Snort और undetectable का पता लगाने का मूल्य

ऐसे कई उदाहरण हैं जहां नेटवर्क हैक किए गए हैं, गैरकानूनी रूप से एक्सेस किए गए हैं या प्रभावी रूप से अक्षम हैं। TJ Maxx नेटवर्क की अब बदनाम 2006 हैकिंग को अच्छी तरह से प्रलेखित किया गया है - TJ Maxx की ओर से यथोचित परिश्रम की कमी और परिणामस्वरूप, कंपनी द्वारा कानूनी अड़चनों के कारण। हजारों टीजे मैक्सएक्स ग्राहकों के लिए किए गए नुकसान के स्तर में इसे जोड़ें और नेटवर्क सुरक्षा की ओर संसाधनों को आवंटित करने का महत्व जल्दी से स्पष्ट हो जाता है।

टीजे मैक्सएक्स हैकिंग के आगे के विश्लेषण पर, उस समय में एक मूर्त बिंदु को इंगित करना संभव है जहां घटना को अंततः देखा गया और इसे कम किया गया। लेकिन उन सुरक्षा घटनाओं के बारे में क्या जो किसी का ध्यान नहीं जाती हैं? क्या होगा अगर एक उद्यमी युवा हैकर एक नेटवर्क से महत्वपूर्ण जानकारी के छोटे टुकड़ों को छीनने के लिए पर्याप्त है, जो सिस्टम प्रशासक को नहीं छोड़ता है? इस प्रकार के परिदृश्य का बेहतर मुकाबला करने के लिए, सुरक्षा / सिस्टम प्रशासक Snort घुसपैठ डिटेक्शन सिस्टम (IDS) पर विचार कर सकते हैं।

खर्राटों की शुरुआत

1998 में, स्नॉर्ट को सोर्सफायर के संस्थापक मार्टिन रोश द्वारा जारी किया गया था। उस समय, इसे हल्के घुसपैठ पहचान प्रणाली के रूप में बिल किया गया था जो मुख्य रूप से यूनिक्स और यूनिक्स जैसे ऑपरेटिंग सिस्टम पर काम करता था। उस समय, स्नॉर्ट की तैनाती को अत्याधुनिक माना जाता था, क्योंकि यह जल्दी से नेटवर्क घुसपैठ का पता लगाने वाले सिस्टम में वास्तविक मानक बन गया था। C प्रोग्रामिंग भाषा में लिखा गया, Snort ने जल्द ही लोकप्रियता हासिल कर ली क्योंकि सुरक्षा विश्लेषकों ने उस ग्रैन्युलैरिटी की ओर रुख किया जिसके साथ इसे कॉन्फ़िगर किया जा सकता था। स्नॉर्ट भी पूरी तरह से खुला स्रोत है, और परिणाम एक बहुत मजबूत, व्यापक रूप से लोकप्रिय सॉफ्टवेयर का हिस्सा रहा है, जिसमें खुले स्रोत समुदाय में पर्याप्त मात्रा में जांच हुई है।

स्नॉर्ट फंडामेंटल

इस लेखन के समय, स्नॉर्ट का वर्तमान उत्पादन संस्करण 2.9.2 है। यह ऑपरेशन के तीन मोड को बनाए रखता है: स्निफर मोड, पैकेट लॉगर मोड और नेटवर्क घुसपैठ का पता लगाने और रोकथाम प्रणाली (आईडीएस / आईपीएस) मोड।

स्निफर मोड में पैकेट कैप्चरिंग की तुलना में थोड़ा अधिक शामिल है क्योंकि वे जो भी नेटवर्क इंटरफेस कार्ड (एनआईसी) के साथ क्रॉस को पार करते हैं, स्नॉर्ट चालू है। सुरक्षा प्रशासक इस मोड का उपयोग यह समझने के लिए कर सकते हैं कि एनआईसी में किस प्रकार के ट्रैफ़िक का पता लगाया जा रहा है, और फिर उसी के अनुसार स्नॉर्ट के उनके कॉन्फ़िगरेशन को ट्यून कर सकते हैं। यह ध्यान दिया जाना चाहिए कि इस मोड में कोई लॉगिंग नहीं है, इसलिए नेटवर्क में प्रवेश करने वाले सभी पैकेट बस कंसोल पर एक सतत स्ट्रीम में प्रदर्शित होते हैं। समस्या निवारण और प्रारंभिक स्थापना के बाहर, इस विशेष मोड का स्वयं में बहुत कम मूल्य है, क्योंकि अधिकांश सिस्टम प्रशासक tcpdump उपयोगिता या विंडसर की तरह कुछ का उपयोग करके बेहतर सेवा करते हैं।

पैकेट लॉगर मोड स्निफर मोड के समान है, लेकिन इस विशेष मोड के नाम पर एक महत्वपूर्ण अंतर स्पष्ट होना चाहिए। पैकेट लॉगर मोड सिस्टम प्रशासकों को जो भी पैकेट पसंदीदा स्थानों और स्वरूपों में नीचे आ रहा है, उसे लॉग इन करने की अनुमति देता है। उदाहरण के लिए, यदि कोई सिस्टम प्रशासक नेटवर्क के भीतर एक विशिष्ट नोड पर लॉग / नामित नाम से पैकेट को लॉग इन करना चाहता है, तो वह पहले उस विशेष नोड पर निर्देशिका का निर्माण करेगा। कमांड लाइन पर, वह Snort को तदनुसार पैकेट लॉग करने के लिए निर्देश देगा। पैकेट लॉगर मोड में मूल्य रिकॉर्ड के पहलू को उसके नाम पर निहित है, क्योंकि यह सुरक्षा विश्लेषकों को किसी दिए गए नेटवर्क के इतिहास की जांच करने की अनुमति देता है।

ठीक। यह सब जानकारी जानकर अच्छा लगा, लेकिन मूल्य कहाँ जोड़ा गया है? क्यों एक सिस्टम प्रशासक को समय और प्रयास खर्च करना चाहिए और स्नॉर्ट को कॉन्फ़िगर करना होगा, जब वॉयरशर्क और सिसलॉग व्यावहारिक रूप से एक ही सेवाओं को एक बहुत ही सुंदर इंटरफ़ेस के साथ प्रदर्शन कर सकते हैं? इन बहुत ही प्रासंगिक प्रश्नों का उत्तर नेटवर्क घुसपैठ का पता लगाने वाली प्रणाली (एनआईडीएस) है।

स्निफर मोड और पैकेट लकड़हारा मोड क्या वास्तव में सभी के बारे में रास्ते पर कदम पत्थर हैं - एड्स मोड। NIDS मोड मुख्य रूप से स्नॉर्ट कॉन्फ़िगरेशन फ़ाइल (आमतौर पर snort.conf के रूप में संदर्भित) पर निर्भर करता है, जिसमें सभी नियम शामिल होते हैं जो सिस्टम प्रशासक को अलर्ट भेजने से पहले एक विशिष्ट स्नॉर्ट परिनियोजन सहमति देता है। उदाहरण के लिए, यदि कोई प्रशासक हर बार एफ़टीपी ट्रैफ़िक में प्रवेश करने और / या नेटवर्क को छोड़ने के लिए अलर्ट ट्रिगर करना चाहेगा, तो वह बस snort.conf, और वॉइला के भीतर उपयुक्त नियम फ़ाइल को संदर्भित करेगा! उसी के अनुसार अलर्ट चलाया जाएगा। जैसा कि कोई कल्पना कर सकता है, snort.conf का कॉन्फ़िगरेशन अलर्ट, प्रोटोकॉल, कुछ पोर्ट नंबर, और किसी भी अन्य अनुमान के संदर्भ में अत्यंत बारीक हो सकता है जिसे सिस्टम प्रशासक अपने विशेष नेटवर्क के लिए प्रासंगिक महसूस कर सकता है।

जहां स्नॉर्ट कम ऊपर आता है

कुछ ही समय बाद स्नॉर्ट ने लोकप्रियता हासिल करना शुरू कर दिया, इसकी कमी केवल उस व्यक्ति की प्रतिभा का स्तर था जो इसे कॉन्फ़िगर कर रहा था। हालांकि समय बीतने के साथ, सबसे बुनियादी कंप्यूटर ने कई प्रोसेसर का समर्थन करना शुरू कर दिया, और कई स्थानीय क्षेत्र नेटवर्क 10 Gbps की गति से संपर्क करने लगे। स्नॉर्ट को अपने पूरे इतिहास में लगातार "हल्के" के रूप में बिल किया गया है, और यह मोनिकर आज तक प्रासंगिक है। जब कमांड लाइन पर चलाया जाता है, तो पैकेट विलंबता कभी भी बहुत बाधा नहीं बनती है, लेकिन हाल के वर्षों में मल्टीथ्रेडिंग के रूप में जाना जाने वाला एक अवधारणा वास्तव में उपर्युक्त कई प्रोसेसर का लाभ लेने के लिए कई अनुप्रयोगों के प्रयास के रूप में पकड़ना शुरू कर दिया है। मल्टीथ्रेडिंग के मुद्दे पर काबू पाने के कई प्रयासों के बावजूद, रोश और स्नॉर्ट टीम के बाकी सदस्य कोई भी ठोस परिणाम नहीं दे पाए हैं। Snort 3.0 2009 में रिलीज़ होने वाली थी, लेकिन अभी तक इसे लेखन के समय उपलब्ध नहीं कराया गया था। इसके अलावा, नेटवर्क वर्ल्ड के एलेन मेस्मर का सुझाव है कि स्नॉर्ट ने जल्दी ही खुद को सुरिक्टाटा 1.0 के रूप में ज्ञात होमलैंड सिक्योरिटी आईडी विभाग के साथ प्रतिद्वंद्विता में पाया है, जिसके प्रस्तावकों का सुझाव है कि यह मल्टीथ्रेडिंग का समर्थन करता है। हालांकि, यह ध्यान दिया जाना चाहिए कि ये दावे स्नॉर्ट के संस्थापक द्वारा विवादित रूप से विवादित हैं।

स्नॉर्ट का भविष्य

क्या अब भी स्नॉर्ट उपयोगी है? यह परिदृश्य पर निर्भर करता है। हैकर्स जो जानते हैं कि स्नॉर्ट की मल्टीथ्रेडिंग कमियों का फायदा कैसे उठाया जाता है, उन्हें यह जानकर खुशी होगी कि किसी दिए गए नेटवर्क का केवल घुसपैठ का पता लगाने का एक साधन है Snort 2.x. हालाँकि, स्नॉर्ट का मतलब कभी भी किसी भी नेटवर्क के लिए सुरक्षा समाधान नहीं था। स्नॉर्ट को हमेशा एक निष्क्रिय उपकरण माना जाता है जो नेटवर्क पैकेट विश्लेषण और नेटवर्क फोरेंसिक के संदर्भ में एक विशेष उद्देश्य को पूरा करता है। यदि संसाधन सीमित हैं, तो लिनक्स में प्रचुर ज्ञान के साथ एक बुद्धिमान प्रणाली प्रशासक अपने बाकी नेटवर्क के अनुरूप स्नॉर्ट को तैनात करने पर विचार कर सकता है। जबकि इसकी कमियां हो सकती हैं, Snort अभी भी सबसे कम कीमत पर सबसे बड़ा मूल्य प्रदान करता है। (लिनक्स में लिनक्स डिस्ट्रोस के बारे में: स्वतंत्रता का पक्ष।)