觀點

讓Snort開始運作

2009 / 03 / 06
編輯部
讓Snort開始運作
開放原始碼的Knoppix-NSM是一個容量只需要一張光碟且擁有完整功能的網路安全監視系統。

作為一個資訊安全管理者,您可能非常讚賞Snort所能帶來的好處—Snort是一套
廣受歡迎的開放原始碼的網路入侵偵測系統(IDS)。但是您可能在實作Snort時會遭遇各種困難,原因是因為整合/?使用Snort以及相關配套工具時需要高度技術性,以及必須花費大量員工的時間和付出大量資源。
Snort本身並不是一套完整的網路安全監 視工具,而且在整合/使用相關配套工具的經驗上卻又經常令人氣餒。以常被使用來和Snort搭配的終端連線工具BASE為例子來說, 這些不論是開放原始碼或者是商用以網頁為呈現形式的工具都有著相同速度不夠快、沒有提供即時警訊和僅提供有限分析功能的通
病。
感謝有K n o p p i x - N S M 這一套來自Securixlive.com開放原始碼發展團隊用以整合Snort的安全網路監視套件,讓您可以更輕易的運用IDS來達成安全上的要求。為了能夠快速與可靠的進行佈署,使用即用光碟 (LiveCD)和發行套件(distro)是一個很有效率的方法;您可以先直接在CD上進行軟體的執行,讓您可以先測試過所有的工具之後再來決定那些軟體需要被安裝到硬碟上。
Knoppix-NSM在單一的解決方案中提供了完整的、開放原始碼的入侵偵測系統架構。 在測試階段,它的即時分析(instant insight)功能可以對網路流量和網路安全狀態進行特徵(significant)分析。
它還包含了Sguil這一套由Bamm Visscher所開發用來進行分析的終端連線工具,
Richard Bejtlich 也在他的The Tao of Network Security Monitoring 一書中極力推薦這套工具。

一個完整的套件
除了Sguil和Snort之外,Knoppix-NSM還提供了像是Ntop、SANCP、Wireshark以及BASE工具。除了以上的工具針對Debian的使用者還提供了Debian Iceweasel,這是一套因應Debian與Mozilla之爭而將Firefox瀏覽器更名後的工具。
讓我們檢視一下可以在Knoppix- NSM套件中取得哪些工具,以及這些
工具如何協助監視您網路的安全狀況:

Snort
任何與入侵偵測系統有關的人都知道以下的事實,Snort已經成為安全從業人員使用IDS時的標準了。Knoppix-NSM透過Barnyard與SANCP來提供Snort的功能。
Barnyard是一套用來讀取Snort統一輸出報表(Unified output)並將之轉存到資料庫的特製工具,並且會直接監視資料庫連線來預防資料的流失。統 一輸出報表是Snort3種輸出報表的其中一個選項,它透過減輕Snort引擎中的有效負荷的傳輸(payload
translation)來增快處理速度(可參閱由 Jay Beale所著的 Snort 2.1)。
SANCP,是一種分析網路連線狀況的安全工具,和Snort平行運行並收集網路卡中所有的封包流量,再透過內定的規則來辨識、記錄與標記網路流量的session資訊。Snort的stream4 preprocessor通常只會重新組合TCP流量,SANCP則會透過加入UDP和 ICMP追蹤資訊來提供session資訊。這些被增加的資
訊則可以被Sguil用來進行更進一步的分析。Sguil會
合併資料庫內包含Snort事件和SANCP記錄的資料表
產生虛擬資料表來呈現所有的資料。

Sguil
SourceForge.Net描述Sguil是「由網路安全分析師所製作來給網路安全分析師使用的。」它的目標是成為網路安全監管(NSM)從業人員唯一所使用的終端連線工具,為了增加使用率目前還會持續增加像是 Modsec2sguil的功能並成為一個NSMWiki。某些使用者認為Sguil的安裝、設定和穩定性還是有些問題,但是Knoppix-NSM提供一個可以立即用來進行分析的範例組態檔來消弭以上的問題。以網頁為形式的終端連線工具通常都是顯示警訊的數量而不是嚴重程度。當一個高度危急的警訊只出現1或2次的時候可能就會造成嚴重的問題。根據Bejtlich在The Tao of Network Security Monitoring 一書中的描述 —「快速並相互關聯的存取到每一個資料的來源,因此可以快速擷取到適當的資訊,」 可以發現Sguil就沒有這樣
的缺點。

BASE
全名是Basic Analysis and Security Engine,是網頁形式的終端連線工具的指標產品。網頁形式的終端連線工具緩慢的回應速度是眾所皆知的缺點,也因此BASE並不適合在企業中使用。由於Snort必須花費資源去記錄BASE的行為與替Barnyard進行統一化 (unified),因此BASE會造成Knoppix-NSM上的Snort變得遲緩。如果是為了進行展示或者是教育的目的, BASE是一項很好的工具,但是使用BASE必須考慮效 率上的成本。而且其它的終端連線工具無法找出和 Squil一樣多的可用資訊。
儘管如此,網頁形式的終端連線工具是很方便的,搭配著Sguil一起使用可以呈現出事件的不同面貌。

Ntop
又稱network top,瀏覽器形式的工具,使用各種圖表的呈現方式來描述網路的使用狀況與狀態。是獨立運行的應用程式,可以和各個Snort相關的軟體搭配使用,Ntop在Knoppix-NSM中的角色就像是「統計者(statistician)」一般。它可以根據許多不同的協定/?嚴重程度來排序/?顯示網路流量、顯示和進行流量統計、辨識使用者和主機上的作業系統、依據來源/?目的進行排序以及指出所使用的IP協定。這個軟體很值得被獨立安裝運行起來,可以很輕易的就達成良好的投資報酬率並且非常容易使用和安裝。

VERSATILE TOOL
就算是已經使用其他類型工具來執行IDS的組織還是可以使用Knoppix-NSM來取得以下好處:
快速佈署(Quick deployment)
在經歷公司的收購案之後您可能會被派去遠方的地點評估該公司的安全程度。一般人可能都會因為對方使用了防火牆而假定對方的安全狀況是良好的。在取得管理階級的同意以及網路工程師的協助之後,將Knoppix-NSM啟動並連接在主要網路交換器的監控通訊埠(SPAN port)上。您很快就會發現一切並不如想像中的安全,對方的環境必須接受大量的矯正措施之後才能加入您現存保護良好、受監控與
維護良好的網路中。

即時的終端連線(Instant console)
您的Snort伺服器群正受到良好的管理並正常運作中,但是您可能立即就需要一個額外的終端連線。增加的終端連線可以用來比較不同終端連線中所呈現的屬性或者對資訊提出不一樣的觀點。Sguil 由於會提供許多NSM從業人員所使用的分析功能,
因此比起其他終端連線工具會優良的多。

教學與測試(Learning and testing)
Knoppix-NSM是用來進行教學與測試的完美架構。假定您安全操作人員的數量正在成長,而且您必須在最少硬體和資源的狀況下去設立一個教學環境。想像Knoppix-NSM是攻防環境中的中央伺服器。
半數的學員執行Knoppix-NSM中的Sguil終端連線,另外半數學員去攻擊虛擬的受駭者。使用虛擬主機加上少量的實體設備,您就可以教導這些年輕的分析
師如何有效的監管網路環境。
K n o p p i x - N SM是一套非常有用的即用光碟(LiveCD)而且擁有光明的未來,如同Securixlive.com網站上所說的,將來被更名為Securix-NSM的套件會加入更多的分析工具與一個安全資訊管理/?安全事件

管理(SIM/SEM)工具。
專案開發群正在製作更具模組化的即用光碟環境,提供更多升級和客製化的彈性。網站中指出這個更具模組化的即用光碟環境將會在未來釋放為Knoppix-NSM v1.2的版本。我們可以預見未來版本中會加入更新管理,新版將軟體安裝到硬碟的安裝程
式,更快的整合性以及更多的新功能。
由於Knoppix-NSM可以進行佈署與低門檻的使用障礙,可以讓我們很快的了解任何網路環境的狀況與潛藏其中的威脅。真誠地建議您將Knoppix-NSM加入您的評估與監視工具中。