HARD CORE SECURITY LAB

Sieciowe systemy wykrywania włamań, czyli systemy typu NIDS (ang. Network-based Intrusion Detection System) stanowią obecnie jeden z podstawowych mechanizmów obrony sieci i systemów komputerowych przed rozmaitymi atakami sieciowymi. Dziś chciałbym więc pokazać wam, w jak prosty i szybki sposób praktycznie każdy może skonfigurować i uruchomić  własny tego typu system, i to w oparciu o zupełnie darmowe i w pełni otwarte oprogramowanie!

Na początek warto sobie przypomnieć to, czym tak naprawdę są systemy typu NIDS. Otóż stanowią one jeden z podstawowych mechanizmów ochrony sieci i systemów komputerowych, pozwalający na wykrywanie ataków w czasie rzeczywistym, np. poprzez analizę ruchu sieciowego w oparciu o pewne uprzednio zdefiniowane sygnatury, lub też statystyczne wykrywanie nietypowych zdarzeń (anomalii) komunikacyjnych.

Samo wykrywanie odbywa się więc na podstawie analizy przychodzących pakietów sieciowych i porównywania ich zawartości ze znanymi sygnaturami ataków. Rozwijane są również inne metody wykrywania, gdyż porównywanie ze wzorcami ma niezaprzeczalną wadę – dany atak może zostać wykryty tylko i wyłącznie, jeśli jego sygnatura została już umieszczona w bazie danego systemu NIDS. Dość popularne są również metody oparte o wykrywanie anomalii, które w przeciwieństwie do podejścia sygnaturowego, dają pewną nadzieję na wykrycie nieznanych do tej pory rodzajów ataków.

Tego typu systemem jest bardzo popularny i w pełni otwarty Snort, i to właśnie na jego podstawie zbudujemy nasz przykładowy sensor. Jednak do tej pory uruchomienie w pełni funkcjonalnego snortowego sensora wyposażonego jednocześnie w przyjazny webowy front-end (pozwalający na łatwą analizę alertów i podstawowe zarządzanie całym systemem) wymagało trochę zachodu i mogło stanowić spore wyzwanie dla początkujących. Wszystko to jednak zmienił Snorby.

Snorby to nowy otwarty, bardzo przyjazny i nowoczesny webowy front-end stworzony właśnie z myślą o Snorcie. Co jednak najciekawsze z punktu widzenia możliwości szybkiego uruchomienia profesjonalnego sensora IDS, w ramach całego projektu dostępny jest również obraz systemu typu Live CD, pozwalający praktycznie każdemu na natychmiastowe rozpoczęcie przygody z wykrywaniem włamań. Spójrzmy pokrótce na możliwości tego interesującego rozwiązania.

Otóż wystarczy tylko pobrać obraz systemu Insta-Snorby-0.6.iso i uruchomić z niego jakiś komputer fizyczny lub maszynę wirtualną. Do wyboru będziemy mieć instalację na dysku lub też tryb Live CD (świetnie nadaje się do testów, ale oczywiście nie do codziennej pracy w roli rzeczywistego systemu IDS). Po przejściu kilku kroków interaktywnej konfiguracji (warto zauważyć, że możliwe jest skonfigurowanie automatycznego pobierania nowych reguł) wszystko jest już gotowe do pracy. Nasz sensor jest już zdolny do wykrywania incydentów w ramach widocznego mu ruchu sieciowego, a my możemy się już połączyć z samym interfejsem Snorby za pomocą naszej przeglądarki:
Pora na mały test skuteczności wykrywania incydentów oraz sprawdzian możliwości oferowanych przez nowy webowy front-end. W celu zgromadzenia znacznej ilości przykładowych danych, z pomocą narzędzi zgromadzonych w ramach systemu BackTrack 4 R2 odpaliłem w kierunku kilku wirtualnych maszyn testowych tysiące rozmaitych ataków i exploitów, a cały ruch sieciowy był w zasięgu wzroku testowanego systemu IDS. Najwyraźniej nasz sensor rzeczywiście działa, a webowy interfejs od razu zachęca nas do analizy zarejestrowanych zdarzeń:
Oczywiście każde ze zdarzeń możemy dokładnie przeanalizować, włącznie z wyświetleniem zawartości złowrogich pakietów:
Do swej dyspozycji mamy również najrozmaitsze podsumowania zarejestrowanych zdarzeń:
Spójrzmy jeszcze na krótką filmową prezentację możliwości całego interfejsu:

Podsumowując, Snorby pozwala nam na niezwykle szybkie i bardzo proste uruchomienie w pełni funkcjonalnego sensora IDS Snort, i to wyposażonego w webowy front-end o naprawdę sporych możliwościach oraz intuicyjnej obsłudze. Moim zdaniem możliwości tego rozwiązania są większe od wielu systemów komercyjnych oraz od innych popularnych interfejsów stosowanych wraz ze Snortem (takich jak BASE). Wreszcie, dzięki Snorby Live CD, praktycznie każdy może teraz w ciągu kilku minut uruchomić swój własny sensor Snort i bez najmniejszego problemu rozpocząć zabawę z wykrywaniem włamań.

Jak zwykle, czekam również oczywiście na wasze opinie i spostrzeżenia dotyczące tego interesującego projektu! Poza tym, warto pamiętać, że nadal możecie oddawać swoje głosy na HCSL w ramach konkursu Blog Roku 2010.