معرفی IDSهاوIPS های نرم افزاری SNORT ,SURICATA
معرفی IDSهاوIPS های نرم افزاری SNORT ,SURICATA
امروزه IPS و IDS ها یکی از اجزای پیاده سازی امنیت اطلاعات و شبکه های کامپیوتری میباشد که وظایف مهم و مشخصی دارند .
IPS و IDS سیستم پیشگیری و تشخیص نفوذ است که که هم در ساختار شبکه و هم در لبه (Edge) ورودی شبکه میبایست استفاده شود.
نحوه عملکرد این این ابزار بصورت کلی به دو روش میباشد :
در روش اول IPS بعد از چند روز که در مدار قرار گرفت ، یصورت خودکار برای ترافیک شبکه یک
Base Line یا به عبارتی ترافیک های معمول را شناسایی می کند و در صورتی که
در یک بازه زمانی این نمودار متفاوت شود جلوی ترافیک مشکوک را می گیرد.
در روش دوم جلوگیری از حملات با signature یا به عبارتی امضاء آن است.
یعنی بصورت روزانه یا هفتگی رفتار حملات به برای دستگاه تعریف میکنند و ان هم با توجه به امضاهای تعریف شده جلوی حملات را میگیرد.
” معرفی IDSهاوIPS های نرم افزاری SNORT ,SURICATA ”
شرکتهای معتبری مانند Fortinet ، Juniper ، Cisco و … IPS های خود را به بازار ارائه دادند.
علاوه بر این برند ها که IPS را به صورت سخت افزاری و به عنوان یکی از امکانات UTM بر روی فایروال های خود ارائه میدهند
IPS هایی به صورت Standalone و نرم افزاری نیز در بازار موجود است.
IPS هایی مانند Snort و یا Suricata که در این مطلب توضیحات بیشتری در مورد آنها ارائه خواهیم داد.
” معرفی IDSهاوIPS های نرم افزاری SNORT ,SURICATA “
Snort یک IDS نرم افزاری Open Source میباشد که از توسط SourceFire توسعه یافته است.
Snort حملات CGI (Common Gateway Interface) و کاوش SMB و … را تشخیص میدهد و در سه حالت برنامه ریزی میشود :
- به عنوان یک sniffer برای بسته های شبکه
- به عنوان ثبت کننده بسته ها (packet logger)
- یک سیستم تشخیص نفوذ کامل مبتنی بر شبکه
این نرم افزار علاوه بر قابلیت شناسایی و تشخیص حملات مبتنی بر سیستم عامل ها ، توانایی شناسایی حملاتی دیگر مثل
Buffer Overflow ، Semantic URL Attacks و استفاده غیر مجاز از نرم اقزار های Port Scan را داراست.
از مزیت های snort میتوان به رایگان و Open Source بودن آن اشاره کرد همچنین بر روی اکثر سیستم عامل ها قابل دسترسی می باشد .
Snort به صورت یک ویژگی بر روی برخی از محصولات Cisco نیز وجود دارد.
باید اشاره داشت که پیاده سازی و پایش این نرم افزار هزینه هایی را به همراه دارد.
Suricata متعلق به بنیاد Open Information Security (OISF) است و توسط این بنیاد توسعه یافته شده است.
OISF یک بنیاد غیرانتفاعی است که برای حمایت از تکنولوژی های امنیتی متن باز مانند suricata تاسیس شده .
Suricata یک محصول رایگان ، Open Source و کامل می باشد و در تشخیص تهدیدهای شبکه سریع و قوی عمل میکند.
Suricata قابلیت تشخیص نفوذ (IDS) به صورت بر خط ، جلوگیری از نفوذ (IPS) به صورت inline
(این قابلیت فقط در حالت Inline در دسترس میباشد) و همچنین مانیتور و پایش امنیتی شبکه را داراست.
این محصور قابلیت برسی فایل های PCAP به صورت Offline را نیز داراد.
این محصول با استفاده از قوانین قدرتمند و گسترده و با استفاده از signature ترافیک شبکه را بررسی میکند
و دارای پشتیبانی قوی از Lua Script برای شناسایی تهدیدات پیچیده است.
” معرفی IDSهاوIPS های نرم افزاری SNORT ,SURICATA “
Suricata به شما امکان دریافت خروجی با فرمت هایی مانند YAML و JSON میدهد که از طریق آن ها میتوانید
به راحتی خروجی های خود را از طریق نرم اقزار های مدیریت رخداد یا SIEM مشاهده و برسی کنید.
Suricata قابلیت های دیگری همچون موارد زیر را نیز دارا است :
- Multi-threading
- Automatic protocol detection
- Gzip decompression
- Independent HTP library
- Standard input methods
- Unified2 output
- Flow variables
- Fast IP matching
- HTTP log module
- Graphics card acceleration
- Windows binaries
- Lua scripting
- Prelude output
- file matching, logging, extraction, md5 checksum calculation[6]
- IP reputation
- DNS logger
باید اشاره داشت که پیاده سازی و پایش این نرم افزار هزینه هایی را به همراه دارد.