snort 2的新特性
在snort 2出現(xiàn)之前,由于snort本身存在的缺陷及網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的先天不足,使snort在對(duì)抗使用了IDS躲避技術(shù)的網(wǎng)絡(luò)攻擊時(shí)完全處于下風(fēng)。在這種背景下,以Martin Roesch為首的snort開(kāi)發(fā)團(tuán)隊(duì)開(kāi)始了snort 2的開(kāi)發(fā)。snort 2采用了很多新的技術(shù),大量代碼被重寫,體系結(jié)構(gòu)也發(fā)生了根本性的變化。與snort-1.x(不包括snort-1.9,因?yàn)閟nort-1.9屬于snort 2)相比,snort 2具有以下優(yōu)點(diǎn):
◆采用更高效的檢測(cè)和模式匹配算法,使性能比舊版本提高了5倍以上。
◆具有更好的擴(kuò)展性,采用插入式檢測(cè)引擎,可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、主機(jī)入侵檢測(cè)系統(tǒng)使用;與netfilter結(jié)合使用,可以作為網(wǎng)關(guān)IDS(Gateway IDS,GIDS);與nmap等系統(tǒng)指紋識(shí)別工具結(jié)合使用,可以作為基于目標(biāo)的IDS(Target-based IDS)。
◆開(kāi)發(fā)人員重寫了協(xié)議分析代碼,使snort 2具備出色的協(xié)議分析能力。
◆支持多種格式的特征碼規(guī)則輸入方式,如數(shù)據(jù)庫(kù)、XML等。
◆把輸出部分從主體代碼中分離出來(lái),由單獨(dú)的程序barnyard處理snort的輸出。
除了上面所敘述的特點(diǎn)之外,snort 2還有一個(gè)商業(yè)入侵檢測(cè)系統(tǒng)所不具備的優(yōu)點(diǎn):費(fèi)用低廉。這對(duì)于預(yù)算比較緊張的企業(yè),無(wú)疑非常具有吸引力。而且,自由軟件開(kāi)發(fā)人員陸續(xù)開(kāi)發(fā)了眾多輔助性的軟件。這些軟件包括圖形化的管理系統(tǒng)、日志分析工具、檢測(cè)插件、圖形化的規(guī)則編寫軟件,以及規(guī)則自動(dòng)升級(jí)軟件等。對(duì)這些軟件進(jìn)行合理地選擇、集成,可以形成一套比較完善的分布式入侵檢測(cè)系統(tǒng)。
分布式snort入侵檢測(cè)系統(tǒng)
分布式snort入侵監(jiān)測(cè)系統(tǒng)的主要組成部分包括中央分析服務(wù)器、IDS探針和協(xié)同代理。一般情況下,一個(gè)企業(yè)的網(wǎng)絡(luò)可以分為外部網(wǎng)絡(luò)、企業(yè)內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)等。入侵監(jiān)測(cè)系統(tǒng)既可以部署在防火墻之外,也可以部署于防火墻之內(nèi)。部署于防火墻之外,可以獲得更多攻擊數(shù)據(jù),但是誤報(bào)警率也高。因此一般情況下,入侵檢測(cè)系統(tǒng)部署于防火墻之后是比較明智的。
中央分析服務(wù)器
中央分析服務(wù)器是整個(gè)系統(tǒng)的心臟和靈魂。它一般由一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)和一個(gè)Web服務(wù)器組成,為系統(tǒng)管理員提供交互式Web管理界面。在中央分析服務(wù)器上,管理人員可以進(jìn)行遠(yuǎn)程IDS探針管理、攻擊數(shù)據(jù)查詢、實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)攻擊及深入分析,如攻擊方向的遷移、識(shí)別攻擊模式等。MySQL數(shù)據(jù)庫(kù)、Apache服務(wù)器、SnortCenter和ACID(Analysis Console for Incident Databases)是一個(gè)不錯(cuò)的snort平臺(tái)系統(tǒng)組合。
SnortCenter是一個(gè)基于Web的snort探針和規(guī)則管理系統(tǒng),用于遠(yuǎn)程修改snort探針的配置,起動(dòng)、停止探針,編輯、分發(fā)snort特征碼規(guī)則。如果與cron和curl結(jié)合使用,SnortCenter還可以定時(shí)為每個(gè)探針進(jìn)行規(guī)則升級(jí),自動(dòng)從snort官方站點(diǎn)獲得最新特征碼規(guī)則 ()。SnortCenter的下載地址為。ACID(Analysis Console for Incident Databases)是一個(gè)基于PHP的分析引擎,用于查詢、管理snort探針產(chǎn)生的數(shù)據(jù)庫(kù)。ACID的下載地址為。
IDS探針和協(xié)同代理
代理是向中央分析服務(wù)器報(bào)告攻擊信息的軟件,是分布式入侵檢測(cè)系統(tǒng)的一個(gè)重要部件。SnortCenter Agent和普通意義上的協(xié)同代理軟件有些不同,它只是一個(gè)SnortCenter進(jìn)行探針管理的代理工具。通過(guò)SnortCenter Agent,SnortCenter能夠起動(dòng)、關(guān)閉受保護(hù)主機(jī)上的snort探針;修改探針的配置和使用的特征碼規(guī)則。SnortCenter Agent是用Perl語(yǔ)言編寫的,可以在不同的平臺(tái)上使用。為了防止登錄過(guò)程中賬戶和密碼的泄漏,它使用SSL和SnortCenter之間進(jìn)行通信。snort探針是真正進(jìn)行入侵檢測(cè)的組件,其源代碼可以從獲得。
系統(tǒng)安裝及部署
數(shù)據(jù)庫(kù)的安裝和設(shè)置
在分析服務(wù)器上,首先要建立記錄snort報(bào)警和日志數(shù)據(jù)庫(kù)及SnortCenter、ACID需要的數(shù)據(jù)庫(kù)。在臨時(shí)目錄中解壓縮snort的源代碼,進(jìn)入contrib目錄,建立數(shù)據(jù)庫(kù),并進(jìn)行相關(guān)的配置。代碼如下:
# mysql -u root -p
create database snort;
connect snort
source create_mysql
grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort;
grant CREATE, INSERT, SELECT, DELETE, UPDATE on snort.* to snort@localhost;
grant CREATE, INSERT, SELECT, UPDATE on snort.* to acidviewer;
grant CREATE, INSERT, SELECT, UPDATE on snort.* to acidviewer@localhost;
connect mysql
set password for 'snort'@'localhost' = password('yourpassword');
set password for 'snort'@'%' = password('yourpassword');
flush privileges;
安裝SnortCenter
把最新版的SnortCenter源代碼解壓縮,將目錄里面的文件復(fù)制到Apache的DocumentRoot目錄(如/usr/local/apache/htdocs)。下載SnortCenter需要的adodb(),安裝到SnortCenter所在的目錄,然后建立SnortCenter數(shù)據(jù)庫(kù)。代碼如下:
$ tar zxvf snortcenter-v0.9.6.tar.gz
$ cp snortcenter-v0.9.6/* /usr/local/apache/htdocs/
$ tar zxvf adodb250.tgz
$ cp -R ./adodb /usr/local/apache/htdocs/
$ echo "CREATE DATABASE snortcenter;" | mysql -u root -p
完成了基本的安裝之后,需要根據(jù)系統(tǒng)的情況手工編輯/usr/local/apache/htdocs/config.php文件,從而結(jié)束SnortCenter的配置。一般情況下需要修改的參數(shù)見(jiàn)表1。
表1 /usr/local/apache/htdocs/config.php文件需要修改的參數(shù)
完成上面的配置后,啟動(dòng)Apache服務(wù)器,在瀏覽器的地址欄輸入分析中心服務(wù)器的地址,將會(huì)得到圖1所示的登錄畫面。
圖1 SnortCenter登陸界面
系統(tǒng)缺省賬戶是admin,密碼為change。登錄進(jìn)入系統(tǒng)以后,點(diǎn)擊admin→Create DB Tables選單,完成SnortCenter的安裝,如圖2所示。
圖2 創(chuàng)建SnortCenter數(shù)據(jù)庫(kù)
安裝ACID
ACID需要PHP支持gd,并對(duì)PHPLot()、ADODB進(jìn)行支持。新版本的ACID(0.9.6b22以后版本)還需要JpGraph()的支持。ACID及相關(guān)軟件安裝到指定位置之后,編輯配置文件acid_conf.php完成其配置,參數(shù)設(shè)置如表2所示。
另外,ACID本身缺乏必要的訪問(wèn)控制機(jī)制,需要設(shè)置Apache對(duì)訪問(wèn)ACID的用戶提供驗(yàn)證。
安裝snort探針和SnortCenter Agent
分別進(jìn)入需要保護(hù)主機(jī),安裝snort和SnortCenter Agent。SnortCenter Agent需要SSL的支持,所需模塊可以從得到。安裝代碼如下:
$ ./configure -with-mysql
$ make
$ make install
$ tar -zxvf Net_SSLeay.pm.1.21.tar.gz
$ cd Net_ SSLeay.pm.1.21
$ perl Makefile.PL
$ make install
$ mkdir /opt/snortagent/
$ cp snortcenter-agent-v0.1.6.tar.gz /opt/snortagent
$ cd /opt/snortagent
$ tar -zxvf snortcenter-agent-v0.1.6.tar.gz
$ cd sensor
$ ./setup.sh
需要注意的問(wèn)題
系統(tǒng)涉及到網(wǎng)絡(luò)中的很多主機(jī),各個(gè)snort探針需要通過(guò)網(wǎng)絡(luò)時(shí)間協(xié)議(Network Time Protocol)實(shí)現(xiàn)時(shí)間的精確同步。有關(guān)NTP服務(wù)器的配置請(qǐng)參考相關(guān)的文檔,這里就不贅述了。
