Table des matières:
Il existe de nombreux cas où les réseaux sont piratés, illégalement accessibles ou effectivement désactivés. Le piratage désormais infâme du réseau TJ Maxx en 2006 a été bien documenté - à la fois en termes de manque de diligence raisonnable de la part de TJ Maxx et des ramifications juridiques subies par la société en conséquence. Ajoutez à cela le niveau de préjudice causé à des milliers de clients TJ Maxx et l'importance d'allouer des ressources à la sécurité du réseau devient rapidement évidente.
Après une analyse plus approfondie du piratage du TJ Maxx, il est possible de pointer vers un moment tangible où l'incident a finalement été remarqué et atténué. Mais qu'en est-il des incidents de sécurité qui passent inaperçus? Que se passe-t-il si un jeune pirate entreprenant est suffisamment discret pour siphonner de minuscules informations vitales d'un réseau d'une manière qui ne rend pas les administrateurs système plus sages? Pour mieux combattre ce type de scénario, les administrateurs de sécurité / système peuvent envisager le système de détection d'intrusion Snort (IDS).
Les débuts de Snort
En 1998, Snort a été libéré par le fondateur de Sourcefire, Martin Roesch. À l'époque, il était présenté comme un système de détection d'intrusion léger qui fonctionnait principalement sur les systèmes d'exploitation Unix et Unix. À l'époque, le déploiement de Snort était considéré comme à la pointe de la technologie, car il est rapidement devenu la norme de facto dans les systèmes de détection d'intrusion réseau. Écrit dans le langage de programmation C, Snort a rapidement gagné en popularité à mesure que les analystes de la sécurité gravitaient vers la granularité avec laquelle il pouvait être configuré. Snort est également complètement open source, et le résultat a été un logiciel très robuste et très populaire qui a résisté à de nombreuses analyses dans la communauté open source.Fondamentaux Snort
Au moment d'écrire ces lignes, la version de production actuelle de Snort est 2.9.2. Il maintient trois modes de fonctionnement: mode renifleur, mode enregistreur de paquets et mode système de détection et de prévention des intrusions sur le réseau (IDS / IPS).
Le mode renifleur implique un peu plus que la capture de paquets car ils se croisent avec la carte d'interface réseau (NIC) sur laquelle Snort est installé. Les administrateurs de sécurité peuvent utiliser ce mode pour déchiffrer le type de trafic détecté sur la carte réseau et peuvent ensuite ajuster leur configuration de Snort en conséquence. Il convient de noter qu'il n'y a pas de journalisation dans ce mode, donc tous les paquets qui entrent dans le réseau sont simplement affichés dans un flux continu sur la console. En dehors du dépannage et de l'installation initiale, ce mode particulier a peu de valeur en soi, car la plupart des administrateurs système sont mieux servis en utilisant quelque chose comme l'utilitaire tcpdump ou Wireshark.
Le mode enregistreur de paquets est très similaire au mode renifleur, mais une différence clé devrait être évidente dans le nom de ce mode particulier. Le mode enregistreur de paquets permet aux administrateurs système de consigner tous les paquets qui descendent dans des emplacements et des formats préférés. Par exemple, si un administrateur système souhaite enregistrer des paquets dans un répertoire nommé / log sur un nœud spécifique du réseau, il doit d'abord créer le répertoire sur ce nœud particulier. Sur la ligne de commande, il demandait à Snort de consigner les paquets en conséquence. La valeur en mode enregistreur de paquets est dans l'aspect de la tenue des registres inhérent à son nom, car elle permet aux analystes de sécurité d'examiner l'historique d'un réseau donné.
D'ACCORD. Toutes ces informations sont agréables à savoir, mais où est la valeur ajoutée? Pourquoi un administrateur système devrait-il consacrer du temps et des efforts à installer et configurer Snort alors que Wireshark et Syslog peuvent exécuter pratiquement les mêmes services avec une interface beaucoup plus jolie? La réponse à ces questions très pertinentes est le mode NIDS (Network Intrusion Detection System).
Le mode Sniffer et le mode enregistreur de paquets sont des tremplins sur la voie de ce qu'est vraiment Snort - le mode NIDS. Le mode NIDS repose principalement sur le fichier de configuration Snort (communément appelé snort.conf), qui contient tous les ensembles de règles qu'un déploiement Snort type consulte avant d'envoyer des alertes aux administrateurs système. Par exemple, si un administrateur souhaite déclencher une alerte chaque fois que le trafic FTP entre et / ou quitte le réseau, il se référera simplement au fichier de règles approprié dans snort.conf, et le tour est joué! Une alerte sera déclenchée en conséquence. Comme on peut l'imaginer, la configuration du snort.conf peut devenir extrêmement granulaire en termes d'alertes, de protocoles, de certains numéros de port et de toute autre heuristique qu'un administrateur système peut juger pertinente pour son réseau particulier.
Où Snort est court
Peu de temps après que Snort a commencé à gagner en popularité, son seul défaut était le niveau de talent de la personne qui le configurait. Au fil du temps cependant, les ordinateurs les plus élémentaires ont commencé à prendre en charge plusieurs processeurs, et de nombreux réseaux locaux ont commencé à approcher des vitesses de 10 Gbps. Snort a toujours été présenté comme "léger" tout au long de son histoire, et ce surnom est pertinent à ce jour. Lorsqu'il est exécuté sur la ligne de commande, la latence des paquets n'a jamais été un obstacle majeur, mais ces dernières années, un concept connu sous le nom de multithreading a vraiment commencé à s'imposer car de nombreuses applications tentent de tirer parti des multiples processeurs susmentionnés. Malgré plusieurs tentatives pour surmonter le problème du multithreading, Roesch et le reste de l'équipe Snort n'ont pas été en mesure de produire des résultats tangibles. Snort 3.0 devait sortir en 2009, mais n'était pas encore disponible au moment de la rédaction. En outre, Ellen Messmer de Network World suggère que Snort s'est rapidement retrouvé dans une rivalité avec le Department of Homeland Security IDS connu sous le nom de Suricata 1.0, dont les partisans suggèrent qu'il prend en charge le multithreading. Cependant, il convient de noter que ces affirmations ont été vivement contestées par le fondateur de Snort.L'avenir de Snort
Snort est-il toujours utile? Cela dépend du scénario. Les pirates qui savent tirer parti des lacunes multithreads de Snort seraient ravis de savoir que le seul moyen d'un réseau donné de détecter les intrusions est Snort 2.x. Cependant, Snort n'a jamais été conçu pour être LA solution de sécurité pour n'importe quel réseau. Snort a toujours été considéré comme un outil passif qui sert un objectif particulier en termes d'analyse de paquets réseau et de criminalistique de réseau. Si les ressources sont limitées, un administrateur système avisé possédant une connaissance approfondie de Linux peut envisager de déployer Snort en ligne avec le reste de son réseau. Bien qu'il puisse avoir ses défauts, Snort fournit toujours la plus grande valeur au moindre coût. (à propos des distributions Linux dans Linux: Bastion de la liberté.)