Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay
23.06.2020

Chmurowe kopie

Veeam Backup dla Microsoft Azure
19.06.2020

Nowości w kontenerach

Red Hat OpenShift 4.4
19.06.2020

Analityka bezpieczeństwa

FortiAI
19.06.2020

UPS dla obliczeń edge

Schneider APC Smart-UPS
16.06.2020

Przemysłowe SD

Nowe karty Transcend
16.06.2020

Storage dla SMB

QNAP TS-451DeU
16.06.2020

Pamięć masowa

Dell EMC PowerStore

SNORT – skanowanie sieci

Data publikacji: 12-01-2015 Autor: Konrad Kubecki
Autor: Rys. K. Panek
Sguil to program realizujący...
Snorby jest aplikacją webową,...

IDS, IPS to hasła, które wielu administratorom kojarzą się z inwestycją w drogie urządzenia sprzętowe. Podłączone do sieci firmowej mają zwiększyć bezpieczeństwo i dostarczyć wiedzy o tym, co dzieje się na sieci. Skuteczność tego typu rozwiązań trudno podważyć. Niektóre z nich są naprawdę dobre. Jednak czy jest możliwe uzyskanie podobnego efektu bez wydawania pieniędzy?

Snort jest narzędziem, które potrafi  chronić infrastrukturę informatyczną  poprzez analizę pakietów sieciowych.  Wykrywa w nich próby skanowania  i ataki na konkretne usługi.  Podejmuje akcje mające na celu zatrzymanie  niekorzystnych zjawisk, zapisuje  informacje o zdarzeniach i alarmuje  administratorów. 

> TRYBY PRACY

Snort potrafi pracować w trzech trybach.  Każdy z nich oznacza realizację innego  celu. W trybie sniffer Snort nasłuchuje  ruch sieciowy i prezentuje go na ekranie.  Jest to podgląd w trybie rzeczywistym. Pakiety  krążące w danej chwili po sieci trafiają  w swoje miejsca docelowe, a jednocześnie  Snort umieszcza ich szczegóły w konsoli.  Istnieje wiele przełączników, dzięki  którym mogą być prezentowane tylko  określone informacje. Wybrany protokół,  same nagłówki pakietów lub pakiety w całości  to najczęściej wybierane opcje.  

Drugim trybem obsługiwanym  przez Snorta jest Packet Logger. Służy  do rejestracji fragmentów transmisji  sieciowej. Sekwencję pakietów można  zapisać na dysk i użyć do analizy  w późniejszym czasie. Zapis może  odbywać się do plików tekstowych,  z podziałem na różne adresy IP. Snort  tworzy swego rodzaju strukturę katalogów,  w których rejestruje komunikację    z różnymi adresami. Możliwy jest także  zapis do pojedynczego, binarnego  pliku w formacie tcpdump. Zaletą tego  formatu jest możliwość otworzenia zapisanej  transmisji nie tylko poprzez  Snorta, ale także poprzez narzędzia  tcpdump, Ethereal, Wireshark i wiele  innych. Każde z nich wykorzystuje  nieco inny interfejs, co daje administratorowi  możliwość wyboru programu,  który pozwoli na analizę zapisanego  ruchu sieciowego w sposób  wygodny i optymalny.  

Ostatnim trybem obsługiwanym  przez Snorta jest Network Intrusion Detection  System, czyli tryb polegający  na analizie ruchu sieciowego w czasie  rzeczywistym w celu wykrycia zagrożeń  i prób ataków. Po namierzeniu podejrzanych  zjawisk następuje podjęcie  reakcji mającej na celu zapisanie logu,  poinformowanie o zdarzeniu oraz podjęcie  reakcji zgodnie z regułami zapisanymi  w konfiguracji Snorta. 

> OCHRONA NA PODSTAWIE  JASNYCH REGUŁ

Kluczowym elementem wdrożenia  Snorta jest pobranie reguł oraz konfiguracja  ich automatycznej aktualizacji.  Zasada jest zbliżona do działania  oprogramowania antywirusowego.  Jednorazowe pobranie reguł pozwala  na wykrywanie pokaźnej liczby zagrożeń,  ale nie daje szans w walce z atakami,  które zostaną opracowane  w przyszłości. W tym celu należy założyć  konto na stronie internetowej projektu  oraz skonfigurować komunikację  z wdrażanym przez nas Snortem.  Dzięki temu system będzie cyklicznie  pobierał aktualizacje reguł.  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"