Kurumsal İş Ortamlarında Snort Kullanımı

Snort 3.5~ milyon indirme sayısıyla dünyada en fazla tercih edilen açık kaynak kodlu IDS/IPS yazılımıdır. Snort’u temel alarak geliştirilen Sourcefire 3D sistemi Gartner raporlarında hep en üst sıralarda yer almaktadır.

Bu yazı Snort’un güçlü yanları ve iş ortamlarında kullanımı için bilinmesi gereken temel hususları içermektedir ve Snort hakkında yanlış bilinen birçok konuyu da aydınlatmaktadır.

Kısa özet: Snort eğer iyi yapılandırılırsa -ki bayağı emek ister- iş ortamlarında en az ticari muadilleri kadar başarılı olur. Ama günümüzde Snort’un kullanımı genelde IPS olarak değil IDS olarak yaygındır ve iyi yapılandırılmadığı için verimli kullanılamamaktadır. Bu sebeple Snort kelimesinin geçtiği ortamlarda şu tip yakınmalar sık duyulmaktadır: “Snort yüksek trafiklerde iş göremez”, “Snort sadece imza tabanlı bir IPS sistemidir”, “Snort, yeterli protokol tanıma desteğine sahip değildir”, “Snort, çok false positive üretmektedir”…. Bu yakınmalar, eğer bilinçli olarak yapılmıyorsa bilgisizce yapılıyor demektir.

Snort’u iş ortamlardında başarıyla kullanmak için yapılması gereken en temel şey saldırı tespit ve engelleme sistemlerinin temeli olan TCP/IP bilgisini geliştirmektir. TCP/IP bilgisi olmadan yönetilecek herhangi bir IDS/IPS şirketinize bir fayda getirmeyecektir, sadece kendinizi güvende hissetmenizi sağlayacaktır. Türkiye’de tamamı orta ve büyük ölçekten oluşan 100 şirkete yapılan IPS kullanım anketinin sonuçları Türkiye’de IPS/IDS kullanımının tamamen nazar boncuğu görevini yerine getirdiğini gösteriyor.

Ankete katılan kurumların %97′indeki IPS çok basit bir iki yöntemle aşılabiliyor. Yine ankete katılanlardan hiç bir firma aldıkları IPS’i detaylı test etmemişler. Daha çok NSS ve Gartner raporlarına dayanarak satın alımlar yapılmış. Anketten çıkan önemli bir sonuç da %85 oranında firmaların IPS’in bugüne kadar ciddi bir saldırıyı engellemediğini düşünüyor…

Kısacası Türkiye’de alınan IPS ürünleri amacına uygun kullanılmamaktadır. Bunun temel sebebi de IPS yöneticilerindeki TCP/IP bilgisi eksikliğidir ve IPS’i satanların sattıkları ürünü sihirbaz olarak pazarlayıp firmaları bir nevi “kandırmalarıdır”. IPS, Firewall, router gibi statik bir sistem değildir, sadece mantık kuralları işlemez, detay bilgi gerektirir ve bu bilgiden yoksun IPS yöneticilerinin yönettiği sistemler korunmasızdır.

Aşağıdaki maddeler Snort’u kişisel bilgisayarından tutun da gigabit ağlara kadar her ortamda denemiş, tecrübeli bir snort kullanıcısının tavsiyeleridir.

* Snort’u gerçekten amacına uygun olarak kullanabilmek için mutlaka bir GUI gerekmektedir. Ne kadar uzmanı olursanız olun sizden başka sistem/güvenlik yöneticilerinin de Snort’u kullanabilmesini istiyorsanız mutlaka bir gönetim arabirimi kullanın.
* Logları analiz etmek için base ya da Aanval gibi bir analiz/raporlama sistemi kullanın. Ve günlük olarak loglara bakmaya çalışın.
* Ağ yapınızı çıkarın ve sadece korumak istediğiniz servislere ait snort imzalarını aktif edin. Snort ile birlikte 10.000 civarı saldırı imzası gelmektedir. Bunların hepsi açılırsa Snort ciddi performans kaybına uğrayacaktır ve daha da önemlisi Snort’un üreteceği alarmlar fazla olacağı için gerçek alarmları yakalayamayacaksınız.
* Mutlaka Snort’un lisanslı kural/imzalarını kullanın. Ek olarak Bleeding Snort kurallarını da inceleyerek itiyaç duyduklarınızı ekleyin.
* Snort’u SnortSam ya da inline özelliğiyle kullanın. False positivelerden kaçınmak için kendinize ait sunucuları beyaz listelere ekleyin.
* Default ayarlarıyla Snort’u en fazla 40-50 Mb trafikte kullanabilirsiniz. Bundan fazlasında paket kayıpları oluşmaya başlayacaktır. Performans için bir dünya ayar var bunları araştırın ya da Snort eğitimine katılıp gigabit ağlarda Snort’un nasıl kullanılacağını öğrenin.
* Intel ağ kartı tercih edin.
* Hattınız gigabit olmasa da gigabit ağ kartları tercih edin.
* Snort’u daha performanslı kullanmak için barnyard2 eklentisini kullanın.
* Mysql’e perfoprmans ayarları yapın
* Asimetrik trafik kullanıyorsanız Snort’un gelen–giden trafiği tamamen gördüğünden emin olun. Gerekirse gelen ve giden bağlantıları bridge yaparak Snort’a verin.
* Snort birden fazla CPU kullanamayacağı için tek bir CPU’yu Snort’un hizmetine verin. Gerekirse birden fazla Snort’u farklı işlemcilerde çalıştırarak manuel yük dağılımı gerçekleştirin.
* Klasik libpcap kullanmayın yerine daha performanslı eklentileri araştırın
* Kullanmadığınız protokollere ait preprocessorları kapatın.
* Son olarak Snort’u hem Firewall’un dışını hem de iç tarafını dinleyecek şekilde yapılandırın ve farklı ayarlarla kullanın.
* Snort inline olarak yerleştirilmişse fail open kit kullanın

Aslında burada yazılı olanlar sadece Snort için değil tüm IPS sistemleri için geçerlidir. Özellikle ticari IPS yazılımı kullanan güvenlik yöneticilerinin mutlaka Snort kurcalamalarını önerilmektedir, bunun temel sebebi ticari ürünler kapalı olduğu için IPS çalışma mantığının ürünler üzerinde tam anlaşılamamasıdır.

Snort’u kurcalayarak bir IDS/IPS nasıl çalışır, hangi durumlarda saldırı uyarısı verir, hangi paketleri normal, hangilerini anormal olarak tanımlar rahatlıkla öğrenilebilir.