė turi dvi dalis: antraštę ir parametrus. Žemiau pateikiamas taisyklės pavyzdys.

alert tcp any any any 192.168.0.0/24 \ (turinys:"|00 05 A4 6F 2E|"; msg: "Tikrinimo įspėjimas")

Pavadinimas yra dalis prieš pirmąjį skliaustelį. Šioje instrukcijoje yra veiksmas (mūsų atveju - įspėjimas), protokolas, taip pat siuntėjo ir gavėjo adresai ir prievadai. Veiksmas bus atliktas, jei taisyklės nurodyta sąlyga yra teisinga. IN šiuo atveju bus sugeneruotas įspėjimas. Kitos parinktys yra žurnalas, leidimas, aktyvinimas ir dinaminis.

Protokolai gali būti tcp, udp, icmp arba ip, o tai reiškia bet kokį IP protokolą. (Ateityje gali būti palaikomi ne IP protokolai, tokie kaip IPX. Šaltinio ir paskirties prievadai yra savaime aiškūs. Šaltinio adresas pateikiamas pirmiausia ir nurodomas standartiniu pasviruoju brūkšniu IP diapazonui. Taip pat galite išvardyti kelis atskirus adresus ir tinklus, atskirdami juos kableliais be tarpų ir įterpdami į laužtinius skliaustus, pavyzdžiui: alert tcp bet koks< 80 \ (content: "|00 05 A4 6F 2E|"; msg : "Test Alert";)

Ši instrukcija skirta srautui, gaunamam iš bet kurio adreso, nukreiptam į įrenginius, kurių adresai yra 192.168.1.1, 192.168.1.5 ir 192.168.1.10 80 prievade. Darant prielaidą, kad tai yra jūsų žiniatinklio serveriai, pirmiau nurodyta taisyklė ieškos srauto, einančio ten, kuriame yra turinio skiltyje nurodyti šešioliktainiai duomenys.

Antroji „Snort“ taisyklės dalis yra parinktys, nurodančios papildomą aptikto srauto informaciją. Galite ieškoti pagal laukų rinkinį TCP/IP antraštėje (žr. aprašus „Tinklo analizatoriai“) arba pagal paketų naudingumą. Po kiekvienos parinkties turi būti rašomos kabutės ir ieškoma vertė. Galite pridėti kelias parinktis, atskirdami jas kabliataškiu. Toliau pateikiamos tinkamos parinktys.

žinutė	Pateikiamas tekstinis signalo aprašymas
logto	Rašo paketą į vartotojo nurodytą failą, o ne į standartinį išvesties failą
ttl	Tikrina TTL lauko reikšmę IP antraštėje
tos	Tikrina TOS lauko reikšmę IP antraštėje
id	Lygina lauko vertę fragmento ID IP antraštėje su nurodyta reikšme
ipoption	Ieško IP parinkčių laukų su konkrečiais kodais
fragmentai	Tikrina fragmentacijos bitus IP antraštėje
ddydis	Palygina paketo naudingosios apkrovos dydį su nurodyta reikšme
vėliavos	Tikrina TCP vėliavėles pagal tam tikras reikšmes
sek	Lygina TCP eilės numerio lauką su tam tikra vertė
ack	Patikrina TCP patvirtinimo lauką su konkrečia verte
itype	Patikrina ICMP tipo lauką su konkrečia verte
icode	Patikrina ICMP kodo lauką pagal konkrečią reikšmę
icmp_id	Patikrina ICMP ECHO ID lauką pagal konkrečią vertę.
icmp_seq	Patikrina ECHO ICMP eilės numerį pagal konkrečią vertę
turinį	Paketo naudingojoje apkrovoje ieško konkretaus modelio
turinio sąrašas	Paketo naudingojoje apkrovoje ieško konkretaus šablonų rinkinio
kompensuoti	Turinio modifikatorius. Nurodomas poslinkis, kad būtų pradėtas modelio atitikimas
gylis	Turinio modifikatorius. Nustatomas maksimalus šablono derinimo paieškos gylis
nocase	Lygina ankstesnę turinio grandinę neskiriant didžiųjų ir mažųjų raidžių
sesija	Išvesties programos lygio informaciją tam tikram seansui
Rpc	Stebi RPC paslaugas, kad nustatytų konkrečius programų / procedūrų iškvietimus
resp	Aktyvus atsakas. Uždaro ryšį (pavyzdžiui, nutraukia jį)
reaguoti	Aktyvus atsakas. Reaguoja su užprogramuotu elgesiu (pavyzdžiui, blokuoja tam tikras svetaines)
nuoroda	Išorinių atakų nuorodų ID
sid	Snort taisyklės ID
rev	Taisyklės versijos numeris
klasės tipas	Taisyklės klasifikacijos ID
prioritetas	Taisyklės sunkumo ID
šlapimo turinys	Paketo URI dalies šablono atitikimas
žyma	Papildomi veiksmai, skirti medienos ruoša dėl taisyklių
ip_proto	Protokolo reikšmė IP antraštėje
sameip	Nustato, ar šaltinio ir paskirties IP adresai nėra vienodi
be pilietybės	Taikoma nepriklausomai nuo srauto būsenos
reguliarioji išraiška	Šablonų suderinimas naudojant metasimbolius
byte_test	Skaitmeninis palyginimas
atstumas	Sukelia santykinio modelio atitikimo praleidimą pakete tam tikras skaičius baitas
byte_test	Skaitmeninio modelio suderinimas
baitas_šuolis	Skaitmeninis modelio suderinimas ir poslinkio reguliavimas

Daugiau išsamią informaciją Informacijos apie kiekvieną taisyklės parinktį galite rasti internetiniame žinyne. Toliau pateikiami keli pavyzdžiai, kaip naudoti šias parinktis kuriant pasirinktines Snort žinučių taisykles – etiketę, kuri rodoma signalų žurnaluose. Faktas yra tas, kad mus domina bet koks srautas į bet kurį uostą. Bet kokia prieiga prie apskaitos serverių, gaunamų iš išorinis pasaulis, nes bet koks išorinis srautas į šiuos serverius turėtų būti laikomas kenkėjišku.

2 individualios taisyklės pavyzdys

Remdamiesi 1 pavyzdyje pateiktu scenarijumi, manykite, kad turėtumėte leisti tam tikrą išorinę prieigą prie apskaitos serverių, bet vis tiek įsitikinkite, kad niekas nekopijuoja tam tikrų failų. Tarkime, kad yra failas payroll.xls, kuriame yra visi darbo užmokesčio duomenys (visiškai slaptas failas, tiek organizacijos viduje, tiek už jos ribų). Galite parašyti taisyklę, kuri stebės bet kokį vidinį ar išorinį srautą, nukreiptą į šiuos serverius ir kuriame yra slapto failo pavadinimas. Tai galima padaryti naudojant turinio parinktį, kuri ieško tikrojo paketų turinio. Taisyklė atrodys maždaug taip:

įspėjimas tcp! bet koks< any (content: "payroll.xls";msg: "Попытка доступа к файлу зарплат")

Atkreipkite dėmesį į operacijos ženklą! vėlgi reiškia, kad mus domina srautas, nukreiptas į apskaitos serverius iš bet kurios kitos vietos nei tie serveriai. Tai pašalina tarpserverinio srauto signalizavimą. Taip pat atkreipkite dėmesį, kad simbolis \ leidžia rašyti kelių eilučių taisykles, o turinio parinktis – ieškoti payroll.xls teksto paketuose. Dėl to serverio mašinos gali turėti prieigą prie interneto, bet jei tas konkretus failas kada nors iš jų bus atsiųstas, jums bus pranešta.

Naudodami kitas parinktis galite rašyti taisykles, kurios aptiktų beveik bet kokio tipo srautą. Jei jūsų taisyklės gali sudominti kitas organizacijas, verta jas nusiųsti „Snort“ kūrėjams, kad jos būtų įtrauktos į oficialų platinamų taisyklių rinkinį. Jei nuspręsite tai padaryti, pabandykite naudoti visas priemones dokumentavimas pvz., msg, sid, rev, classtype ir priority. Taip pat kruopščiai patikrinkite savo taisykles, kad įsitikintumėte, jog jos iš tikrųjų apima visą veiklą, kurią bandote sugauti, ir nesukelia klaidingų teigiamų rezultatų.

Kasdien įmonių tinklais perduodama milijardai duomenų paketų. Kai kurie iš jų yra pavojingi; tokių paketų autoriai priėmė specialias priemones apeiti užkardas ir prasiskverbti per perimetrines tinklų gynybines linijas, sutrikdant visų pakeliui pasitaikančių sistemų veikimą. Supakuotų atakų, tokių kaip Code Red, Nimda, SQL Slammer ir MSBlaster, žalingas poveikis yra gerai žinomas. Visos šios kenkėjiškos programos išnaudoja patikimus protokolus (pvz., HTTP) arba tinklo srautą iš „Microsoft“ sistemų. Tokių protokolų negalima tiesiog paimti ir užblokuoti, todėl administratoriai, norėdami laiku reaguoti į grėsmę, dažniausiai stengiasi kuo greičiau užfiksuoti pavojingą srautą naudodami neteisėtos prieigos aptikimo sistemas, Network Intrusion Detection System (NIDS).

Prekyboje yra keletas NIDS, kurių galimybės ir kaina skiriasi. Apskritai jie visi sėkmingai dirba. Visi komerciniai paketai, su kuriais susidūriau, buvo puikūs. Tačiau ką turėtų daryti organizacijos, turinčios kuklų biudžetą, jei įsibrovimų aptikimas nėra prioritetas? Tokiems atvejams yra Snort – galingas nemokamas NIDS paketas. Skirtingai nuo daugelio atvirojo kodo paketų, jis suderinamas su „Windows“.

Susipažinimas su Snortu

Pradinis „Snort“ kūrėjas Martinas Reschas padarė programą prieinamą atvirai bendruomenei pagal GNU bendrosios viešosios licencijos (GPL) sąlygas. Šio paketo istorija prasidėjo 1998 metais ir nuo tada jis ne kartą įrodė savo patikimumą. Dėl atviros bendruomenės narių ir tinklo administratorių visame pasaulyje indėlio „Snort“ išaugo į labai galingą produktą. Dabartinė versija teikia realiojo laiko tinklo srauto analizę ir IP srauto registravimą Fast Ethernet ir Gigabit Ethernet greičiu.

Michaelas Davisas perkėlė „Snort 1.7“ į „Win32“ platformą, kad ji būtų prieinama „Windows“ bendruomenei. Tada Chrisas Reidas ėmėsi užduoties sudaryti naujas „Snort“ versijas į paruoštus vykdomuosius failus, kuriuos būtų galima lengvai įdiegti sistemoje „Windows“.

NIDS nepažįstantys administratoriai gali galvoti apie įrankį kaip apie specialų tinklo analizatoriaus tipą. NIDS tiria kiekvieną paketą, einantį per sąsają, ieškodama žinomų naudingojo krovinio modelių, kuriuose kenkėjiškas kodas paprastai yra paslėptas. Naudodami „Snort“ galite atlikti kiekvieno paketo, einančio per organizacijos tinklą, paieškos ir suderinimo operacijas ir realiuoju laiku aptikti įvairių tipų atakas bei neteisėtą srautą.

Snort reikalavimai

Norint paleisti „Snort“, reikia „Windows“ kompiuterio su bent vienu tinklo adapteriu. Geriau turėti du tinklo adapterius, iš kurių vienas yra prijungtas valdomas tinklas o kitą – į gamybos tinklą; pastarasis persiunčia ataskaitas. Snort suderinamas ne tik su Windows 2000 Server ir naujesnėmis versijomis, bet ir su Windows XP Professional Edition, XP Home Edition ir Windows 2000 Professional. Serverio licencija nereikalinga. Kasdien jungiu savo XP Pro nešiojamąjį kompiuterį prie daugelio klientų tinklų ir dažniausiai naudoju Snort kaip paslaugą. Tokiu būdu programa veikia fone, aptikdama bet kokias atakas prieš mano sistemą iš to kliento tinklo. Aš naudoju Snort kaip nešiojamąjį jutiklį – programa veikia kaip NIDS bet kuriam prievadui, prie kurio prijungtas nešiojamas kompiuteris.

Mažuose tinkluose „Snort“ gali būti įdiegtas pradinio lygio serveryje. Norint aptikti neteisėtos prieigos bandymus, specialios didelės galios mašinos nereikia. Pavyzdžiui, girdėjau apie Snort mazgus, veikiančius FreeBSD su 1 GHz procesoriais ir RAM 1 GB talpa, sėkmingai aptarnaujanti tinklus su 15 000 vartotojų ir keliomis T-3 WAN nuorodomis. Dėl Snort šaltinio kodo efektyvumo programai paleisti nereikia labai galingo įrenginio.

Kur yra geriausia vieta tinkle rasti NIDS? Pirma mintis yra pastatyti įrenginį priešais užkardą. Čia NIDS aptiks daugiausia atakų, tačiau klaidingų teigiamų atvejų skaičius taip pat bus didžiausias, o administratorius gaus daug nenaudingų įspėjimų apie pavojų. Neturėtumėte jaudintis dėl ugniasienės sustabdytų grėsmių, svarbiau aptikti pavojingas programas. Todėl vis tiek geriau „Snort“ pastatyti už ugniasienės.

Tačiau jei vartotojai prisijungia prie tinklo naudodami VPN ryšį (internetu arba belaidžiu ryšiu), tikslinga NIDS įdėti toliau už ugniasienės, pvz., už VPN serverio arba koncentratoriaus, kur paketai iššifruojami, kai jie išeina iš VPN tunelis. Priešingu atveju NIDS negalės kovoti su kenkėjiškomis programomis, įterptomis į VPN srautą, nes analizuojami paketai bus užšifruoti. Tas pats pasakytina apie šifruotą SMTP srautą, šifruotus .zip failus, pridedamus prie el. laiškų, ir kitų tipų šifruotus duomenis.

Idealiu atveju NIDS turėtų būti pakankamai toli už visų komponentų, kurie šifruoja srautą, ir pakankamai arti tinklo perimetro, kad būtų galima analizuoti srautą kuo daugiau segmentų ir potinklių. Komutuojamo tinklo aplinkoje jungikliui paprastai reikia diagnostikos prievado, kuris surenka visus per tinklą einančius paketus. Dėl to NIDS turi patogią prieigą prie viso tinklo srauto.

Dabar, kai esate susipažinę su „Snort“ ir žinote jo prieglobos reikalavimus, galite įdiegti ir išbandyti NIDS. Norėdami gauti daugiau informacijos apie „Snort“, žr. dokumentus, pateiktus „Žiniatinklio išteklių“ šoninėje juostoje. Šis procesas susideda iš septynių etapų:

1. WinPcap diegimas
2. „Snort“ diegimas
3. Snort testavimas
4. Snort nustatymas
5. Taisyklių nustatymas
6. Įspėjimų ir žurnalų nustatymas
7. Vykdykite kaip paslaugą

1 etapas. WinPcap diegimas

„Snort“ iš esmės yra laisvo režimo tinklo analizatorius, todėl jam reikalingas tvarkyklės palaikymas. Šią paramą teikia „WinPcap“. Loris Digioanni sukūrė WinPcap, perkeldamas libpcap paketų fiksavimo tvarkyklę, plačiai naudojamą tarp Unix vartotojų, į Windows aplinką. WinPcap apima branduolio lygio paketų filtrą, žemo lygio DLL (packet.dll) ir aukšto lygio nepriklausomą nuo sistemos biblioteką (wpcap.dll, pagrįsta libpcap 0.6.2).

WinPcap galima atsisiųsti iš http://winpcap.polito.it. Tvarkyklės suderinamos su Windows Server 2003, XP, Windows 2000, Windows NT, Windows Me ir Windows 9x. „WinPcap“ taip pat palaiko atvirojo kodo „Ethereal“ paketų snifferį, kurį galima gauti iš . Naudodami „Ethereal“ galite patikrinti, ar „Snort“ įdiegtas tinkamai.

Atsisiųsta iš tinklo diegimo failą WinPcap, tiesiog eikite per kelis diegimo procedūros ekranus. Didžiausių pastangų iš vartotojo reikalauja ekranas, kuriame turite sutikti su licencijos sąlygomis.

2 veiksmas: įdiekite „Snort“.

Kitas žingsnis – įdiegti „Snort“. Naujausia versija galima rasti „CodeCraft Consultants“ svetainėse ( http://www.codecraftconsultants.com/snort.aspx) arba Snort.org ( http://www.snort.org). Rekomenduoju atsisiųsti „Snort“ iš „CodeCraft Consultants“, nes iš tos svetainės galite gauti savaime ištraukiamą vykdomąjį failą. Programa netgi padeda vartotojui atlikti pagrindinius „Snort“ diegimo kompiuteryje veiksmus. Rengiant šį straipsnį buvo naudojama naujausia „Snort 2.1.1“ versija.

Kai paleidžiate diegimo programą, pirmame dialogo lange turite pasirinkti duomenų bazės konfigūracijos režimą rezultatams saugoti. Jei naudojate MySQL arba su ODBC suderinamą duomenų bazę, galite priimti numatytąjį režimą (1 pav.). Bet jei ketinate saugoti protokolus Microsoft SQL Server arba Oracle duomenų bazėje, tuomet turite pasirinkti tinkamą režimą ir įsitikinti, kad įrenginyje yra reikalinga kliento programa. Rengiant šį straipsnį buvo naudojamas numatytasis režimas.

Kitas žingsnis – nustatyti norimus įdiegti „Snort“ komponentus. Standartinis rinkinys (2 ekranas) yra geras, todėl rekomenduoju jį priimti ir spustelėti Next. Dialogo lange Pasirinkti diegimo vietą turite nurodyti katalogą, kuriame bus įdiegtas „Snort“. Įvedę katalogo pavadinimą, spustelėkite Pirmyn, kad užbaigtumėte diegimo procesą.

2 ekranas: Diegimo komponentų pasirinkimas

3 veiksmas: patikrinkite „Snort“ diegimą

Baigus diegimo procesą, „Snort“ reikia išbandyti. Pagal numatytuosius nustatymus „Snort“ vykdomajai programai turi būti nurodytos dvi vietos: kur rašyti žurnalus ir kur rasti konfigūracijos failą (snort.conf). Šią informaciją vartotojas pateikia paleisdamas Snort iš komandinės eilutės, naudodamas atitinkamai jungiklius -l ir -c. Pavyzdžiui, komanda

Snort -l F:snortlog -c F:snortetcsnort.conf -A konsolė

nurodo programai, kad žurnalai turi būti rašomi į F:snortlog katalogą ir kad snort.conf yra F:snortetc kataloge. Jungiklis -A nurodo programos sugeneruotų įspėjimų perdavimo būdą. Šiame pavyzdyje konsolės ekrane rodomi įspėjimai, kad administratorius galėtų patikrinti, ar „Snort“ veikia tinkamai. Atkreipkite dėmesį, kad straipsnyje komanda spausdinama keliose eilutėse, tačiau komandų lange ją reikia įvesti vienoje eilutėje. Tas pats pasakytina ir apie kitas šiame straipsnyje pateiktas kelių eilučių komandas. Daugelis „Snort“ komandų eilutės jungiklių yra skiriami didžiosioms ir mažosioms raidėms, todėl komandas turite įvesti tiksliai taip, kaip jos įvestos.

Jei sistemoje yra kelios tinklo sąsajos, pagal numatytuosius nustatymus „Snort“ klausosi pirmoje aptiktoje sąsajoje. Jei įrenginio tinklo sąsajų tvarka nežinoma, komandą Snort galite paleisti vienu jungikliu -W. Snort pateikia tinklo sąsajų pavadinimus ir numerius tokia tvarka, kuria programa juos aptinka. Norėdami priversti Snort naudoti konkrečią tinklo sąsają, paleidžiant Snort turite įvesti jungiklį -i su sąsajos numeriu. Paleidus Snort, ekrane bus rodoma informacija, panaši į parodytą 3 ekranas .

Paleidę „Snort“, galite patikrinti jo jautrumą siųsdami specialiai paruoštą srautą į NIDS. Vienas iš paprasčiausių būdų suaktyvinti įspėjimą yra iškviesti komandų interpretatorių (cmd.exe) nuotoliniame kompiuteryje kaip HTTP URL užklausos dalį (įprasta Code Red ir Nimda kirminų technika). Norėdami imituoti šią atakos fazę, pasiekite bet kurį URL ir užklausos pabaigoje pridėkite simbolius /cmd.exe. Pavyzdžiui, reaguodama į iškvietimą adresu http://www.a-website-that-I-can-trust.com/cmd.exe, „Snort“ komandų lange turėtų parodyti įspėjimą, panašų į pirmuosius tris įspėjimus. įjungta 4 ekranas. Šie pranešimai įrašomi į F:snortlog žurnalą.

Tikslines svetaines testavimui reikia pasirinkti atsargiai. Techniniu požiūriu dauguma svetainių administratorių tokius veiksmus laikytų bandymu įsilaužti. Šis bandymas nepavyks (nebent serverio konfigūracijoje yra rimtų klaidų), tačiau rekomenduoju testuoti tik su savo serveriu arba patikimu serveriu, kurio administratoriai žino apie testavimą.

Jei testavimas neįmanomas, kitas būdas išbandyti „Snort“ yra nusiųsti neįprastai ilgą aido užklausą per tinklą į serverį arba kompiuterį, kuriame veikia „Snort“. Pavyzdžiui, galite naudoti komandą Ping

Ping -l 32767 ip_adresas

kur ip_adresas yra tikslinio serverio arba „Snort“ kompiuterio IP adresas. Ši komanda turi siųsti labai ilgą paketą (tikslus ilgis – 32 KB), o tai aiškiai neįprasta Ping komandai. „Snort“ turėtų aptikti šį paketą, kaip matyti iš aštuonių apatinių įspėjimų 4 ekranas .

Jei gaunate įspėjimus, galite pradėti konfigūruoti „Snort“ pagal jūsų konkrečias sąlygas. Priešingu atveju turite grįžti į diegimo procedūrą ir patikrinti, ar kuris nors veiksmas nebuvo praleistas.

4 veiksmas: „Snort“ nustatymas

Pagrindiniai Snort konfigūracijos duomenys saugomi snort.conf faile, kuris pagal numatytuosius nustatymus yra %systemdrive%snortetc kataloge. Failas gali būti paliktas šiame aplanke arba perkeltas į kitą, jei komandinėje eilutėje nurodote programos kelią.

Išsamus visų snort.conf parametrų aprašymas gali užpildyti visą žurnalo numerį, nes Snort yra nuostabus galinga programa. Šiuo metu mes apsvarstysime tik pagrindinius jo parametrus.

Norėdami atskirti gaunamą srautą nuo išeinančio srauto, turite nurodyti Snort savo įmonės tinklo pagrindinius kompiuterius ir IP adresus. Norint įvesti šią informaciją, snort.conf faile turi būti nustatytas kintamasis HOME_NET. Turėtumėte rasti liniją

Var HOME_NET bet koks

ir pakeiskite jį IP adresų diapazonu. Pavyzdžiui, galite nurodyti vieną diapazoną

Var HOME_NET 192.168.0.1/24

arba keli diapazonai. Nurodydami kelis diapazonus, diapazonų rinkinį turite pateikti laužtiniuose skliaustuose ir kiekvieną diapazoną atskirti kableliu. Negalite įvesti tarpų tarp IP adresų diapazonų. Pavyzdžiui, linija

Var HOME_NET

nurodo Snort, kad potinkliai 10.0.1.0/24, 10.0.2.0/24 ir 10.0.3.0/24 priklauso įmonės tinklui. Pagal numatytuosius nustatymus „Snort“ visus kitus adresus laiko išoriniais. Galite aiškiai nurodyti, kurie tinklai turėtų būti laikomi išoriniais, nustatydami kintamąjį EXTERNAL_NET. Failo snort.config reikia rasti eilutę

Var EXTERNAL_NET bet koks

ir pakeiskite jį tinklo IP adresu, kuris turėtų būti laikomas išoriniu. Tačiau iš pradžių geriausia EXTERNAL_NET kintamąjį palikti bet kurį.

Praleidę šiek tiek laiko galite nustatyti jūsų įmonės turimų serverių tipus ir jų vietas. Ši informacija yra DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS, SQL_SERVERS ir TELNET_SERVERS kintamuosiuose šiose snort.conf failo eilutėse:

Var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var TELNET_SERVERS $HOME_NET var SNMP_SERVERS $HOME_NET

Pagal numatytuosius nustatymus visi šeši serverio kintamieji yra nustatyti į $HOME_NET; tai reiškia, kad Snort stebės visų tipų atakas prieš visas sistemas HOME_NET diapazone. Ši konfigūracija yra gana priimtina mažam tinklui, kurio administratoriai toleruoja tam tikrą skaičių klaidingų įspėjimų. Tačiau norint stebėti intensyvų srautą, patartina tiksliai sureguliuoti „Snort“, kad patikrintumėte tik dalį tam tikrų mazgų parašų. Nėra prasmės apsaugoti žiniatinklio serverį, kuriame veikia tik Microsoft IIS, nuo SQL buferio perpildymo atakų. Norėdami apibrėžti konkrečią pagrindinio kompiuterio klasę, turite pakeisti $HOME_NET tikslinių serverių IP adresų diapazonu pagal formatą, naudojamą HOME_NET kintamajam. Pavyzdžiui, DNS_SERVERS kintamąjį vietoj $HOME_NET turėtumėte pakeisti DNS serverių IP adresų diapazonu.

Derinimo tikslumą galima pagerinti nustatant prievadus, kuriuos serveriai naudoja konkrečioms programoms. Pavyzdžiui, jei žiniatinklio serveriai naudoja specialų 8080 prievadą HTTP srautui, o ne 80 prievadą (šis prievadas paprastai naudojamas žiniatinklio serveriams ir naršyklėms), galite sukonfigūruoti Snort stebėti 8080 prievadą pakeisdami HTTP_PORTS kintamąjį. Snort.conf turėtumėte rasti eilutę

Variklis HTTP_PORTS 80

ir pakeiskite ją linija

Var HTTP_PORTS 8080

Panašiai galite pakeisti „Oracle“ (apibrėžiamas kintamuoju ORACLE_PORTS) ir kitų programų prievadus. Kaip ir HTTP_PORTS kintamasis, ORACLE_PORTS numatytoji vertė yra 80. Jei serveris naudoja 1521 prievadą, eilutė atrodys taip

Var ORACLE_PORTS 1521

Taigi yra daug nustatymų, kuriuos galima sukonfigūruoti snort.conf faile. Turėtumėte peržiūrėti snort.conf, kad surastumėte nustatymus, kurie yra svarbiausi jūsų konkrečiai aplinkai, ir atitinkamai juos sukonfigūruokite.

5 etapas. Taisyklių nustatymas

Vienoje iš snort.conf eilučių yra kintamasis RULE_PATH. Šios eilutės pavyzdys:

Variklis RULE_PATH ../taisyklės

Parinktis ../rules nurodo, kad taisykles (t. y. parašus) galima rasti taisyklių kataloge, kuris yra tame pačiame lygyje kaip ir Snort dvejetainiai failai katalogų struktūroje. Pavyzdžiui, jei „Snort“ įdiegiate bendrame aplanke F:snort, „Snort“ dvejetainiai failai yra F:snortin, o taisyklės – F:snort ules. Jei norite, galite pakeisti kintamąjį RULE_PATH, tačiau numatytoji parinktis tinka.

Taisyklės yra „Snort“ pagrindas. Tai yra baitų, atakos parašų ir kitų tipų duomenų sekos, kurias aptikus generuojamas įspėjimas. „Snort“ turi daugiau nei 1500 paruoštų parašų.

Kaip atrodo taisyklė? Cmd.exe taisyklė, kuri buvo pažeista atliekant Snort testą, atrodo taip: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-IIS cmd.exe prieiga"; srautas: į_serverį, nustatytas; turinys : "cmd.exe"; klasės tipas: žiniatinklio programos ataka: 1002; Pažvelkime į pagrindinius taisyklės komponentus. $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS nuoroda nurodo, kad turi būti analizuojamas tik srautas, patenkantis į tinklą iš išorės (kaip apibrėžta kintamuoju EXTERNAL_NET). Turinys: parametras nurodo cmd.exe simbolių sekos paiešką duomenų sraute. Kai „Snort“ aptinka tokią seką, jis generuoja įspėjimą, nurodytą parametru msg:.

Kaip matote iš cmd.exe pavyzdžio, taisyklės dažniausiai yra paprastos. Galite sukurti savo taisykles bet kokio tipo srautui. Pavyzdžiui, jei norite aptikti neteisėtus bandymus nuotolinė prieigaį įrenginio katalogą naudodami komandų interpretatorių, galite ieškoti eilutės tomo diske arba tomo serijos numerio prievaduose, kur jie retai randami, pvz., prievaduose, skirtuose išeinančiam srautui perduoti. Dėl lankstaus požiūrio į taisyklių priskyrimą administratoriams suteikiamos plačios „Snort“ konfigūracijos parinktys.

1500 „Snort“ taisyklių yra saugomos skirtinguose failuose, atsižvelgiant į analizuojamų duomenų tipus. Pavyzdžiui, cmd.exe taisyklė yra faile web-iis.rules. Jei įmonė nenaudoja IIS, programai nereikia aptikti IIS atakų. Failą web-iis.rules galima lengvai pašalinti iš konfigūracijos, surandant ir pakomentavus eilutę

Įtraukti $RULE_PATH/web-iis.rules

snort.conf faile. Norėdami eilutę paversti komentaru, prieš ją įrašykite simbolį (#):

# apima $RULE_PATH/web-iis.rules

Pagal numatytuosius nustatymus kai kurie taisyklių failų tipai (pavyzdžiui, icmp-info.rules, chat.rules) pateikiami komentarais snort.conf. Numatytoji snort.conf taisyklių konfigūracija yra gana gera. Suaktyvinus užblokuotas taisykles, programa dažniausiai sugeneruoja daug nereikalingų įspėjimų.

Kai kuriuose failuose yra daug naudingų taisyklių, tačiau kelios taisyklės sukuria per daug nereikalingų įspėjimų. Norėdami išjungti tam tikrą taisyklę, turite pažymėti atitinkamą eilutę taisyklių faile kaip komentarą. Ateityje „Snort“ nepaisys šios taisyklės dirbdama su failu.

Atsiradus naujiems grėsmės šaltiniams, taisyklių failas turi būti atnaujintas. Geriausias naujų taisyklių šaltinis yra Snort.org. Šioje svetainėje nėra paslaugos automatinis atnaujinimas, todėl administratorius turės reguliariai kreiptis į jį dėl atnaujinimų, kai iškils kita grėsmė.

6 veiksmas: sukonfigūruokite įspėjimus ir žurnalus

Kaip minėta, „Snort“ teikia informacijos įrašymą „MySQL“, „SQL Server“, „Oracle“ ir su ODBC suderinamose duomenų bazėse. Tiesiog „Snort“ diegimo proceso metu pasirinkite tinkamą duomenų bazės tipą. Kad nebūtų per daug ilgesnis straipsnis, apsvarstysime standartinius registravimo režimus naudodami tekstinį failą ir pranešimų rašymo į „Windows“ įvykių žurnalą funkciją.

Kai paleidžiate NIDS naudojant komandą Snort, konsolės jungiklis -A ekrane rodomi įspėjimai. Norėdami persiųsti pranešimus į tekstinį failą, turėtumėte pakeisti šį jungiklį į -A greitas arba -A pilnas, atsižvelgiant į pageidaujamą registravimo režimą. Išvedami visi parametrai išsamus aprašymas grėsmės keliose tekstinio failo, pavadinto alerts.ids, eilutėse kataloge, kurio kelias nurodomas klavišu -l. Šio tipo registravimas pateikia išsamią informaciją, tačiau gali būti sunku suprasti, jei tinkle registruojama daug įvykių. Tokiuose „triukšminguose“ tinkluose rekomenduojama naudoti greitąjį režimą, kad į alerts.ids būtų įtraukti vienos eilutės įrašai, kuriuose yra pagrindinės įtartino srauto charakteristikos. Mano nuomone, dirbti su tekstiniu failu greituoju režimu yra lengviau nei visu režimu.

Dabartinė „Snort“ versija leidžia prisijungti prie „Windows“ įvykių žurnalo. Daugelis organizacijų jau įsigijo centralizuotus įvykių stebėjimo, registravimo ir duomenų rinkimo įrankius, todėl ši funkcija puikiai papildytų Windows aplinką.

Norėdami įrašyti įspėjimus į sistemos, kurioje veikia „Snort“, programos įvykių žurnalą, naudokite jungiklį -E, o ne jungiklį -A (parametrai neprivalomi). 5 paveiksle parodyta, kaip atrodo programos žurnale paskelbtas Snort įvykis (šiuo atveju bandymas pasiekti cmd.exe). „Windows“ įvykis pateikia tokią pat išsamią informaciją kaip ir konsolės ekrane.

NIDS yra nenaudingas, jei administratorius kartą per savaitę peržiūri įvykių žurnalus (arba teksto žurnalus). Jei kas nors nutinka tinkle, administratorius turi apie tai nedelsdamas žinoti. Centralizuota stebėjimo ir įvykių apdorojimo sistema gali siųsti pranešimus per paštu, į gaviklį ir kitus ryšio įrenginius. Bet jei tokios sistemos nėra, tai nekelia nerimo. NETIKUS.NET siūlo nemokamą EventSentry Light paketą, kurį galima naudoti įspėjimams siųsti.

EventSentry Light yra bandomoji EventSentry versija, kurią galima atsisiųsti iš http://www.netikus.net/products_downloads.html. Naudodami EventSentry Light galite sukonfigūruoti savo sistemą stebėti įvykių žurnalus ir automatiškai siųsti išsamius el. pašto pranešimus apie visus žurnale įrašytus Snort įvykius. Įjungta 6 ekranas parodyta pašto žinutė apie bandymus užpulti cmd.exe. Šį pranešimą iš EventSentry Light gavau praėjus kelioms sekundėms po atakos.

Kaip minėta pirmiau, „Snort“ paprastai generuoja daugybę nereikalingų pranešimų, kurie greitai užpildo įvykių žurnalus. Tai reikia turėti omenyje renkantis įvykių žurnalų failų dydžius ir kaip juos pasukti. Kad „EventSentry Light“ neužpildytų jūsų gautųjų pranešimų apie nedidelius įvykius, galite sukurti filtrą raktų eilučių paieškai. Pavyzdžiui, žinučių tekste suorganizavau paieškos filtrą.

7 veiksmas: paleiskite kaip paslaugą

Baigę galite paleisti „Snort“ kaip paslaugą, o ne prisijungti prie stalinio kompiuterio kiekvieną kartą, kai norite paleisti programą. Jei paleidžiate „Snort“ naudodami parinktis /SERVICE ir /INSTALL (kartu su kitomis komandų eilutės parinktimis), „Snort“ yra sukonfigūruotas veikti kaip „Windows“ paslaugos ir automatiškai paleidžiama naudojant „Windows“ be vartotojo įsikišimo.

Kitas lygis: išplėtimo moduliai

„Snort“ yra visapusiška programa. Tačiau kai kuriais atvejais programą reikia išplėsti. Pavyzdžiui, jei kelios NIDS yra įdiegtos skirtingose ​​tinklo dalyse, Snort patogu valdyti iš grafinės sąsajos. Tokios galimybės įdiegtos IDScenter plėtinių moduliuose iš Engage Security ir IDS Policy Manager iš Activeworx. Kartais reikia išanalizuoti žinutėse esančią informaciją. Galite peržiūrėti ir analizuoti saugomus duomenis naudodami „Analysis Console for Intrusion Databases“ (ACID) modulį, sukurtą Carnegie Mellon universitete.

Patikima apsauga

„Snort“ yra visapusiška programa, kuri nepakenks įmonės biudžetui. Sujungę Snort su galinga įvykių stebėjimo programa, tokia kaip EventSentry Light, galite aktyviai užkirsti kelią atakoms prieš jūsų tinklą.

SNORT yra atvirojo kodo IDS (įsibrovimų aptikimo sistema), leidžianti aptikti bet kokią įtartiną tinklo veiklą, lyginant integruotas kenkėjiško srauto aptikimo taisykles su duomenimis, einančiais per organizacijos vietinį tinklą. Tiesą sakant, taip veikia bet kuri antivirusinė programa, tačiau panašumai tuo ir baigiasi, nes šių sistemų paskirtis yra visiškai kitokia. Labai svarbu teisingai suprasti IDS sistemų tikslus ir uždavinius ir nepainioti jų su kitais saugumo įrankiais.

IDS sistema skirta blokuoti užpuoliko veiksmus jūsų tinklo tyrimo etape:

• aptikti įtartiną tinklo veiklą,
• nustatyti žinomus įrankius, skirtus analizuoti ir įsilaužti į užpuoliko naudojamus tinklus
• ir, jei įmanoma, užkirsti kelią neteisėtai veiklai.

Ši užduotis paprastai neatliekama kitomis priemonėmis, pavyzdžiui, ugniasienė, kuri tik užtveria įėjimą į vietinį tinklą. Antivirusinė programa sugauna žinomus virusų parašus, tačiau srauto vietiniame tinkle nekontroliuojama, o daugumoje organizacijų iš viso nekontroliuojama.

Įsivaizduokite, kad viena iš vietinio tinklo darbo stočių yra užkrėsta nauju, anksčiau nežinomu Trojos arkliu. Tokiu atveju antivirusinė programa negalės jos sekti ir neutralizuoti, nes atitinkamo parašo jos atmintyje tiesiog nėra. Tuo pačiu metu visi Trojos arklys yra skirti atlikti vieną užduotį – perimti konfidencialią informaciją ir nusiųsti ją virusų kūrėjui, o konfidencialios informacijos siuntimą galima tiesiog sustabdyti naudojant IDS SNORT. Nuskaityti tinklo išteklius, siekiant nustatyti tinklo silpnybes, taip pat neapsaugo nei antivirusinė, nei ugniasienė, nors tai svarbu, nes žvalgyba niekuomet nevykdoma taip, kad po jos dažnai įvyksta ataka.

Nustatymai

IDS technologija yra nemokama, tačiau ją gana sudėtinga įdiegti ir prižiūrėti. Tikriausiai negalėsite tiesiog įdiegti IDS SNORT (kaip tai darome su ugniasienėmis ir antivirusinėmis programomis) ir pamiršti apie tai. Programa ir pagrindinis aptikimo taisyklių rinkinys atsisiunčiami iš snort.org. Jei paliksite visus sistemos nustatymus pagal numatytuosius nustatymus, gausite daug pranešimų apie galimai nesaugius veiksmus vietiniame tinkle, net ping komanda sukels atitinkamą aliarmą. Turėsite skirti laiko išmokti sistemą, suprasti, kaip veikia aptikimo taisyklės ir atlikti atitinkamus nustatymus, tačiau taip išvengsite šimtų ar net tūkstančių perteklinių pranešimų ir sutaupysite. sistemos administratorius dėl galvos skausmo.

Būtina išmokyti IDS SNORT reaguoti tik į tam tikras grėsmes, pavyzdžiui, tinklo skaitytuvo veiklą, bandymą perkelti tam tikrus failus už organizacijos vietinio tinklo ribų ir/arba neleistina prieigaį pasirinktus tinklo išteklius. IDS SNORT yra labai pritaikoma sistema, leidžianti bet kuriam vartotojui nustatyti savo filtrų rinkinį, kuris gali reaguoti į reikšmingesnes tam tikro tinklo grėsmes ir nepaisyti kitų, mažiau svarbių. Kūrėjas pateikia pagrindinį aptikimo taisyklių paketą. Papildomus parašus galima įsigyti iš kitų įmonių, siūlančių SNORT pagrindu sukurtas IDS sistemas, kurios jau seniai tapo de facto pramonės standartu įsibrovimų aptikimo sistemų srityje.

IDS veikia Linux, Windows, SunOS ir kitose operacinėse sistemose.

SNORT administratorius gali redaguoti parašo paketus, pasirinktinai įjungti arba išjungti reikalingos taisyklės, arba parašyti savo parašus, kuriems reikės tam tikrų įgūdžių ir patirties, taip pat SNORT sintaksės išmanymo, kuri, tačiau, yra gana paprasta.

Nepamiršk to absoliuti apsauga neegzistuoja, vienintelis klausimas teisingi nustatymai IDS sistemos, kurios leis tinkamai reaguoti į esamas ir anksčiau nežinomas grėsmes. Kenkėjiškų programų kūrėjai taip pat tuo neapsiriboja ir nuolat tobulina savo įrankius, todėl reikia reguliariai atnaujinti IDS parašus.