Bugün sizlere güvenlik açıklarında biri olan snortun ne olduğundan bahsedeceğim ama snorttan önce bizim için önemli olan 2 kavramdan bahsedeceğim. Bildiğiniz gibi kurumların kendilerini dijital ortamda korumaları gereklidir. Bunun içinde genellikle IPS ve IDS sistemlerini kullanırlar peki bu sistemler nedir?
IPS ve IDS Nedir?
IPS, ağ trafiği içindeki zararlı hareketlerin veya bağlantıların tespitiyle birlikte, önlenmesi, durdurulması için kullanılan bir güvenlik sistemidir.
IDS ise güvenlik sistemlerinin zararlı hareketlerini tanımlayan yani saldırıları tespit etmeyi amaçlayan bir sistemdir.
Bu sistemler kurumları için tabii ki güvenlik sağlamaktadır ama tam olarak yeterli olmayabilirler. Bu durumda kurumların işine yarayan bir araç olan snort devreye girmektedir.
Snort, açık kaynak kodlu ve kural-imza mimarisiyle çalışan bir saldırı tespit sistemdir (IDS/IPS). Kötü amaçlı ağ hareketlerinin tanımlamasında yardımcı olan kurallar kullanır. Bu kurallar kendileri ile eşleşen paketleri bulmak için kullanılmakta ve sistem kullanıcılarına gerekli uyarıları yapmaktadır. Snort, saldırı tespitini ağ paketlerini inceleyerek IP ağları üzerinde gerçek zamanlı trafik analizi yaparak sağlamaktadır. Snort’un bir ağ üzerindeki olayları gözlemleyebilmek için ağ üzerinde iletilen tüm paketleri gözlemlemesi gereklidir. Ancak yüksek hacimli bir trafiği izlemeye uygun değildir.
Snort, GNU lisanslıdır. Windows ve Linux üzerinde çalışabilmektedir. Kurulumu için doğrudan derlenmiş kodlar kullanılabileceği gibi kaynak kodları snort makinesinde derlenerek de yapılabilmektedir. İçerik arama, arabellek taşıma ve port taraması gibi konularda da kullanılmaktadır. 2013 den sonra Cisco tarafından satın alınıp geliştirilmiştir. Snort 3 temel bileşenden oluşan modüler mimariye sahiptir. Bunlar paket çözücü, tespit motoru ve alarm alt sistemidir.
Snort Kullanım Modları
Snort 3 ayrı modda çalışmaktadır. Bunlar ise, paket izleyici modu, paket günlükleme modu ve ağ sızma tespit sistemi modudur.
Paket izleyici modunda, gelen paketler okunarak TCP paket başlığı bilgisi yazılmaktadır.
Paket günlükleme veya diğer bir deyişle loglama modu, gelen paketlerin TCP paket başlığının yanı sıra diğer paket bilgilerini de dizine kaydeder.
Ağ sızma tespit sistemi modundaysa, temel olarak gelen trafik analiz edilmekte ve gelen paketlere karşı belirli kurallar ile karşılık verilmektedir.
Snort kuralları, yazması basit ve de zararlı faaliyetlerin tespiti konusunda oldukça başarılıdır. Mantıksal olarak kural başlığı ve kural opsiyonları olarak 2 ye ayrılmaktadır. Kural opsiyonunda 8 temel kural eylemi belirtilmektedir. Şimdi kısaca bunlara değinelim.
Alert (Alarm) : Kullanıcı tarafından belirlenen kurallara uyan paketleri belirleyerek o paketler için uyarı vermektedir.
Pass (Geçir) : Paketleri önemsemeyerek basit bir şekilde geçirilmesini sağlar.
Log (Günlükleme) : Alert de olduğu gibi kurallara uyan paketleri alır ancak uyarı vermez. Sadece log olarak kaydeder.
Activate (Etkinleştir) : İlk olarak Alarm vererek sonrasında başka bir kuralı etkinleştirmektedir.
Dynamic (Dinamik) : Active den gelen kuralı bekler, active edilince de kuralları uygular.
Drop (Düşür) : Paketin düşürülerek log olarak kaydedilmesi sağlar.
Reject (Reddet) : Paketi engelleyerek log kaydı almaktadır.
Sdrop (Günlüklemeden Düşür) : Paketin düşürür ancak log kaydı almamaktadır.
Bu kurallar yazılırken TCP,UDP,ICMP,IP protokollerinin belirtilmiş olmasına dikkat edilmesi gerekmektedir.
