【TechTarget中国原创】企业很难决定要不要实施入侵检测系统(IDS)。但是IDS要求认真的“照顾和喂养”。而且商务系统的价格也很高。尽管如此,还是存在企业级的开源IDS,叫做Snort。而它目前的已经处于“不能失去”的至高的位置。
Snort工具是免费的,而且可以在现在的任何操作系统以及你所有的陈旧的硬件上运行。在Snort IDS上的真正投入是时间和汗水,但是我保证在不到一个星期的时间内,你就可以了解网络中你从来不知道的内容。三个月后,你已经发现了一定数量的网络问题和你不曾知道你有的入侵检测。例如,你可能发现一个错误配置管理工作区,而它在一切上面都使用SNMP社区字符串“public”。我们都知道这样不好,对吧?
除了可以了解网络,还可以了解到有趣的恶意代码。有了Snort,规则就变得强大、灵活,也容易编写了,所以删除最新的恶意软件的最新规则通常是由Snort社区的人在发作的其间的几个小时内编写的。在你的本地或实验规则文件中增加一条规则,重启Snort,然后你就可以进行检测、包含并删除任何可以绕过其他安全层的不稳定因素。
除了可以从Snort.org和Bleedingsnort.com网站上获得新的Snort规则,你也可以自己编写。可能有需要标记的模糊的应用或者协议,你想要使用Snort实施基于策略的IDS。基于策略在某些特定的环境中运行的强大概念。在这个环境中,你可以确定所有已知和被允许的流量,然后会对其它的任何东西发出警告。尽管如此,确定已知和被允许的流量在所有的环境中非常不容易,但是在简单或者被严密控制的环境中要容易一些,所以基于策略的IDS并不适用于每个人。
关于IDS规则中最易被忽略的是他们都是开源的(特定许可可参见Snorg.org和Bleedingsnort.com网站)。讽刺的是,ISS RealSecure和Symantec ManHunt都存在允许使用Snort规则的模块。但是真正的美妙之处在与Snort规则是可读的,而在厂商提供的就不可以。你能获得的最好结果是某些人写的片段,而且是不相同的。对实际规则的访问可以帮你在精确的标准上做出精明的决定,而这些标准可以引发警报和对环境的相关性。
不管你安装Snort的需求或理由是什么,我推荐你阅读Snort.org.上的常见问题解答并加入邮件列表(特别是Snort用户)。