Administrateur Réseau

Examen et alternatives de Snort

Examen de Snort et alternatives



Renifler est un projet open source avec des contributions de développement de bénévoles. Cependant, le projet est bien organisé et entièrement financé, ce qui en fait un outil gratuit de norme professionnelle. Le package Snort est un système de détection d'intrusion réseau . Il s’agit d’un outil de sécurité avancé pour lequel de nombreux utilisateurs paieraient un prix élevé, mais ils n’en ont pas besoin car Snort est entièrement gratuit.

Le secteur de la sécurité des systèmes utilise de nombreuses stratégies qui se chevauchent, et il peut être difficile de déterminer exactement de quels outils une entreprise a besoin pour bloquer les activités malveillantes. En outre, il est parfois difficile de déterminer quels packages sont des moniteurs système et lesquels sont des services de sécurité.



Sniff est un outil de sécurité du système . Cependant, ce mécanisme de sécurité repose sur la collecte de données en direct qui fournit surveillance du système aussi. En tant qu'outil gratuit, Snort est un perturbateur. Il correspond aux capacités de nombreux outils coûteux et pourrait facilement nuire à la rentabilité de nombreuses grandes sociétés de développement de logiciels si davantage de gestionnaires de réseau connaissaient l'existence de Snort.

Systèmes de détection d'intrusion

Un système de détection d'intrusion (IDS) vise à identifier les pirates informatiques. Il s’agit de la deuxième ligne de défense, née de la prise de conscience par l’industrie du logiciel que la lutte contre les pirates informatiques est une guerre implacable et impossible à gagner.



Systèmes de défense traditionnels patrouiller le périmètre . Le défenseur de réseau classique est le pare-feu . Il empêche les logiciels malveillants de pénétrer et empêche toute une série de stratégies de pirates informatiques en refusant toutes les demandes de connexion entrantes. Cependant, cette stratégie serait sans espoir pour les services Web et impossible à patrouiller lorsque initiés peut ouvrir des connexions vers des emplacements extérieurs malveillants.

Quel que soit le plan élaboré par un développeur de pare-feu pour bloquer les tiers malveillants, les pirates trouveront toujours un moyen d'entrer. IDS adoptez une approche réaliste et acceptez que certains pirates informatiques réussiront toujours à s’en sortir. Espérons le meilleur mais prévoyons le pire.

Snort est l’équivalent système de la sécurité intérieure.

IDS et SIEM

Il existe deux emplacements importants pour tout type d'activité au sein d'un système : sur les points de terminaison et entre eux. Il existe donc deux types de systèmes de détection d'intrusion : le IDS basé sur l'hôte (HIDS) et le système de détection d'intrusion réseau (NIDS).

Snort est un NIDS .

En lisant sur HIDS et NIDS, vous vous rendrez compte que ces descriptions correspondent exactement à celles que vous lisez dans la brochure du SIEM que tu as acheté. En effet, HIDS, NIDS, SIM, SEM et SIEM chevauchent tous les termes du secteur.

Gestion des événements de sécurité (SEM) examine activité en direct sur un système, ce qui revient généralement à surveiller les réseaux à la recherche de trafic malveillant. NIDS , est donc identique à SEM. Gestion des informations de sécurité (SIM) implique une recherche dans les fichiers journaux et les enregistrements d'activité collectés à partir des appareils et centralisés. C'est exactement ce que les systèmes de détection d'intrusion basés sur l'hôte le font . SIEM est Gestion des informations de sécurité et des événements – il combine une SIM et un SEM. Par conséquent, SIEM = HIDS + NIDS.

Les frontières entre SIM et SEM et, par conséquent, HIDS et NIDS peuvent être floues pour rendre les choses encore plus confuses. Ceci est dû au fait messages du journal sont à l'origine des reportages en direct, et les rapports sur lesquels s'appuient les systèmes de surveillance en direct peuvent être déposés.

Prévention des intrusions

La seule raison pour laquelle vous voudriez détecter une activité malveillante est arrête ça . Votre IDS affiche un avertissement vous indiquant que le trafic provenant d'une adresse IP ou d'un compte utilisateur particulier fait quelque chose de terrible. Vous suspendrez ce compte utilisateur et mettrez à jour les règles de pare-feu pour bloquer cette adresse IP. Vous le ferez à chaque fois.

Étant donné qu’un administrateur humain ne peut entreprendre qu’un nombre limité d’actions lorsqu’un intrus est identifié, ne peut-on pas faire en sorte qu’un ordinateur fasse ces choses à la place ? Oui, c’est possible, et c’est ça système de prévention des intrusions (IPS) le fait.

Un IPS est un IDS doté de quelques routines supplémentaires qui communiquent avec les gestionnaires de droits d'accès et les pare-feu pour neutraliser les acteurs malveillants détectés.

Snort est un système de prévention des intrusions.

L’histoire de Snort

Martin Rösch est l'une des figures de proue du développement de la sécurité des systèmes. Son ascension vers la notoriété a commencé en 1998 lorsque il a créé Snort . À mesure que de plus en plus de gens connaissent Snort, l’admiration pour Roesch grandit. Enfin, en 2001, il fonde Sourcefire, Inc. , qui détenait les droits d'auteur sur Snort.

Sourcefire a produit une appliance réseau appelée Puissance de feu , qui a implémenté la sécurité en intégrant les processus Snort. En bref, Firepower était Snort-as-a-device. Mais, même si Sourcefire gagnait de l’argent grâce à Firepower, Snort restait libre et géré de manière indépendante. Donc, Snort subventionné par la puissance de feu .

Habituellement, la structure de licence des droits d'auteur pour les systèmes open source permet aux entreprises d'utiliser et de développer le code, mais les empêche de commercialiser à nouveau ce système à des fins lucratives. Cependant, comme Sourcefire détenait les droits d’auteur sur Snort, il n’était pas soumis à cette restriction.

La gamme de produits Snort et Firepower était une combinaison gagnante pour Sourcefire et, en juillet 2013, Roesch et ses investisseurs ont vendu l'entreprise à Systèmes Cisco pour 2,7 milliards de dollars. Roesch est désormais vice-président du Security Business Group de Cisco, et Snort est toujours gratuit.

Utilisations pour Sniff

Snort a trois modes. Ceux-ci fournissent différents services. Les niveaux de fonctionnement de Snort sont :

  • Mode renifleur Cela fonctionne comme un système de capture de paquets qui affiche le trafic passant dans une visionneuse de la console Snort.
  • Mode enregistreur de paquets Cette option écrit les paquets collectés dans un fichier.
  • Mode système de détection d'intrusion réseau C'est l'utilisation distinctive de Snort et le distingue de tous les autres renifleurs de paquets pour en faire un système de défense plutôt qu'un simple outil de recherche.

La stratégie opérationnelle de Snort est à plusieurs niveaux. En effet, chaque mode supérieur s'appuie sur les services fournis par le service inférieur. Par exemple, il n’y a pas beaucoup de différence entre Mode renifleur et le Mode enregistreur de paquets – le second stocke simplement les paquets collectés par le premier. Il existe cependant une grande différence entre le Mode enregistreur de paquets et le Mode système de détection d'intrusion réseau . Ce saut implique l’application de règles. Celles-ci sont appelées ensembles de règles Snort.

Ensembles de règles Sniff

Ensembles de règles sont l'un des moyens par lesquels Cisco peut gagner de l'argent grâce au package Snort. Les ensembles de règles font de Snort un IDS – sans cela, ce n'est qu'un renifleur de paquets. Il existe deux types de règles : Ensembles de règles communautaires et Ensembles de règles pour les abonnés Snort . Les règles communautaires sont gratuites.

Une règle est une combinaison de conditions et d’actions : SI ça arrive, ALORS fais ça. L'action est généralement une série d'étapes. Tout programmeur reconnaîtra immédiatement cette structure et un mécanisme de branchement conditionnel qui constitue l’un des piliers d’un programme informatique. Ainsi, le titre « ensembles de règles » sous-estime l’importance de ces plugins.

Le Ensembles de règles communautaires ne sont pas aussi amateurs qu’il y paraît. Tout d'abord, gardez à l'esprit que le Communauté Sniff comprend des personnes hautement expérimentées et qualifiées spécialistes des réseaux . Toutes les idées ne figurent pas dans le menu des règles de la communauté. Analystes de Cisco Talos , une équipe de recherche sur les applications de sécurité, examine chaque candidat aux règles communautaires. Cela garantit que les pirates ne peuvent pas introduire intentionnellement des angles morts d’analyse de sécurité dans le système Snort.

Options de déploiement de Snort

Sniff code source est disponible en téléchargement, ce qui signifie que si vous avez les compétences et le temps, vous pouvez ajuster le programme avant de le compiler et de l'utiliser. Ce scénario est au cœur de nombreuses mises à jour du système, car les utilisateurs qui ont une idée brillante pour une extension de Snort soumettent ces modifications au comité central pour examen. Après analyse, certaines de ces personnalisations deviennent partie intégrante des fonctionnalités de base de Snort. Le code source est regroupé dans un prend le format , adapté à une utilisation sur Linux .

Des installateurs sont disponibles pour faire fonctionner Snort Feutre et CentOS Linux , GratuitBSD , et les fenêtres . Ces forfaits sont disponibles gratuitement auprès du Page d'accueil de Sniff .

Forces et faiblesses de Sniff

Snort dispose d'une communauté d'utilisateurs très fidèles qui recherche constamment des améliorations possibles pour le package et distribue conseils gratuits aux nouveaux arrivants. En conséquence, l’outil est très apprécié et difficile à battre. Voici notre évaluation de Snort.

Avantages:

  • Utilisation gratuite
  • Analyse le trafic réseau pour analyse
  • Permet aux paquets d'être stockés dans un fichier pour analyse dans d'autres outils
  • Permet de déclencher des actions de remédiation dès la détection d'un intrus
  • Flexible et peut être personnalisé avec des ensembles de règles
  • Dispose de plusieurs outils de partenaires tiers associés

Les inconvénients:

  • Est sensible aux attaques DoS provenant du réseau

Dans l’ensemble, apprendre à connaître Snort est un exercice intéressant. Même si vous finissez par travailler avec un IPS différent ou si vous optez pour un SIEM, tester le système Snort offre une bonne formation sur le fonctionnement des packages de sécurité réseau.

Alternatives à Snort

Bien que Snort soit un leader de l'industrie dans la détection d'intrusion et l'un des rares produits qui effectuent véritablement une détection d'intrusion sur le réseau, c'est toujours une bonne idée d'examiner plusieurs systèmes alternatifs avant d'opter pour tout type de logiciel.

Notre méthodologie pour sélectionner une alternative à Snort

Nous avons examiné le marché des systèmes de prévention des intrusions sur les réseaux comme Snort et évalué les options en fonction des critères suivants :

  • Une interface facile à utiliser qui permet la personnalisation de la détection
  • La possibilité de voir et de stocker le trafic réseau
  • Une base de règles extensible qui permet également la personnalisation
  • Un service capable d'orchestrer des actions correctives avec d'autres outils de sécurité
  • Un service bien pris en charge et fréquemment mis à jour pour fermer les exploits
  • Un outil gratuit ou un essai gratuit pour une évaluation sans frais
  • Un outil payant qui offre un bon rapport qualité-prix ou un outil gratuit qui vaut la peine d'être installé

Nous avons compilé une liste d’excellents systèmes de prévention des intrusions qui rivalisent bien avec Snort en gardant ces critères de sélection à l’esprit.

Voici notre liste des six meilleures alternatives à Snort :

  1. Invincible (OBTENEZ UNE DÉMO GRATUITE) Si vous ne souhaitez pas emprunter la voie IDS/SIEM pour votre stratégie de sécurité système, vous pouvez plutôt essayer un gestionnaire de vulnérabilités. Il s’agit d’une approche différente de la protection du système. Plutôt que de rechercher des activités malveillantes sur votre système, Invicti recherche des exploits qui permettraient aux pirates d'entrer. Il n'opère pas sur les faiblesses du réseau mais se concentre plutôt sur la sécurité des applications Web. Il est possible de mettre en œuvre à la fois un IDS et un gestionnaire de vulnérabilités pour une protection totale. Ce système est un outil payant disponible sous forme un forfait SaaS ou pour une installation sur les fenêtres et Serveur Windows . Découvrez comment Invicti fonctionne en accédant à un système de démonstration.
  2. Acunetix (OBTENEZ UNE DÉMO GRATUITE) Il s'agit également d'un gestionnaire de vulnérabilités plutôt que d'un IDS. Acunetix est un peu plus proche de Snort que d'Invicti car il implémente l'analyse des vulnérabilités du réseau et assure la sécurité des applications Web. Acunetix est un outil payant et il est disponible en version hébergée SaaS packages ou pour une installation sur les fenêtres , macOS , ou Linux . Jetez un œil à Acunetix en accédant à un système de démonstration.
  3. Blanche C'est un concurrent très proche de Snort. Il s’agit d’un système de prévention des intrusions open source et gratuit doté d’une interface sophistiquée offrant toute l’apparence d’un outil payant coûteux. Les fonctionnalités de gestion HTTPS et TLS ajoutées en font également un excellent système de protection pour les serveurs Web. Ce système a été développé et est géré par l'Open Information Security Foundation (OISF). Il est si proche de Snort que tout outil conçu pour s'interfacer avec Snort fonctionnera automatiquement avec Suricata. Ce système est disponible pour les fenêtres , Linux , macOS , et GratuitBSD .
  4. être Anciennement connu sous le nom de Bro, ce projet open source gratuit est plus vieux que Snort de quatre ans mais est bien entretenu et régulièrement mis à jour. Il s'agit d'un excellent moniteur de sécurité réseau qui peut fonctionner comme un renifleur de paquets. Il fonctionne avec le trafic HTTP, SNMP, FTP et DNS pour rechercher des anomalies. Ses capacités de détection et de prévention sont pilotées par des scripts de politique personnalisables et partageables, similaires aux ensembles de règles de Snort. Disponible pour Linux , macOS , et GratuitBSD .
  5. OSSEC Le système de sécurité Open Source HIDS vous offrira une alternative basée sur l’hôte à l’approche de surveillance de la sécurité réseau de Snort. Ce HIDS gratuit très respecté a été lancé en 2008. Trend Micro le sponsorise. OSSEC collecte des données de journal et traite ces enregistrements à la recherche d'indicateurs d'attaque défiés par une base de données de signatures. L'outil peut se coordonner avec les pare-feu et les gestionnaires de droits d'accès pour arrêter les activités suspectes. Disponible pour les fenêtres , Linux , macOS , GratuitBSD , et Solaris .
  6. Prélude OSS Il s'agit d'un package de sécurité disponible dans une édition communautaire gratuite comme alternative à la version payante, Prelude SIEM. Le service Prelude est compatible avec Snort, OSSEC et d'autres IDS open source, il est donc possible de construire un service de sécurité hybride avec cet outil et d'autres travaillant de concert. Ce service comporte trois modules : Alert, qui est un SEM, qui surveille les événements en direct ; archive, qui est une carte SIM et parcourt les fichiers journaux ; et Analyser, qui relie les deux autres modules ensemble. Disponible pour Linux .
^