Daftar Isi:
Ada banyak contoh di mana jaringan diretas, diakses secara tidak sah atau secara efektif dinonaktifkan. Peretasan jaringan TJ Maxx 2006 yang sekarang terkenal telah didokumentasikan dengan baik - baik dalam hal kurangnya uji tuntas dari pihak TJ Maxx dan akibat hukum akibat penderitaan yang diderita oleh perusahaan sebagai hasilnya. Selain itu, tingkat kerusakan yang terjadi pada ribuan pelanggan TJ Maxx dan pentingnya mengalokasikan sumber daya terhadap keamanan jaringan dengan cepat menjadi jelas.
Pada analisis lebih lanjut dari peretasan TJ Maxx, adalah mungkin untuk menunjuk ke titik nyata pada waktu di mana insiden itu akhirnya diperhatikan dan dikurangi. Tetapi bagaimana dengan insiden keamanan yang tidak diperhatikan? Bagaimana jika seorang hacker muda yang giat cukup bijaksana untuk menyedot potongan-potongan kecil informasi penting dari jaringan dengan cara yang membuat administrator sistem tidak bijaksana? Untuk memerangi skenario jenis ini dengan lebih baik, administrator sistem / keamanan dapat mempertimbangkan Sistem Deteksi Penyusupan Snort (IDS).
Awal Mendengus
Pada tahun 1998, Snort dirilis oleh pendiri Sourcefire, Martin Roesch. Pada saat itu, itu disebut sebagai sistem deteksi intrusi ringan yang berfungsi terutama pada sistem operasi mirip Unix dan Unix. Pada saat itu, penyebaran Snort dianggap canggih, karena dengan cepat menjadi standar de facto dalam sistem deteksi intrusi jaringan. Ditulis dalam bahasa pemrograman C, Snort dengan cepat memperoleh popularitas ketika analis keamanan cenderung ke rincian yang dengannya dapat dikonfigurasi. Snort juga sepenuhnya open source, dan hasilnya adalah perangkat lunak yang sangat kuat dan populer yang tahan terhadap banyak pengawasan dalam komunitas open source.Dasar-dasar mendengus
Pada saat penulisan ini, versi produksi Snort saat ini adalah 2.9.2. Ini mempertahankan tiga mode operasi: mode Sniffer, mode paket logger dan mode deteksi intrusi jaringan dan sistem pencegahan (IDS / IPS).
Mode sniffer melibatkan sedikit lebih dari menangkap paket saat mereka bersilangan dengan kartu jaringan antarmuka (NIC) mana Snort diinstal. Administrator keamanan dapat menggunakan mode ini untuk menguraikan jenis lalu lintas apa yang terdeteksi di NIC, dan kemudian dapat menyesuaikan konfigurasi Snort mereka. Perlu dicatat bahwa tidak ada pencatatan dalam mode ini, sehingga semua paket yang masuk ke jaringan hanya ditampilkan dalam satu aliran kontinu pada konsol. Di luar pemecahan masalah dan instalasi awal, mode khusus ini memiliki sedikit nilai dalam dan dari dirinya sendiri, karena sebagian besar administrator sistem lebih baik dilayani dengan menggunakan sesuatu seperti utilitas tcpdump atau Wireshark.
Mode packet logger sangat mirip dengan mode sniffer, tetapi satu perbedaan utama harus jelas dalam nama mode khusus ini. Mode paket logger memungkinkan administrator sistem untuk login paket apa pun yang turun ke tempat dan format yang disukai. Sebagai contoh, jika seorang administrator sistem ingin mencatat paket-paket ke direktori bernama / log pada node tertentu dalam jaringan, ia pertama-tama akan membuat direktori pada node tertentu. Pada baris perintah, ia akan memerintahkan Snort untuk mencatat paket yang sesuai. Nilai dalam mode packet logger adalah dalam aspek penyimpanan catatan yang melekat dalam namanya, karena memungkinkan analis keamanan untuk memeriksa sejarah jaringan yang diberikan.
BAIK. Semua informasi ini baik untuk diketahui, tetapi di mana nilai tambahnya? Mengapa administrator sistem harus menghabiskan waktu dan upaya menginstal dan mengkonfigurasi Snort ketika Wireshark dan Syslog dapat melakukan layanan yang hampir sama dengan antarmuka yang jauh lebih cantik? Jawaban untuk pertanyaan yang sangat terkait ini adalah mode sistem intrusi deteksi jaringan (NIDS).
Mode sniffer dan mode packet logger adalah batu loncatan dalam perjalanan ke apa Snort sebenarnya - Mode NIDS. Mode NIDS terutama bergantung pada file konfigurasi snort (umumnya disebut sebagai snort.conf), yang berisi semua set aturan yang dikonsultasikan oleh penyebaran Snort sebelum mengirim peringatan ke administrator sistem. Misalnya, jika administrator ingin memicu peringatan setiap kali lalu lintas FTP masuk dan / atau meninggalkan jaringan, ia hanya akan merujuk ke file aturan yang sesuai dalam snort.conf, dan voila! Peringatan akan dipicu sesuai. Seperti yang bisa dibayangkan, konfigurasi snort.conf bisa menjadi sangat granular dalam hal peringatan, protokol, nomor port tertentu, dan heuristik lain yang mungkin dirasakan administrator sistem relevan dengan jaringan khususnya.
Tempat Mendengus Pendek
Tak lama setelah Snort mulai mendapatkan popularitas, satu-satunya kekurangannya adalah tingkat bakat orang yang mengonfigurasinya. Namun seiring berjalannya waktu, komputer paling dasar mulai mendukung banyak prosesor, dan banyak jaringan area lokal mulai mendekati kecepatan 10 Gbps. Snort secara konsisten disebut sebagai "ringan" sepanjang sejarahnya, dan moniker ini relevan untuk hari ini. Ketika dijalankan pada baris perintah, paket latency tidak pernah menjadi penghalang, tetapi dalam beberapa tahun terakhir sebuah konsep yang dikenal sebagai multithreading benar-benar mulai berlaku karena banyak aplikasi mencoba untuk mengambil keuntungan dari beberapa prosesor yang disebutkan di atas. Meskipun beberapa upaya mengatasi masalah multithreading, Roesch dan tim Snort lainnya belum mampu menghasilkan hasil yang nyata. Snort 3.0 akan dirilis pada tahun 2009, tetapi belum tersedia pada saat penulisan. Lebih jauh, Ellen Messmer dari Network World menyarankan bahwa Snort dengan cepat menemukan dirinya dalam persaingan dengan Departemen Keamanan Dalam Negeri IDS yang dikenal sebagai Suricata 1.0, yang para pendukungnya menyarankan bahwa ia mendukung multithreading. Namun, harus dicatat bahwa klaim ini telah diperdebatkan dengan keras oleh pendiri Snort.Masa Depan Snort
Apakah Snort masih bermanfaat? Ini tergantung pada skenario. Peretas yang tahu bagaimana memanfaatkan kekurangan multithreading Snort akan senang mengetahui bahwa satu-satunya cara jaringan yang ada untuk mendeteksi intrusi adalah Snort 2.x. Namun, Snort tidak pernah dimaksudkan sebagai solusi keamanan untuk jaringan apa pun. Snort selalu dianggap sebagai alat pasif yang melayani tujuan tertentu dalam hal analisis paket jaringan dan forensik jaringan. Jika sumber daya terbatas, administrator sistem yang bijak dengan pengetahuan yang melimpah di Linux mungkin mempertimbangkan untuk menggunakan Snort sejalan dengan sisa jaringannya. Meskipun mungkin memiliki kekurangannya, Snort masih memberikan nilai terbesar dengan biaya terendah. (Tentang distro Linux di Linux: Bastion of Freedom.)