使用一种被称为Snort的开放源码工具,可以在电脑黑客们正在制造麻烦的时候阻止他们的进行.在最近的一本新书Snort Cookbook中,合著者Angela Orebaugh提供了一则阻止入侵者的处方.在今天的访谈中,她会和我们一起分享一些使用Snort和其他免费的入侵检测工具的小贴士.由O'Reilly出版发行的Snort Cookbook,是由Orebaugh,Simon Biles和Jacob Babbin联合编著的.
Q:Snort具有何种使IT经理们惊异或是还未被他们使用的能力呢?
A:Snort在预处理器中设有若干强有力的功能,包括保持状态的能力,碎片数据包的重新组装,流的重新组装,HTTP规范化,应用软件解码器,端口扫描解码器和性能监视.
一些预处理程序本身装有反逃避技术(anti-evasion techniques).自从预处理器在系统上创造出附加负载后,最好能致力于为这些特征而建立运行Snort传感器的独立服务器.
Q:管理层在处理入侵检测系统(IDS)时最常见的错误是什么呢?
A:任何入侵检测系统(IDS)面临的最大问题都是许多机构配置了系统后就忘记了管理。IDS需要许多的日常打理和供给.
如果你不积极地看护IDS的话,它就会对你还以颜色.所以最好是有一个员工(或更多员工,视机构的规模而定)单独致力于入侵检测的工作.这名员工要每日积极主动地检查日志,更新所需规则,完成更多深入的长远趋势的分析,降低和减缓攻击并为提高网络性能铺平道路.
Q:如果不用Snort,IT采购方会用什么来取代它呢?为什么Snort会成为一个更好的选择?
A:就我个人的经验看,我即看到了许多高端的商用产品配置也看到了Snort.
需要做预算的机构会选择Snort,因为它是免费的,而且它有许多特色及附加工具,这些都使得它非常的便于使用.然而,如果你指望监控高频宽网络的话,Snort并不是最好的选择,而选择设备用具会更好一些.Snort在那种环境下不能达到最优化使用.
我也看到许多机构除了商业产品外,也配置了Snort,这样可以相互制衡并且附件监控功能.
Q:什么样的工具,尤其是哪种开放源码工具能与Snort很好的协力工作?
A:我首先推荐Barnyard.
Barnyard将其输出系统脱离Snort,以便使Snort能将其功能发挥到最佳,捕获并处理数据包.ACID/BASE是另一个允许你在Snort日志上视图,分析及绘图的重要工具.此外,我还推荐Snortsnarf,SWATCH,SnortCenter,IDS (intrusion detection system) Policy Manager and Snort Alert Monitor.
Q:在不同的环境中安装Snort会出现什么复杂棘手的状况?
A:与安装任何IDS一样,你必须彻彻底底的了解你的网络.你需要知道所有的装置、系统结构、各种协议及流量.这不但帮助你最好地配置你的传感器(sensor),而且还能充分地调整你的规则.
Q:刚才您提到ACID/BASE和SnortCenter是Snort用户的补充工具.您能为我们详细介绍一下吗?
A:ACID/BASE是一个以PHP为基础的网络图形用户界面(GUI), 用于运行日志分析.它的特征包括有一个搜索引擎,信息包阅读器(packet viewer),警报管理及图表和统计表的产生.网页的前段非常容易使用,使网络管理员处理警报及日志的工作变得容易多了.
SnortCenter采用网页为基础的客户服务器手段来运用遥感器.它以PHP及Perl的形式录入.管理控制台和传感器主体都能在Unix及Windows操作系统上安装.
SnortCenter管理控制台允许你建立配置文件,并将其发送到遥感器上.SnortCenter有一些有用的特点,包括编客户服务器流量密码、鉴别、推进新的格局配置的能力、更新的能力和输入新的自动Snort信号的能力.
Q:Snort为什么能象MySQL和Postgres那样,成为使用开放源码数据库的良好工具呢?
A:Snort和Barnyard都有内置的功能使之能够登陆到MySQL和Postgres数据库上去.扩展计算机上功能(Add-on)的工具(比如ACID/BASE)也同样与这些数据库合作.Snort及其add-on工具与MYSQL及Postgres的整合有许多的文档编制.我再次重申,这些都是免费的并不会产生什么损害!
Q:Snort也会与商业数据库很好地合作吗?
A:是的,目前,Snort为Microsoft SQL, Oracle and Open Database Connectivity(ODBC) 提供插件(plugin).
Q:为什么一家公司要像运行Linux的邮件收发的后台程序(daemon)那样来运行Snort?
A:一些管理员希望能在幕后运行Snort并希望能在一开始系统启动时就开始运行.Snort可以使用-D命令行选择,使其像daemon程序那样作为后台程序来运行.Snort命令可以加在the /etc/rc.d/rc.local脚本在一开始启动时就运行.这种操作会使Snort处于连续处理状态;然而,只有当你得到Snort的通知后这种操作才会有用;否则你就会忽视它的运行.
Q:您书中其中有个话题是 "离开家门不可不知的基本规则".您能为我们描述两三条并解释一下选择这些规则的普遍性吗?
A:规则组合应被定制到各个网络中去,以便能使主动错误信息和被动错误信息降到最小.然而,一些规则几乎对任何机构都适用,具有代表性的就是对蠕虫病毒活动和其他恶意攻击程序的警报规则.
cmd.exe规则是探测自动化的Unicode和Nimda类型的攻击.当有人试图要远程地执行Windows cmd.exe程序时就会引发.
另一个探测潜在的搜索规则是403规则,它会在某人被禁止访问网页时触发.这一点可能在警告你有人在试图横越你的姓名地址录.
Bleeding Snort网站有一些很棒的前沿规则,但它们被视为测试,所以配置的时候要小心.
总得来说, 规则的设定和形成底线是没有限制的.你必须调节它们,以便与你的网络、流量和协议相适应.
