ابزارهاامنیتشبکه

معرفی راهکار Snort و انواع mode های آن

خلاصه نوشته

  • نرم افزار Snort یک سیستم مبتنی بر شبکه تشخیص نفوذ شبکه یا اصطلاحاً NIDS است که توانایی انجام سریع تجزیه و تحلیل بر روی ترافیک های ورودی و خروجی در یک سرور و یا سیستم کامپیوتری را دارا می باشد

معرفی راهکار Snort و انواع mode های آن

 

نرم افزار Snort یک سیستم مبتنی بر شبکه تشخیص نفوذ شبکه یا اصطلاحاً NIDS است که توانایی انجام سریع تجزیه و تحلیل بر روی ترافیک های ورودی و خروجی در یک سرور و یا سیستم کامپیوتری را دارا می باشد که البته به جزء تشخیص ترافیک های مخرب می تواند از نفوذ به سیستم و حمله های احتمالی در سیستم در کمترین زمان ممکن جلوگیری نماید (یعنی NIPS).
راهکار Snort یک سیستم Open Source و رایگان است و تحت لایسنس GPLv2+ یا GNU General Public License می باشد که در حال حاضر توسط Sourcefire توسعه می یابد. (‌این برنامه در سال 2009 بهترین سیستم Open Source در زمان خود شناخته شد)
همچنین جالب است بدانید که Snort می تواند در تشخیص نفوذ، جلوگیری از حمله Buffer Overflow، جلوگیری از اسکن پورت (Port Scan) و… نیز مورد استفاده قرار گیرد.
این برنامه برای سیستم عامل های مختلف از جمله: Linux و Windows قابل دسترس و استفاده می باشد و برای دسترسی به source مربوط به Snort می توانید به سایت رسمی آن یعنی Snort.org مراجعه نمایید.

نرم افزار Snort را می توان در چهار حالت یا Mode اصلی پیکربندی کرد:
???? مد Sniff یا Packet Sniffer Mode:

در این مد فقط ترافیک های ورودی و خروجی اینترفیس سیستم و سرور را بررسی می کند تا بتواند ترافیک را بر روی Screen نمایش دهد.
???? مد Packet Logger Mode:

در این مد Snort ترافیک های ورودی و خروجی را بررسی کرده و logها پکت ها را در دیسک ذخیره می کند.
????  ‌مد Detection Mode:

این mode برای تشخیص نفوذ شبکه و جلوگیری از تهدید می باشد. در این mode ترافیک های ورودی و خروجی مانیتور و بررسی می شوند و به ترافیک طبق قوانینی که کاربر تعریف می کند یا user-define rule setها اجازه عبور داده می شود یا action های دیگری بر روی آن اتفاق میوفتد و هر فعالیتی که کاربر می خواهد بر روی ترافیک مخرب می تواند انجام دهد. به این مد اصطلاحاً Network Intrusion Detection System (NIDS) mode نیز گفته می شود.

???? مد Prevention Mode یا Inline Mode:

در این mode نرم افزار Snort جهت جلوگیری از تهدیدات شبکه از ماژول IPS خود استفاده می کند. در این حالت Snort پکت ها از IPtables به جای libpacp دریافت می کند و سپس با توجه به انواع rule های خود به IPtables کمک می کند تا پکت ها را pass یا drop نماید. بطور کلی سه نوع از انواع rule ها در Snort وجود دارند که عبارتند از: drop، reject و یا sdrop.

اگر می خواهید Snort به عنوان یک سیستم پیشگیری از نفوذ پیکربندی کنید شما می توانید از پلاگین SnortSam استفاده کنید. Snort می تواند با Cisco، Check Point یا Juniper/Netscreen و سایر فایروال ها به طور خودکار و اتوماتیک ارتباط برقرار کرده و IP (هایی) که تشخیص داده است که باید مسدود شود را مسدود کند.

در صورت تمایل جهت کسب اطلاعات بیشتر در مورد Snort پیشنهاد میکنم به آدرس زیر مراجعه نمایید:

https://snort.org/documents

سازن هاست ارائه دهنده خدمات ثبت دامنه و هاست وردپرس در ایران

???? میثم ناظمی

برچسب ها
نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن
بستن