Yazar

2017-12-17 18:56:23

SNORT IDS Nedir ?


Snort bir saldırı tespit sistemi olarak bilinir. Ancak yetenekli ellerde Snort bir ağ forensic aracı veya şüpheli durumların takip ve tespiti amacıyla çok etkili bir araç olarak kullanılabilir. Personel yetersizliği nedeniyle kurumların büyük çoğunluğu satın aldıkları ticari IDS veya IPS sistemlerini kullanırlar ve bu sistemlerin saldırı imzalarını güncellemekle yetinirler. Elbette bu güvenlik seviyesini artırır ama saldırı tespit süreci pek çok false positive üretmeye meyillidir. Ayrıca kurumlar kendi ihtiyaçlarına göre kuralları düzenleme ihtiyacındadırlar. Ancak yetkinlik ve/veya kullanılan aracın buna izin vermemesi IDS kaabiliyetini sınırlar.

Bu makale Snort’un resmi dokümantasyonunun yerine geçmez, ve Snort’un güncellemelerine de uyum sağlayamayabilir. Ancak kısa bir okumayla Snort’un neye benzediği ve fonksiyonalitesine ilişkin fikir sahibi olmak isteyenlere yönelik olarak yazılmıştır.

Snort üzerinde çalışmaya başlamadan hemen önce bir IDS operasyonunda en önemli ön bilginin temel TCP/IP bilgisi olduğunu belirtmeliyiz. Çünkü IDS kararlarını tamamen bu protokol kurallarına göre verir.

Snort Windows ve Linux platformlarını destekler. Kurulumu doğrudan derlenmiş kodlarla yapabileceğiniz gibi kaynak kodları derleyerek de yapabilirsiniz. Biz bir Ubuntu desktop sürümü üzerinde kaynak kodları derleyerek Snort’u kuracağız. Bu işlemin çok basit bir süreç olduğunu iddia edemem. Ama hatalarla boğuşma ve dokümantasyonu inceleme süreçlerinin sonunda büyük oranda sizin kontrolünüzde olan bir IDS sistemine sahip olabileceğinizi söyleyebilirim. Bunun bir sonraki aşaması da kaynak kodlara müdahale ederek çözümü daha da özelleştirmek olur.

Snort IDS görevini ağ paketlerini inceleyerek yapar. Bunu isterseniz bir ağ arayüzünü Snort ile dinleyerek isterseniz daha önce kaydedilmiş olan ağ paketlerini (pcap formatında) Snort’a okutarak yapabilirsiniz. Snort ayrıca Inline modu ile (yani routing işlemini de kendi üzerinden yaparak) bir IPS gibi de çalışabilir. Snort’un bir ağ üzerindeki olayları gözlemleyebilmesi için ağ üzerinde iletilen tüm paketleri gözlemleyebilmesi gerekir. Bunun için bir tap cihazı ile (iki switch arasındaki) trafiği kopyalayarak tap cihazının bir ayağına üzerinde Snort çalışan sunucumuzu bağlayabiliriz, ya da daha pratik (ama performans açısından sıkıntı oluşturabilecek) şekilde SPAN (Cisco) veya Monitor (HP) port gibi adlandırılan konfigürasyonları switch üzerinde gerçekleştirerek switch’in tüm portlarına gelen trafiğin bu port’a da kopyalanmasını ve bu port’a bağlı olan Snort sunucu arayüzünün tüm trafiği izlemesini sağlayabilirsiniz.
 


Etiketler : Network Security