Snorteanmeldelse og alternativer
Snøfte er et open source-projekt med udviklingsbidrag fra frivillige. Projektet er dog velorganiseret og fuldt finansieret, hvilket gør dette et gratis værktøj af professionel standard. Snort-pakken er en system til registrering af netværksindtrængen . Dette er et avanceret sikkerhedsværktøj, som mange brugere ville betale en høj pris for at anskaffe, men det behøver de ikke, fordi Snort er helt gratis at bruge.
Systemsikkerhedssektoren bruger mange overlappende strategier, og det kan være udfordrende at finde ud af, præcis hvilke værktøjer en virksomhed har brug for for at blokere ondsindet aktivitet. Det er også nogle gange svært at finde ud af, hvilke pakker der er systemmonitorer, og hvilke der er sikkerhedstjenester.
Snort er et systemsikkerhedsværktøj . Men den sikkerhedsmekanisme er baseret på live dataindsamling, der giver systemovervågning såvel. Som et gratis værktøj er Snort en disruptor. Det matcher mulighederne i mange dyre værktøjer og kan nemt skade rentabiliteten for mange store softwareudviklingsselskaber, hvis mere netværksledelse kendte til Snorts eksistens.
Systemer til registrering af indtrængen
An system til registrering af indtrængen (IDS) har til formål at identificere hackere. Dette er den anden forsvarslinje og voksede fra softwareindustriens erkendelse af, at kampen mod hackere er en ubarmhjertig, uvindelig krig.
Traditionelle forsvarssystemer patruljere omkredsen . Den klassiske netværksforsvarer er firewallen . Det blokerer malware i at rejse ind og forhindrer en række hackerstrategier ved at afvise alle indgående forbindelsesanmodninger. Men den strategi ville være håbløs for webtjenester og umulig at patruljere hvornår insidere kan åbne op for forbindelser til ondsindede eksterne steder.
Uanset hvilken plan en firewalludvikler kommer med for at blokere ondsindede udefrakommende, vil hackere altid finde en vej ind. IDS'er tage en realistisk tilgang og acceptere, at nogle hackere altid vil komme igennem. Håber på det bedste, men planlæg det værste.
Snort er systemets ækvivalent til homeland security.
IDS og SIEM
Der er to fremtrædende steder for enhver type aktivitet i et system: på endepunkter og mellem dem. Derfor er der to typer af indtrængen detektionssystemer: værtsbaseret IDS (HIDS) og system til registrering af netværksindtrængen (NIDS).
Snort er en NIDS .
Når du læser om HIDS og NIDS, vil du indse, at disse beskrivelser er præcis, hvad du læser i brochuren for SIEM som du har købt. Dette skyldes, at HIDS, NIDS, SIM, SEM og SIEM overlapper alle branchevilkår.
Håndtering af sikkerhedshændelser (SEM) ser på levende aktivitet på et system, som normalt går ud på at se netværk for ondsindet trafik. REDER er derfor det samme som SEM. Sikkerhedsinformationshåndtering (SIM) involverer søgning gennem logfiler og aktivitetsregistreringer indsamlet fra enheder og centraliseret. Det er præcis hvad værtsbaserede indtrængningsdetektionssystemer gør . SIEM er Sikkerhedsinformation og Event Management – den kombinerer et SIM-kort og en SEM. Derfor er SIEM = HIDS + NIDS.
Grænserne mellem SIM og SEM og derfor HIDS og NIDS kan udviskes for at forvirre sagerne yderligere. Dette er fordi log beskeder er oprindeligt live rapporter, og de rapporter, som live-overvågningssystemer er afhængige af, kan arkiveres.
Forebyggelse af indtrængen
Den eneste grund til, at du ønsker at opdage ondsindet aktivitet, er at stop det . Din IDS blinker med en advarsel, der fortæller dig, at trafik fra en bestemt IP-adresse eller brugerkonto gør noget forfærdeligt. Du vil suspendere den brugerkonto og opdatere firewall-reglerne for at blokere denne IP-adresse. Det vil du gøre hver gang.
I betragtning af, at der kun er så mange handlinger, som en menneskelig administrator kan foretage, når en ubuden gæst bliver identificeret, kan en computer så ikke laves til at gøre disse ting i stedet? Ja, det kan det, og det er hvad en system til forebyggelse af indtrængen (IPS) gør.
En IPS er en IDS med et par ekstra rutiner, der kommunikerer med adgangsrettighedsadministratorer og firewalls til magtesløse de opdagede ondsindede aktører.
Snort er et system til forebyggelse af indtrængen.
Historien om Snort
Martin Roesch er en af de førende personer inden for udvikling af systemsikkerhed. Hans fremtræden begyndte i 1998, da han skabte Snort . Efterhånden som flere mennesker lærer Snort at kende, voksede beundring for Roesch. Endelig, i 2001, grundlagde han Sourcefire, Inc. , som havde ophavsretten til Snort.
Sourcefire producerede et netværksapparat kaldet Ildkraft , som implementerede sikkerhed ved at indlejre Snort-processer. Kort sagt, Firepower var Snort-som-en-enhed. Men mens Sourcefire tjente penge på Firepower, holdt det Snort fri og uafhængigt administreret. Så, Firepower subsidieret Snort .
Normalt giver ophavsretslicensstrukturen for open source-systemer virksomheder mulighed for at bruge og udvikle koden, men forhindrer dem i at remarketing af systemet for profit. Men da Sourcefire ejede ophavsretten til Snort, var den ikke underlagt denne begrænsning.
Produktlinjen Snort og Firepower var en vindende kombination for Sourcefire, og i juli 2013 solgte Roesch og hans investorer virksomheden til Cisco systemer for 2,7 milliarder dollars. Roesch er nu Vice President for Ciscos Security Business Group, og Snort er stadig gratis at bruge.
Bruges til Snort
Snort har tre tilstande. Disse tilbyder forskellige tjenester. Driftsniveauerne for Snort er:
- Sniffer-tilstand Dette fungerer som et pakkeopsamlingssystem, der viser forbipasserende trafik i en fremviser i Snort-konsollen.
- Pakkelogger-tilstand Denne mulighed skriver indsamlede pakker til filen.
- Network Intrusion Detection System Mode Dette er den karakteristiske brug for Snort og adskiller det fra alle andre pakkesniffere for at gøre det til et forsvarssystem snarere end blot et værktøj til forskning.
Snorts operationelle strategi er lagdelt. Faktisk bygger hver højere tilstand på de tjenester, der leveres af den lavere tjeneste. For eksempel er der ikke meget forskel på Sniffer-tilstand og Pakkelogger-tilstand – den anden gemmer bare de pakker, som den første samler. Der er dog stor forskel på Pakkelogger-tilstand og Network Intrusion Detection System Mode . Dette spring involverer anvendelse af regler. Disse kaldes Snort Rulesets.
Snorte-regelsæt
Regelsæt er en af måderne, Cisco kan tjene nogle penge på Snort-pakken. Regelsæt gør Snort til en IDS - uden disse er det bare en pakkesniffer. Der er to typer regelsæt: Fællesskabsregler og Snort-abonnentregler . Fællesskabsreglerne er gratis.
En regel er en sammenstilling af betingelser og handlinger: HVIS dette sker, DEREFTER gøre det. Handlingen er normalt en række trin. Enhver programmør vil straks genkende denne struktur og en betinget forgreningsmekanisme, der er en af grundpillerne i et computerprogram. Så titlen på 'regelsæt' underspiller vigtigheden af disse plugins.
Det Fællesskabsregler er ikke helt så amatøragtige, som de lyder. Først og fremmest skal du huske på, at Snortefællesskab omfatter meget erfarne, kvalificerede netværksspecialister . Ikke alle idéer kommer ind i menuen Fællesskabsregler. Analytikere fra Cisco Talos , et forskningsteam for sikkerhedsapplikationer, undersøger hver kandidat til Fællesskabets regelsæt. Dette sikrer, at hackere ikke med vilje kan indføre sikkerhedsscanning af blinde vinkler i Snort-systemet.
Indstillinger for Snort-implementering
Snorts kildekode er tilgængelig til download, hvilket betyder, at hvis du har evnerne og tiden, kan du justere programmet, før du kompilerer og bruger det. Det scenarie er kernen i mange af opdateringerne til systemet, fordi de brugere, der kommer med en lys idé til en udvidelse til Snort, indsender disse ændringer til den centrale komité til overvejelse. Efter analyse bliver nogle af disse tilpasninger en del af Snorts kernefunktionalitet. Kildekoden er bundtet i en tager format , velegnet til brug på Linux .
Installationsprogrammer er tilgængelige for at få Snort til at køre på Fedora og CentOS Linux , FreeBSD , og Windows . Disse pakker er tilgængelige gratis fra Snorts hjemmeside .
Snorkens styrker og svagheder
Snort har et meget loyalt brugerfællesskab, der konstant undersøger mulige forbedringer af pakken og udleverer gratis rådgivning til nytilkomne. Som et resultat er værktøjet meget højt anset og udfordrende at slå. Her er vores vurdering af Snort.
Fordele:
- Gratis at bruge
- Scanner netværkstrafik til analyse
- Tillader, at pakker gemmes til fil til analyse i andre værktøjer
- Tillader, at afhjælpningshandlinger udløses ved detektering af en ubuden gæst
- Fleksibel og kan tilpasses med regelsæt
- Har flere relaterede tredjepartspartnerværktøjer
Ulemper:
- Er modtagelig for DoS-angreb fra netværket
Overordnet set er det en god øvelse at lære Snort at kende. Selvom du ender med at arbejde med en anden IPS eller fyldig for en SIEM i stedet, giver en afprøvning af Snort-systemet en god uddannelse i, hvordan netværkssikkerhedspakker fungerer.
Alternativer til Snort
Selvom Snort er en brancheleder inden for indtrængningsdetektion og et af de få produkter, der reelt udfører netværksindtrængningsdetektion, er det altid en god idé at undersøge flere alternative systemer, før du begynder at bruge nogen form for software.
Vores metode til at vælge et alternativ til Snort
Vi gennemgik markedet for systemer til forebyggelse af netværksindtrængning som Snort og vurderede mulighederne ud fra følgende kriterier:
- En brugervenlig grænseflade, der giver mulighed for detektionstilpasning
- Mulighed for at se og gemme netværkstrafik
- En udvidelig regelbase, der også giver mulighed for tilpasning
- En tjeneste, der kan orkestrere afhjælpningshandlinger med andre sikkerhedsværktøjer
- En tjeneste, der er godt understøttet og ofte opdateret til tætte udnyttelser
- Et gratis værktøj eller en gratis prøveperiode til en gratis vurdering
- Et betalt værktøj, der giver værdi for pengene eller et gratis værktøj, der er værd at installere
Vi har samlet en liste over nogle fremragende systemer til forebyggelse af indtrængen, som konkurrerer godt med Snort med disse udvælgelseskriterier i tankerne.
Her er vores liste over de seks bedste alternativer til Snort:
- Invincible (FÅ GRATIS DEMO) Hvis du ikke ønsker at gå IDS/SIEM-ruten for din systemsikkerhedsstrategi, kan du prøve en sårbarhedsmanager i stedet for. Dette er en anden tilgang til systembeskyttelse. I stedet for at lede efter ondsindet aktivitet på dit system, leder Invicti efter udnyttelser, der ville lade hackere komme ind. Det opererer ikke på netværkssvagheder, men fokuserer i stedet på webapplikationssikkerhed. Det er muligt at implementere både en IDS og en sårbarhedsmanager for total beskyttelse. Dette system er et betalt værktøj tilgængeligt som en SaaS-pakke eller til montering på Windows og Windows Server . Se hvordan Invicti fungerer ved at få adgang til et demosystem.
- Acunetix (FÅ GRATIS DEMO) Dette er også en sårbarhedsmanager snarere end en IDS. Acunetix er lidt tættere på Snort end Invicti, fordi det implementerer netværkssårbarhedsscanning og giver webapplikationssikkerhed. Acunetix er et betalt værktøj, og det er tilgængeligt som hostet SaaS pakker eller til installation på Windows , macOS , eller Linux . Tag et kig på Acunetix ved at få adgang til et demosystem.
- Minimum Dette er en meget tæt konkurrent til Snort. Det er et open source, gratis indtrængningsforebyggelsessystem med en sofistikeret grænseflade med hele udseendet og følelsen af et dyrt betalt værktøj. Tilføjede HTTPS- og TLS-administrationsfaciliteter betyder, at dette også er et fremragende beskyttelsessystem til webservere. Dette system er udviklet og administreres af Open Information Security Foundation (OISF). Det er så tæt på Snort, at ethvert værktøj designet til at forbinde til Snort automatisk vil arbejde med Suricata. Dette system er tilgængeligt for Windows , Linux , macOS , og FreeBSD .
- være Tidligere kendt som Bro, dette gratis open source-projekt er fire år ældre end Snort, men er velholdt og opdateres regelmæssigt. Dette er en fremragende netværkssikkerhedsmonitor, der kan fungere som en pakkesniffer. Det fungerer med HTTP-, SNMP-, FTP- og DNS-trafik for at lede efter uregelmæssigheder. Dets detektions- og forebyggelsesfunktioner er drevet af brugerdefinerbare og delbare politikscripts, som ligner Snorts regelsæt. Tilgængelig for Linux , macOS , og FreeBSD .
- OSSEC Open Source HIDS Security-systemet vil give dig et værtsbaseret alternativ til Snorts tilgang til netværkssikkerhedsovervågning. Denne højt respekterede gratis HIDS blev lanceret i 2008. Trend Micro sponsorerer den. OSSEC indsamler logdata og behandler disse poster på udkig efter indikatorer for angreb, der trodses af en database med signaturer. Værktøjet kan koordinere med firewalls og adgangsrettighedsadministratorer for at lukke mistænkelig aktivitet ned. Tilgængelig for Windows , Linux , macOS , FreeBSD , og Solaris .
- Optakt OSS Dette er en sikkerhedspakke tilgængelig i en gratis community-udgave som et alternativ til den betalte version, Prelude SIEM. Prelude-tjenesten er kompatibel med Snort, OSSEC og andre open source IDS'er, så det er muligt at konstruere en hybrid sikkerhedstjeneste med dette værktøj og andre, der arbejder sammen. Denne tjeneste har tre moduler: Alert, som er en SEM, der ser live-begivenheder; arkiv, som er et SIM-kort og gennemsøger logfiler; og Analyse, som binder de to andre moduler sammen. Tilgængelig for Linux .