الشخير وقيمة الكشف عن غير قابل للكشف

هناك العديد من الحالات التي يتم فيها اختراق الشبكات أو الوصول إليها بشكل غير قانوني أو تعطيلها بشكل فعال. لقد تم توثيق اختراق شبكة TJ Maxx الذي أصبح سيئ السمعة في عام 2006 جيدًا - سواء من حيث قلة العناية الواجبة من جانب TJ Maxx والتداعيات القانونية التي عانت منها الشركة نتيجة لذلك. أضف إلى ذلك مستوى الضرر الذي لحق بآلاف عملاء TJ Maxx وأهمية تخصيص الموارد لتحقيق أمن الشبكة بسرعة.

عند إجراء مزيد من التحليل للقرصنة TJ Maxx ، من الممكن الإشارة إلى نقطة ملموسة في الوقت الذي تم فيه ملاحظة الحادث وتخفيف حدته في النهاية. ولكن ماذا عن الحوادث الأمنية التي تمر مرور الكرام؟ ماذا لو كان أحد المتسللين الشباب المغامرين متحفظًا بما يكفي لسحب أجزاء صغيرة جدًا من المعلومات الحيوية من إحدى الشبكات بطريقة لا تجعل مسؤولي النظام أكثر حكمة؟ لمحاربة هذا النوع من السيناريو بشكل أفضل ، يمكن لمسؤولي الأمان / النظام مراعاة نظام اكتشاف التسلل (IDS).

بدايات الشخير

في عام 1998 ، تم إصدار Snort بواسطة مؤسس Sourcefire Martin Roesch. في ذلك الوقت ، تم وصفه على أنه نظام كشف اقتحام خفيف الوزن يعمل بشكل أساسي على أنظمة التشغيل Unix و Unix-like. في ذلك الوقت ، كان نشر Snort يعتبر متطورًا ، لأنه سرعان ما أصبح المعيار الفعلي في أنظمة كشف التسلل على الشبكة. مكتوب بلغة البرمجة C ، اكتسب Snort شعبية بسرعة حيث انجذب محللو الأمن نحو التفاصيل التي يمكن تكوينها بها. Snort أيضًا مفتوح المصدر تمامًا ، وكانت النتيجة برنامجًا قويًا وشائعًا على نطاق واسع ، وقد صمد أمامه كميات كبيرة من التدقيق في مجتمع المصادر المفتوحة.

الشخير أساسيات

في وقت كتابة هذا التقرير ، كان إصدار الإنتاج الحالي من Snort هو 2.9.2. إنه يحتفظ بثلاثة أوضاع للتشغيل: وضع الشم ، ووضع مسجل الحزم ، ونظام الكشف عن التسلل والوقاية منه (IDS / IPS).

يتضمن وضع Sniffer أكثر قليلاً من التقاط الحزم أثناء عبور المسارات باستخدام أي بطاقة واجهة شبكة (NIC) مثبت عليها Snort. يمكن لمسؤولي الأمان استخدام هذا الوضع لفك تشفير نوع حركة المرور التي يتم اكتشافها في بطاقة واجهة الشبكة (NIC) ، ثم يمكنهم ضبط إعدادات Snort الخاصة بهم وفقًا لذلك. تجدر الإشارة إلى أنه لا يوجد تسجيل في هذا الوضع ، لذلك يتم عرض جميع الحزم التي تدخل الشبكة ببساطة في دفق مستمر واحد على وحدة التحكم. خارج استكشاف الأخطاء وإصلاحها والتثبيت الأولي ، يكون لهذا الوضع المحدد قيمة قليلة بحد ذاته ، حيث يتم تقديم خدمة أفضل لمعظم مسؤولي النظام باستخدام شيء مثل الأداة المساعدة tcpdump أو Wireshark.

يشبه وضع أداة تسجيل الحزمة إلى حد كبير وضع sniffer ، ولكن يجب أن يكون هناك اختلاف رئيسي واضح في اسم هذا الوضع المحدد. يسمح وضع أداة تسجيل الحزمة لمسؤولي النظام بتسجيل أي حزم تنزل إلى الأماكن والتنسيقات المفضلة. على سبيل المثال ، إذا أراد مسؤول النظام تسجيل الحزم في دليل باسم / سجل على عقدة محددة داخل الشبكة ، فسيقوم أولاً بإنشاء الدليل على هذه العقدة المحددة. في سطر الأوامر ، كان يأمر Snort بتسجيل الحزم وفقًا لذلك. القيمة في وضع تسجيل الحزمة هي في جانب حفظ السجلات ملازم لاسمها ، لأنه يسمح لمحللي الأمان بفحص محفوظات شبكة معينة.

حسنا. كل هذه المعلومات من الجيد أن نعرفها ، لكن أين القيمة المضافة؟ لماذا يجب على مسؤول النظام قضاء بعض الوقت والجهد في تثبيت وتكوين Snort عندما يتمكن Wireshark و Syslog من أداء نفس الخدمات مع واجهة أجمل كثيرًا؟ الجواب على هذه الأسئلة ذات الصلة للغاية هو وضع نظام الكشف عن الشبكة (NIDS).

وضع Sniffer ووضع مسجل الحزم يخطوان الحجارة على الطريق إلى ما هو Snort حقا كل شيء - وضع NIDS. يعتمد وضع NIDS بشكل أساسي على ملف التكوين snort (يشار إليه عادة باسم snort.conf) ، والذي يحتوي على كافة مجموعات القواعد التي يتشاور نشر Snort النموذجي قبل إرسال التنبيهات إلى مسؤولي النظام. على سبيل المثال ، إذا كان المسؤول يرغب في تشغيل تنبيه في كل مرة تدخل فيها حركة مرور FTP و / أو تغادر الشبكة ، فسوف تشير ببساطة إلى ملف القواعد المناسب داخل snort.conf و voila! سيتم تشغيل التنبيه وفقًا لذلك. كما قد يتصور المرء ، يمكن أن يصبح تكوين snort.conf محبب للغاية من حيث التنبيهات والبروتوكولات وأرقام منافذ معينة وأي استدلالي آخر قد يشعر مسؤول النظام أنه مرتبط بشبكتها الخاصة.

حيث الشخير يأتي قصيرة

بعد وقت قصير من بدء Snort باكتساب شعبية ، كان عيبه الوحيد هو مستوى موهبة الشخص الذي قام بتكوينه. ومع مرور الوقت ، بدأت معظم أجهزة الكمبيوتر الأساسية في دعم معالجات متعددة ، وبدأت العديد من شبكات المناطق المحلية تقترب من سرعة 10 جيجابت في الثانية. تم اعتبار Snort باستمرار على أنها "خفيفة" طوال تاريخها ، وهذا اللقب له صلة بهذا اليوم. عند التشغيل على سطر الأوامر ، لم يكن زمن انتقال الحزم كبيرًا على الإطلاق ، ولكن في السنوات الأخيرة بدأ مفهوم معروف باسم تعدد مؤشرات ترابطًا بالفعل في محاولة لأن العديد من التطبيقات تحاول الاستفادة من المعالجات المتعددة المذكورة أعلاه. على الرغم من المحاولات العديدة للتغلب على مشكلة تعدد الإصدارات ، لم يتمكن Roesch وبقية فريق Snort من تحقيق أي نتائج ملموسة. كان من المقرر إصدار Snort 3.0 في عام 2009 ، لكن لم يتم إتاحته حتى وقت كتابة هذا التقرير. علاوة على ذلك ، تقترح إيلين ميسمر من Network World أن Snort وجدت نفسها بسرعة في منافسة مع إدارة الأمن الداخلي IDS المعروفة باسم Suricata 1.0 ، والتي يشير مؤيدوها إلى أنها تدعم تعدد العمليات. ومع ذلك ، تجدر الإشارة إلى أن هذه الادعاءات قد تم المتنازع عليها بشدة من قبل مؤسس Snort.

الشخير المستقبل

هل لا يزال سنورت مفيدًا؟ هذا يعتمد على السيناريو. سيكون من دواعي سرور المتسللين الذين يعرفون كيفية الاستفادة من أوجه القصور المتعددة في Snort لمعرفة أن الشبكة الوحيدة في شبكة للكشف عن الاختراقات هي Snort 2.x. ومع ذلك ، لم يكن من المفترض أن يكون Snort هو الحل الأمني ​​لأي شبكة. تعتبر Snort دائمًا أداة سلبية تخدم غرضًا معينًا من حيث تحليل حزم الشبكة والطب الشرعي للشبكة. إذا كانت الموارد محدودة ، فقد يفكر مسؤول نظام حكيم ولديه معرفة وفيرة في Linux في نشر Snort بما يتماشى مع بقية شبكته. في حين أنه قد يكون لها أوجه قصور ، لا يزال Snort يوفر أكبر قيمة بأقل تكلفة. (حول توزيعات Linux في Linux: معقل الحرية.)