IDS/SNORT

the_Shadow

Спецвыпуск: Хакер, номер #047, стр. 047-086-3

Альтернатива есть всегда!

ТИП: Soft

Не одинок наш Снорти в этом мире. Полезно посмотреть:

- libnids - библиотека для создания такого рода систем (libnids.sourceforge.net). Собственно, я сам при необходимости именно ей и пользуюсь. Всегда приятно несколько обескуражить скриптодятла.

- iplog - анализ протокола на предмет атак.

- courtney - старушка Кортни, которая является простеньким перловым скриптом для обнаружения факта сканирования. Безнадежная пенсионерка.

Мнение эксперта

Антон Карпов, специалист по сетевой безопасности, системный администратор

Часто говорят: если ты отражаешь атаку - ты уже проиграл. Доля правды в этих словах есть. Любые атаки желательно выявлять еще на стадии их зарождения, нежели разбираться с их результатом. К счастью, *nix-системы имеют для этого все средства. Развитая система протоколирования событий и своевременное наблюдения за аномалиями в системном журнале, а также использование сетевых средств обнаружения вторжений, конечно, помогут, но все что они позволяют - это отработать по факту того, что атака уже идет. Вот почему популярны не только системы обнаружения, но также и системы предотвращения вторжений. Простейший пример превентивной меры - соединение IDS с пакетным фильтром и подача команды на блокирование атакующего адреса.

SNORT - одна из самых первых и наиболее удачных реализаций системы IDS.

Снорт седлает сетевые интерфейсы и осуществляет наблюдение за трафиком.

Основное место для установки Снорта – роутеры.

Снорта можно легко обойти, видоизменив по максимуму сигнатуру shell-кода.