Internet se jako brzo razvija i svakim danom postoji sve više tehnologija i različitih alata. Razvojem Interneta pojavljuju se i različiti pokušaji neovlaštenog upada u mrežu, kao i zlonamjernog iskorištavanja osobnih/poslovnih podataka pohranjenim u informacijskim sustaviama. Zlonamjerni alati pokušavaju iskoristiti sigurnosne propuste u sustavima.
Prije više od deset godina počeli su se intenzivno razvijati sustavi za detekciju upada (IDS). Ova tehnologija omogućuje detektiranje upada u sustav tako da ili analizira promet i uspoređuje ga s potpisima koji se nalaze u bazi podataka, ili uočava nepravilnosti u paketima. Snort IDS je alat koji je u svom početku bio zamišljen kao „slušač“ mrežnog prometa, a danas je zbog toga što je pisan kao program otvorenog koda, postao neizostavan element u sigurnosti mreža. U budućnosti će se težiti razvoju alata koji mogu, uz otkrivanje, i spriječiti upade u sustav (IPS) te alata koji objedinjavaju više tehnologija zaštite.
Detekcija upada je skup tehnika i metoda koje se koriste za otkrivanje sumnjivih aktivnosti na mreži, odnosno otkrivanje neželjenog prometa. Sustav detekcije upada - IDS (eng. Intrusion Detection System) može biti napravljen programski, sklopovski ili kao kombinacija programa i sklopovlja. On nadgleda promet u mreži kako bi otkrio neželjene aktivnosti i događaje kao što su ilegalni i zlonamjerni promet te promet koji narušava sigurnosnu politiku. Glavni cilj otkrivanja upada je nadgledati mrežu kako bi se mogle otkriti nepravilnosti u ponašanju i zlouporaba podataka. Ovaj koncept postoji skoro dvadeset godina, ali je tek nedavno doživio dramatičan rast popularnosti i primjenu u ukupnoj infrastrukturi informacijske sigurnosti. IDS sustav se dijeli na: mrežni IDS, uređaj u mreži s IDS-om i distribuirani IDS.
Sustav za sprječavanje upada IPS(eng. Intrusion Prevention System) poznat je kao sustav za detekciju i sprječavanje upada IDPS (eng. Intrusion Detection and Prevention System). Glavne funkcije sustava za sprječavanje upada su identificirati zlonamjerne aktivnosti, zapisati informacije o tome te pokušati blokirati/zaustaviti otkrivene aktivnosti te ih prijaviti administratoru sustava. IPS može poduzeti određene akcije tako da šalje obavijest, ispušta zlonamjerne pakete, ponovo uspostavlja vezu i/ili blokira promet s adresa koje su izvršile napad.
Snortje alat otvorenog koda za mrežnu detekciju upada u sustav. Izvorno ga je izdala organizacija Sourcefire pod vodstvom Martina Roescha 1998. godine. Sposoban je izvoditi analizu prometa u stvarnom vremenu i zapisivati podatke o paketima u IP mrežama. Isprva je bio poznat pod nazivom „lagana“ tehnologija detekcije upada, a razvio se u zrelu IPS tehnologiju punu bogatih karakteristika i postao skoro pa standardom za detekciju i prevenciju upada u sustav. Ima gotovo 4 milijuna preuzimanja i 400 000 registriranih korisnika. Snor je postao najrasprostranjenija tehnologija prevencije upada u svijetu.
Načini rada Snort alata su: sniffer, packet logger i mrežni IDS. „Sniffer“ način rada je najjednostavniji i on se pokreće na početku kako bi se korisnik upoznao s alatom Snort. U ovom načinu rada Snort prati promet paketa podataka na mreži i ispisuje rezultate u komandnoj liniji. „packet logger“ je način rada u kojem se testiraju mogućnosti generiranja zapisa paketa alata Snort. Mrežni IDS je najsloženiji način rada i za njegovo funkcioniranje potrebno je podesiti određene parametre.
Snort se može konfigurirati kako bi se smanjio broj pogrešnih upozorenja. Jedan od načina, a koji je ujedno i najjednostavniji, je isključiti nepotrebna pravila. Svaki korisnik može dodavati nova pravila i brisati za njega nepotrebna. Uz alat Snort dolazi jako puno pravila, a njihov broj se može povećati već spomenutim, dodavanjem vlastitih pravila (iako se to jako rijetko radi).
Svaka organizacija ima različite razloge za instalaciju opisanog alata, kao i različite ciljeve u nadziranju svojih mreža. Škole mogu koristiti Snort kao obrazovni alat te kao alat za otkrivanje upada u sustav.
Posljednje sigurnosne preporuke