Orolig för intrångsförsök i företagets nätverk? Då är Snort ett intressant verktyg, men se till att lägga tillräckligt mycket tid på att konfigurera det rätt. Att installera och starta Snort är nämligen ingen större konst, men att sätta upp ett regelverk som får den att reagera på det man vill upptäcka, utan att ge en massa falsklarm, är inte lika enkelt.
Grundregler till salu
Snort är helt öppen programvara, med GNU-licens. Vad som däremot kostar är att köpa uppsättningar av basregler för att konfigurera Snort från tillverkaren Sourcefire. Sådana basregler ger en utgångspunkt, men man bör vara medveten om att det även med dessa krävs en hel del kunskap och tid för att konfigurera rätt för det egna företagets behov.
Sourcefire framhäver själva att Snort i praktiken blivit branschstandard, och en ovetenskaplig förfrågan bland säkerhetsmedvetna nätverksansvariga ger dem rätt.
Vi testar med Ubuntu
Hur fungerar det då att sätta upp och köra Snort? Vi testar först en installation på Ubuntu Linux, som går smidigt genom kommandot apt-get.
Vi testar sedan att plocka hem och installera på Windows 7. Då uppstår en liten konstighet när den tycker att installationsfilen saknar exe-suffix, men det är lätt att lägga till själv när man har laddat ned filen, och sedan är det bara att klicka sig fram.
Komplexiteten kommer in när man har Snort på plats och ska ge sig in på att skapa regler för vad den ska göra.
Programmet kan logga trafik, larma vid vissa händelser och blockera trafik på lite olika sätt. Det är en rejäl verktygslåda man får. Men det är just en verktygslåda – nu gäller det att bygga ihop vad man vill ha.
Trimma in och underhåll
Vi testar med några regler som vi själva triggar igång – inkommande trafik på utpekade portar, utgående till vissa adresser. Mycket riktigt reagerar Snort enligt reglerna. Frågan är bara vad man nu egentligen borde logga, larma och stänga ute. Ett medelstort företag behöver troligen några veckors intrimning av Snort, och sedan måste reglerna förstås underhållas när saker förändras i nätverket.
Trots att Sourcefire erbjuder en prenumeration på basregler att utgå ifrån, förblir alltså regelkonfigurationen det stora jobbet med att använda Snort så att produkten gör nytta.
Den dokumentation som finns på nätet är lyckligtvis riktigt bra, och en hastig koll tyder på att det också finns en aktiv användargemenskap att hämta tips från, men man ska ändå vara beredd på att det blir en ordentlig startsträcka.
TechWorlds slutsats
Att komma igång med Snort är inte särskilt svårt, men för att veta hur man ska använda sig av den för att fånga rätt saker krävs kunskap om vad som är normal trafik till och inom det egna nätverket. Alltså är Snort en bra verktygslåda, men för att använda den ordentligt krävs en hel del kunskap om nätverk och säkerhetsfrågor.
Snort-regler
Följande typer av regler finns i Snort:
activate: Skicka ett larmmeddelande och slå på en utpekad dynamisk regel.
alert: Skicka ett larmmeddelande och logga paketet som triggat det.
drop: Blockera och logga paketet.
dynamic: Aktiveras av ett activate meddelande, och fungerar sedan som en log-regel.
log: Logga paketet.
pass: Släpp igenom paketet utan loggning.
reject: Blockera paketet, logga och skicka ett svar som indikerar att tjänsten inte kan nås.
sdrop: Blockera paketet utan loggning.
Produkt: Snort 2.9.3
Tillverkare: Sourcefire
Produkttyp: Program för att upptäcka intrångsförsök.
Kontakt: www.snort.org
Licens: GPL
OS: Windows, Linux, Unix
Pris: Gratis, men man kan köpa till basregler från Sourcefire.
En bra verktygslåda för att upptäcka intrång.
Kräver både tid och relativt djupa kunskaper för att användas effektivt.BETYG
Funktioner och finesser 24 av 25
Installation och start 18 av 20
Regelkonfiguration 12 av 20
Dokumentation15 av 20
Stöd för olika plattformar 13 av 15
