首頁 > 資安知識庫 > 網路安全與資安設備使用 > 網路異常行為監控

讓Snort開始運作

作者:編輯部 -2009 / 03 / 06 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪
開放原始碼的Knoppix-NSM是一個容量只需要一張光碟且擁有完整功能的網路安全監視系統。

作為一個資訊安全管理者,您可能非常讚賞Snort所能帶來的好處—Snort是一套
廣受歡迎的開放原始碼的網路入侵偵測系統(IDS)。但是您可能在實作Snort時會遭遇各種困難,原因是因為整合/?使用Snort以及相關配套工具時需要高度技術性,以及必須花費大量員工的時間和付出大量資源。
Snort本身並不是一套完整的網路安全監 視工具,而且在整合/使用相關配套工具的經驗上卻又經常令人氣餒。以常被使用來和Snort搭配的終端連線工具BASE為例子來說, 這些不論是開放原始碼或者是商用以網頁為呈現形式的工具都有著相同速度不夠快、沒有提供即時警訊和僅提供有限分析功能的通
病。
感謝有K n o p p i x - N S M 這一套來自Securixlive.com開放原始碼發展團隊用以整合Snort的安全網路監視套件,讓您可以更輕易的運用IDS來達成安全上的要求。為了能夠快速與可靠的進行佈署,使用即用光碟 (LiveCD)和發行套件(distro)是一個很有效率的方法;您可以先直接在CD上進行軟體的執行,讓您可以先測試過所有的工具之後再來決定那些軟體需要被安裝到硬碟上。
Knoppix-NSM在單一的解決方案中提供了完整的、開放原始碼的入侵偵測系統架構。 在測試階段,它的即時分析(instant insight)功能可以對網路流量和網路安全狀態進行特徵(significant)分析。
它還包含了Sguil這一套由Bamm Visscher所開發用來進行分析的終端連線工具,
Richard Bejtlich 也在他的The Tao of Network Security Monitoring 一書中極力推薦這套工具。

一個完整的套件
除了Sguil和Snort之外,Knoppix-NSM還提供了像是Ntop、SANCP、Wireshark以及BASE工具。除了以上的工具針對Debian的使用者還提供了Debian Iceweasel,這是一套因應Debian與Mozilla之爭而將Firefox瀏覽器更名後的工具。
讓我們檢視一下可以在Knoppix- NSM套件中取得哪些工具,以及這些
工具如何協助監視您網路的安全狀況:

Snort
任何與入侵偵測系統有關的人都知道以下的事實,Snort已經成為安全從業人員使用IDS時的標準了。Knoppix-NSM透過Barnyard與SANCP來提供Snort的功能。
Barnyard是一套用來讀取Snort統一輸出報表(Unified output)並將之轉存到資料庫的特製工具,並且會直接監視資料庫連線來預防資料的流失。統 一輸出報表是Snort3種輸出報表的其中一個選項,它透過減輕Snort引擎中的有效負荷的傳輸(payload
translation)來增快處理速度(可參閱由 Jay Beale所著的 Snort 2.1)。
SANCP,是一種分析網路連線狀況的安全工具,和Snort平行運行並收集網路卡中所有的封包流量,再透過內定的規則來辨識、記錄與標記網路流量的session資訊。Snort的stream4 preprocessor通常只會重新組合TCP流量,SANCP則會透過加入UDP和 ICMP追蹤資訊來提供session資訊。這些被增加的資
訊則可以被Sguil用來進行更進一步的分析。Sguil會
合併資料庫內包含Snort事件和SANCP記錄的資料表
產生虛擬資料表來呈現所有的資料。

Sguil
SourceForge.Net描述Sguil是「由網路安全分析師所製作來給網路安全分析師使用的。」它的目標是成為網路安全監管(NSM)從業人員唯一所使用的終端連線工具,為了增加使用率目前還會持續增加像是 Modsec2sguil的功能並成為一個NSMWiki。某些使用者認為Sguil的安裝、設定和穩定性還是有些問題,但是Knoppix-NSM提供一個可以立即用來進行分析的範例組態......《未完》
如欲閱讀完整內容,請成為《進階會員》
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…