n  защита от активных атак, подмена правил и пр.

На наше счастье, нет необходимости придумывать данную систему с нуля, так как уже имеется пакет SnortCenter [1], изучением и настройкой которого мы займёмся далее.

Коротко

Основная идея SnortCenter – упростить конфигурирование (в том числе обновление правил) и диагностику работоспособности большого числа сенсоров. При необходимости могут конфигурироваться сенсоры на базе Windows NT платформы. Под диагностикой понимается информация о том, запущен и работает демон Snort или нет. Анализом и сбором данных SnortCenter не занимается, поэтому всё, что было рассказано в [4] о внесении записей сенсорами в единую БД и о том, как эту БД просматривать, нам пригодится. SnortCenter – это не зависимое от средств анализа решение, скорее – дополняющее его. Для удобства пользователей имеется SnortCenter ACID Plugin, позволяющий красиво интегрировать веб-интерфейсы SnortCenter и ACID.

Из чего состоит SnortCenter?

1. Из управляющей консоли SnortCenter Management Con-sole – программы, написанной на PHP и осуществляющей взаимодействие:

n  с сенсорами посредством агентов;

n  с правилами посредством БД;

n  с пользователем посредством веб-интерфейса.

2. Из агентов SnortCenter Sensor Agents, запускаемых на компьютерах-сенсорах с установленным Snort. Агенты – это автономные (не требуют наличия веб-сервера) CGI-программы на Perl, которые позволяют пользователю или SnortCenter Management Console через веб-интерфейс взаимодействовать со Snort и его файлами конфигурации. Для защиты соединений от прослушивания используется SSL-библиотека для perl SSLeay [5].

Если попытаться наглядно представить работу данной системы, должна получиться примерно следующая схема:

Рисунок 1. Наглядная схема взаимодействия сенсоров с центром

Данная система не является безопасной с точки зрения атак на неё и поэтому требует использования дополнительных средств. Наиболее простым и эффективным средством снижения опасности атак на систему может быть использование пакетных фильтров (на схеме они не изображены), например, iptables. В этом случае можно избежать большинства атак, осуществляемых без подмены IP-адреса. Несколько подробнее о вышеописанном способе и его недостатках написано далее.

Если вы решили создать у себя систему обнаружения атак с несколькими сенсорами и поняли, что вышеописанная схема управления конфигурационными файлами в целом вам подходит или данная реализация всё же лучше, чем её отсутствие, то давайте приступим к её установке и настройке.

Установка Snort

Выберем три узла, которые будут сенсорами, назовём их, например, «Ниф-Ниф», «Нуф-Нуф» и «Наф-Наф» и попробуем создать схему, аналогичную приведённой выше, для этого, как и ранее, нам потребуется скачать и установить Snort с поддержкой ведения логов в БД (подробнее см. [4]) на каждый из узлов-сенсоров. Те, у кого Snort уже установлен, могут пропустить несколько шагов, со всеми остальными скачиваем последнюю версию Snort: