Snort’u iş ortamlarında kullanma

Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır. Snort’u temel alarak geliştirilen Sourcefire 3D sistemi Gartner raporlarında hep en üst sıralarda yer almaktadır. 

Bu yazıda Snort’un güçlü yanları ve iş ortamlarında kullanma için yapılması gerekenleri aktaracağım. Bu satırların yazarı Snort’u yaklaşık ilk tanıdığı günden beri her ortamda çeşitli amaçlarla başarıyla ve övünerek kullanmaktadır. Bu ortamlar 2 Mb hattan 2 Gb hatta kadar uzanmaktadır.

Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır ve iyi yapılandırılmadığı için verimli kullanılamamaktadır.

Snort’u iş ortamlardında başarıyla kullanmak için yapılması gereken en temel şey saldırı tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisini geliştirmektir. TCP/IP bilgisi olmadan yönetilecek herhangi bir IDS/IPS şirketinize bir fayda getirmeyecektir, sadece kendinizi güvende hissetmenizi sağlayacaktır. Türkiye’de tamamı orta ve büyük ölçekten oluşan 100 şirkete yaptığım IPS kullanım anketi(bireysel bir anketdir ve sonuçları yakında detaylı açıklanacaktır)nin sonuçları Türkiye’de IPS/IDS kullanımının tamamen nazar boncuğu görevini yerine getirdiğini gösteriyor.

Ankete katılan kurumların %95’indeki IPS çok basit bir iki yöntemle aşılabiliyor. Yine ankete katılanlardan hiç bir firma aldıkları IPS’i detaylı test etmemişler. Daha çok NSS ve Gartner raporlarına dayanarak satın alımlar yapılmış. Anketten çıkan önemli bir sonuç da %85 oranında firmaların IPS’in bugüne kadar ciddi bir saldırıyı engellemediğini düşünüyor…

Kısacası Türkiye’de alınan IPS ürünleri amacına uygun kullanılmamaktadır. Bunun temel sebebi de IPS yöneticilerindeki TCP/IP bilgisi eksikliğidir ve IPS’i satanların sattıkları ürünü sihirbaz olarak pazarlayıp firmaları bir nevi kandırmalarıdır:)

  • Snort’u gerçekten amacına uygun olarak kullanabilmek için mutlaka bir GUI gerekmektedir. Ne kadar uzmanı olursanız olun sizden başka sistem/güvenlik yöneticilerinin de Snort’u kullanabilmesini istiyorsanız mutlaka bir gönetim arabirimi kullanın.
  • Logları analiz etmek için base ya da Aanval gibi bir analiz/raporlama sistemi kullanın. Ve günlük olarak loglara bakmaya çalışın.
  • Ağ yapınızı çıkarın ve sadece korumak istediğiniz servislere ait snort imzalarını aktif edin. Snort ile birlikte 10.000 civarı saldırı imzası gelmektedir. Bunların hepsi açılırsa Snort ciddi performans kaybına uğrayacaktır ve daha da önemlisi Snort’un üreteceği alarmlar fazla olacağı için gerçek alarmları yakalayamayacaksınız.
  • Mutlaka Snort’un lisanslı kural/imzalarını kullanın. Ek olarak Bleeding  Snort  kurallarını da inceleyerek itiyaç duyduklarınızı ekleyin.
  • Snort’u SnortSam ya da inline özelliğiyle kullanın. False positivelerden kaçınmak için kendinize ait sunucuları  beyaz listelere ekleyin.
  • Default ayarlarıyla Snort’u en fazla 40-50 Mb trafikte kullanabilirsiniz. Bundan fazlasında paket kayıpları oluşmaya başlayacaktır. Performans için bir dünya ayar var bunları araştırın ya da Snort eğitimine katılıp gigabit ağlarda Snort’un nasıl kullanılacağını öğrenin.
  • Intel ağ kartı tercih edin.
  • Hattınız gigabit olmasa da gigabit ağ kartları tercih edin.
  • Snort’u daha performanslı kullanmak için barnyard2 eklentisini kullanın. 
  • Mysql’e perfoprmans ayarları yapın
  • Asimetrik trafik kullanıyorsanız Snort’un gelen–giden trafiği tamamen gördüğünden emin olun. Gerekirse gelen ve giden bağlantıları bridge yaparak Snort’a verin.
  • Snort birden fazla CPU kullanamayacağı için tek bir CPU’yu Snort’un hizmetine verin. Gerekirse birden fazla Snort’u farklı işlemcilerde çalıştırarak manuel yük dağılımı gerçekleştirin.
  • Klasik libpcap kullanmayın yerine daha performanslı eklentileri araştırın
  • Kullanmadığınız protokollere ait preprocessorları kapatın.
  • Son olarak Snort’u hem Firewall’un dışını hem de iç tarafını dinleyecek şekilde yapılandırın ve farklı ayarlarla kullanın.

Aslında burada yazılı olanlar sadece Snort için değil tüm IPS sistemleri için geçerlidir. Ben özellikle ticari IPS yazılımı kullanan arkadaşlara mutlaka Snort kurcalamalarını öneriyorum zira ticari ürünler kapalı olduğu için IPS çalışma mantığını onları kullanarak öğrenilemez.

This entry was posted in Network Security, Snort and tagged . Bookmark the permalink.

1 Response to Snort’u iş ortamlarında kullanma

  1. Pingback: Sayı25: Dikkat Çeken Yazılar | NETSEC AĞ VE BİLGİ GÜVENLİĞİ TOPLULUĞU

Leave a Reply

Your email address will not be published. Required fields are marked *

five × four =