27.06.10רוצים IDS חינם ? תנסו SNORBY
אחת המערכות המורכבות ליישום בארגון הינה מערכת IPS/IDS. ישנם מוצרים מסחרים רבים ומעט פתרונות OPEN SOURCE חינמיים.
כתבה זו לא נועדה להסביר מהן מערכות IPS/IDS (אני מפנה את הקורא גם לפוסט של הבלוג של גיא מזרחי וגם למאמר של מגזין DIGITAL WHISPER) אלא להציע פתרון לא מוכר בארץ.
הרבה אנשים מכירים את SNORT, מערכת IDS חינמית, OPEN SOURCE ונפוצה בעולם.
רוצה IDS חינם ? תתקין SNORT (דברי הצדיק …)
אישית, אני חושב שמעט ארגונים מעוניינים ביישום פתרון שגם קשה להתקנה (אני מזמין את כולכם להתקין SNORT כדי להתרשם) וגם קשה לתחזוקה. SNORT הינו כלי מתאים לאנשים מקצועים עם ידע טוב בלינוקס. לא מתאים לארגון קטן או בינוני (אין כוח אדם מקצועי מספיק) ועוד פחות מתאים לארגון גדול (שיעדיף להשקיע בכלי אקטיבי עם יכולות IPS).
יש אלטרנטיבה ?
ניתן ליישם את SNORBY בצורה פשוטה ומהירה. SNORBY מגיע מוכן ומוגדר בצורה בסיסית עם SNORT ועם ממשק נוח למשתמש. ניתן לקבל תמונה מהירה ויפה של מה שקורה ברשת שלנו עם מינימום השקעה של זמן ושל כוח אדם מקצועי (ובלי השקעה כספית).
תראו את הסרטון הבא כדי להבין עד כמה ממקש הניהול מגניב וידידותי :
Snorby – All about simplicity. from Dustin Webber on Vimeo.
כמה זמן זה לוקח ?
לא תאמינו … אבל כ-10/15 דקות בלבד !!! (כולל 5 דקות הורדה של המכונה עצמה)
מדריך להתקנה
1) יש להוריד את הקובץ ZIP על התחנה שלנו (קישור להורדה)
2) יש לפתוח את הקובץ ZIP עם כל תוכנה מתאימה (מומלץ 7ZIP החינמי)
3) יש לבצע קליק כפול על הקובץ VMX (שם הקובץ יכול להשתנות בהתאם לגרסה)
4) יש להפעיל את המכונה הוירטואלית
5) לאחר עליית המכונה, יש לבדוק את הכתובת שהתקבלה מה-DHCP
6) יש לבצע LOGIN ב-SSH (או במכונה עצמה) עם משתמש ROOT וסיסמא t00r (מומלץ לשנות את הסיסמא מייד)
7) יש לעדכן את ה-RULES ע"י הפקודה הבאה :
updatesnortrules
8) יש לפתוח דפדפן https://ipoftheserver:8080
וזהו ! המכונה פעילה וכבר אוספת נתונים. תראו את המסך שקיבלתי לאחר שתקפתי קצת את השרתים שלי במעבדה
אני רוצה להפעיל משרת פיזי
אין בעיה, קיימת גם אפשרות להוריד קובץ ISO ולהפעיל כ-LIVE ON CD.
לסיכום
כל ארגון היום יכול להפעיל את המערכת בצורה פשוטה. ניתן להוציא דו"חות PDF יפים (מומלץ לצרף למסמכים עבור המנהלים).
אם בעבר לקח לי שעתיים להתקין בצורה מאוד בסיסית מערכת SNORT … היום סגרתי את המעבדה שלי תוך 10 דקות.
תורידו ותתקינו ! 🙂
קישורים :
אהבתי, תודה!
28 ביוני, 2010 בשעה: 11:19
אין על מה 🙂
28 ביוני, 2010 בשעה: 11:33
למען הסר ספק, וגילוי נאות, אני פועל מטעם ארגון מסחרי.
Endace פיתחו מוצר מבוסס SNORT אשר יושב על פלטפורמת חומרה חזקה ומאפשרת ל SNORT לעבוד בעומסים גדולים מאוד, וכמו כן מספקת כלי ניהול נוחים ל SNORT כך שהמגרעות המתוארות בפוסט נעלמות, ומביאות את ה SNORT להתאים לארגונים גדולים, כך שהיתרונות של קוד פתוח נותרות בעינן מבלי לוותר על היכולות הפיזיות והניהוליות שקיימות בדר"כ במוצרים סגורים.
כמובן שמדובר במוצר מסחרי, ואין בכוונתי להכנס כאן לפרטים מסחריים – אבל חשבתי שזה יוכל לעניין את הקוראים של הפוסט הזה.
4 ביולי, 2011 בשעה: 14:23