tranthanhliem
07-09-2007, 02:55 PM
Những điều cần lưu ý
Một thử thách khi sử dụng một ứng dụng mã nguồn mở như Snort là thường xuyên có nhiều phiên bản mới. Những phiên bản mới này có thể có thêm các chức năng mà bạn muốn sử dụng. Vấn đề duy nhất là thỉnh thoảng các chức năng này làm cho cách thực hiện các việc cũ bị thay đổi hoặc bị thay thế (ví dụ như tiền xử lí portscan2 và conversation bị thay thế bằng flow-portscan). Hãy kiểm tra các phiên bản và chức năng mới này trước khi nâng cấp. Thỉnh thoảng, các chức năng mới cũng có một số lỗi. Tuy nhiên, việc kiểm tra mã nguồn mở phiên bản beta cùng với các công ty và nhà phát triển được thực hiện bởi Sourcefire (một công ty bán phiên bản thương mại của Snort) đã loại trừ hầu hết các lỗi trước khi chúng được phát hành.
Làm thế nào để bạn biết được mình bị tấn công hay bị hack.Theo khái niệm về phòng thủ theo chiều sâu (defense-in-depth), mỗi thiết bị trên mạng đóng một vai trò về bảo mật và các cách khác nhau có thể được triển khai để phát hiện hoặc ngăn chặn các cuộc tấn công. Việc triển khai NIDS không phải là tất cả những gì cần để có thể bảo mật cho hệ thống của bạn. Không có một thiết bị đơn nào có thể làm việc đó.
NIDS là một lớp phòng thủ khác. Bạn vẫn cần cài đặt các bản vá bảo mật cho phần mềm hệ thống của bạn. Bạn vẫn cần cách li các hệ thống đối mặt với Internet thành các mạng riêng biệt (thường được gọi là DMZ). Bạn vẫn cần kiểm tra các log hệ thống. Một NIDS cung cấp sớm một cảnh báo rằng một người nào đó đang thăm dò bạn hoặc một sự tấn công đang được thực hiện vào hệ thống.
Nếu bạn chỉ có hệ thống Windows trong mạng , việc sử dụng các luật mà theo dõi những sự tấn công vào hệ thống Unix sẽ chỉ là gây ra các cảnh báo nhầm. Nếu bạn đang chạy server web Apache, loại trừ các luật cảnh báo về Microsoft IIS mà có thể không ảnh hưởng đến server web của bạn
Vị trí của bộ cảm biến
Vì bộ cảm biến Snort chỉ có thể cảnh báo trên những gì nó thấy nên vị trí của bộ cảm biến là rất quan trọng. Trong nhiều mạng, việc đặt bộ cảm biến ở một vị trí sai có thể làm cho bạn bỏ qua toàn bộ lưu lượng mạng. Hình 1 mô tả một ví dụ đơn giản. Nếu bạn muốn đặt bộ cảm biến Snort ở điểm A, bạn có thể thấy toàn bộ lưu lượng giữa mạng bên trong và Internet. Bạn sẽ không thể thấy được lưu lượng giữa các DMZ và Internet. Trong trường hợp này, một sự tấn công vào web server sẽ không bị phát hiện.
http://usera.imagecave.com/wimax/snort003.jpg
Nếu bạn đặt bộ cảm biến tại điểm B, bạn sẽ thấy tất cả lưu lượng giữa các hệ thống DMZ và Internet. Trong trường hợp này, bạn sẽ không thấy lưu lượng giữa mạng bên trong và Internet. Có lẽ bạn nên có một bộ cảm biến chỉ được sử dụng cho DMZ với các tập hợp luật và tiền xử lí được điều chỉnh đặc biệt cho phù hợp cho những server này. Bạn cũng có thể có một bộ cảm biến khác được đặt tại A để kiểm tra lưu lượng có phù hợp hay không.
Việc đặt bộ cảm biến tại C sẽ cho phép bạn thấy tất cả lưu lượng di chuyển giữa cả hai mạng( bên trong và DMZ) với Internet. Tuy nhiên, lưu lượng giữa DMZ và mạng bên trong không thể thấy được.
Như bạn thấy, việc đặt bộ cảm biến lên mạng không phải là một quyết định tầm thường. Hãy xem xét một vài khía cạnh của quyết định này.
Các hệ thống và mạng phải giám sát
Thật là không thực tế khi mong đợi xem được tất cả lưu lượng giữa tất cả các hệ thống trên mạng một cách hiệu quả với NIDS. Sự ưu tiên của các hệ thống và các mạng là cần thiết.
Các hệ thống cung cấp các dịch vụ cho Internet là lựa chọn đầu tiên. Những hệ thống này nguy hiểm hơn so với các mạng bên trong. Chúng cũng có thể cung cấp các dịch vụ cho khách hàng hoặc đối tác của bạn, điều cực kì quan trọng đối với mục đích của tổ chức của bạn. Quy tắc đầu tiên là cách li bất kì hệ thống nào cung cấp các dịch vụ cho cộng đồng Internet thành các mạng độc lập mà giới hạn truy cập đến các mạng bên trong. Cách sắp xếp này làm cho lưu lượng mạng dễ kiểm soát hơn.
Cũng có một nhóm các server cung cấp các dịch vụ cho những người làm việc : print server, file server, mail server và cơ sở dữ liệu... Tác động của các cảnh báo nhầm gia tăng khi theo dõi lưu lượng mạng LAN bên trong. Việc trao đổi bình thường giữa các hệ thống Window này có thể tạo ra một khối lượng lớn các cảnh báo này. Hệ thống có giá trị nhất chính là cơ sở dữ liệu. Bạn có thể bổ sung cho cái thiếu của NIDS bằng các nhà quản trị mạng, bao gồm việc thực hiện tốt khi xây dựng hệ thống, sử dụng các phần mềm chống virus, và kiểm tra các log hệ thống. Điều này không có nghĩa là chúng ta sẽ bỏ qua các máy trạm, laptop, và các thành phần khác của mạng bên trong. Người ta đề nghị rằng lưu lượng giữa những hệ thống này và Internet nên được kiểm soát bằng NIDS. Nếu bạn có một kết nối WAN đến các đối tác, chi nhánh, một bộ cảm biến trên các kết nối này là cần thiết.
Vị trí chính xác của bộ cảm biến được xác định dễ hơn bằng cách tìm kiếm những chỗ nghẽn cổ chai – kết nối giữa các mạng này là điểm rất tốt. Điểm giữa mạng của bạn và Internet là một sự lựa chọn dễ dàng. Như đã đề cập ở trên, các kết nối WAN là các điểm quan trọng. Hãy nhớ đặt các server bên trong vào các mạng riêng biệt để lưu lượng giữa các mạng chứa người sử dụng và các server có thể được kiểm soát.
Còn một vấn đề : bạn muốn đặt bộ cảm biến bên phía Internet của firewall (bên ngoài) hay là phía bên trong. Nếu bạn đặt bên ngoài, bộ cảm biến thấy tất cả các tấn công vào mạng. Nếu là bên trong, ta có thể sử dụng bộ cảm biến cho nhiều mục đích hơn, vì chỉ có những lưu lượng nào được firewall cho phép mới được giám sát.
Tạo các điểm kết nối
Những thiết bị switch tốc độ cao chỉ chuyển lưu lượng đến những cổng trong cuộc trao đổi – làm cho việc nghe trộm cuộc trao đổi đó với bộ cảm biến NIDS là không thể. Một vài nhà quản trị cắm một hub nhỏ vào đường truyền lưu lượng mà họ muốn xem. Tuy cách này vẫn hoạt động nhưng nó không tin cậy bằng các switch dành cho doanh nghiệp.
Có rất nhiều thiết bị phần cứng có thể tạo một bản sao của lưu lượng di chuyển trên mạng. Một vài là sản phẩm thương mại và những cái khác có thể được xây dựng theo các hướng dẫn trên Internet. Giải pháp thương mại thường được sử dụng, nhưng có một điểm lỗi tiềm tàng đối với các cáp được nghe trộm.
Một giải pháp tốt hơn là sử dụng các switch của Cisco. Nó có thể tạo ra các sao chép của lưu lượng từ một hoặc nhiều cổng và gửi nó ra một cổng được chỉ định mà bạn sẽ cắm bộ cảm biến vào. Đây được gọi là SPAN port (Switched Port Analyzer) của Cisco. Bạn có thể thu thập được lưu lượng từ một cổng đơn, tập hợp lưu lượng từ nhiều cổng, thậm chí là các cổng trên các switch ở xa.
Lưu lượng mã hóa
Bạn có thể muốn sử dụng Snort để giám sát các giao dịch thương mại điện tử quan trọng. Lưu lượng này được mã hóa bằng SSL - làm cho giao dịch được bảo mật hơn. Khi đó, Snort không thể đối chiếu nội dung của một gói tin được mã hóa với các dấu hiệu trong file luật. Mục đích của việc mã hóa lưu lượng là làm cho nó không thể bị can thiệp hoặc giám sát.
http://usera.imagecave.com/wimax/snort004.jpg
Một giải pháp cho phép lưu lượng web vẫn được mã hóa nhưng cho phép Snort đối chiếu với các dấu hiệu xâm nhập là sử dụng một proxy SSL. Proxy SSL có nhiều tên như Content Switch, SSL Accelerator, và SSL Proxy. Thiết bị này nằm giữa client và server và giải quyết nhiệm vụ mã hóa lưu lượng. Lưu lượng từ web server đến proxy SSL không được mã hóa còn lưu lượng từ proxy và web client thì được mã hóa. Đặt bộ cảm biến Snort giữa web server và proxy sẽ cho phép lưu lượng được giám sát.Một ưu điểm khác của cách thực thi này là khả năng chuyển trách nhiệm mã hóa của CPU cho một thiết bị ủy quyền, cho phép web server hoạt động hiệu quả hơn. Các proxy SSL cũng thường thực hiện các nhiệm vụ khác như cân bằng tải hoặc xác thực.
http://usera.imagecave.com/wimax/snort005.jpg
Bảo mật bộ cảm biến Snort
Một điều hiển nhiên rằng bảo vệ hệ thống chịu trách nhiệm giám sát và duy trì sự bảo mật cho các mạng là một việc cực kì quan trọng. Bạn không chỉ cần bảo vệ hệ thống NIDS mà còn phải bảo vệ các server syslog, server xác thực, các công cụ giám sát và quản trị. Một kiểu triển khai là mạng quản trị. Mạng này có một firewall riêng và các sự truy cập đến nó chịu sự điều khiển chặt chẽ. Firewall chỉ mở những cái cần cho việc giám sát lưu lượng.
Việc quản lý chặt chẽ hệ thống Snort là rất quan trọng. Các hệ điều hành nên được cấu hình theo chuẩn công nghiệp và thường xuyên cập nhật các bản vá lỗi, cập nhật. Xét cho cùng, một bộ cảm biến IDS có thể truy cập đến hầu hết các hệ thống nhạy cảm của bạn – một tình huống nguy hiểm.
Chọn một hệ điều hành
Có nhiều việc để suy nghĩ và đưa ra quyết định như sau:
Khả năng hỗ trợ
Rất thông thường, hãy quyết định chọn hệ điều hành nào được sử dụng dựa trên những gì mà bạn biết. Chọn một hệ điều hành mà bạn biết cấu hình và bảo quản hiệu quả. Nếu bạn biết rõ về Windows nhưng không biết gì về Linux, hãy sử dụng Windows. Hầu như những tài nguyên web được sử dụng để chạy Snort thiên về cài đặt nền tảng Linux.
Sự hoạt động
Mọi người thừa nhận rằng mạng trên Linux và BSD thì nhanh hơn mạng Windows. Theo kinh nghiệm của các chuyên gia bảo mật, dường như bộ cảm biến Linux có thể giám sát mức độ băng thông cao hơn Windows với một cấu hình định sẵn. Điều đó làm cho bạn cảm thấy Snort được viết cho hệ điều hành Unix.
Sự ổn định
Người ta đã từng cho rằng Linux và BSD thì ổn định hơn Windows nhiều. Điều đó thật sự không thật đúng đối với các hệ thống Windows được cấu hình và vá lỗi tốt.
Bảo mật
Có nhiều việc làm để bảo mật cho hệ thống Windows. Số lượng các bản vá lỗi cho các dịch vụ Windows là rất nhiều. Cũng có các bản vá lỗi cho những hệ điều hành khác và các dịch vụ Unix nhưng thường là ít hơn. Và vì hệ điều hành Unix có khuynh hướng chạy ít dịch vụ hơn nên bạn sẽ có ít lỗ hổng hơn. Về nhiệm vụ có liên quan đến bảo mật, nhiều chuyên gia sử dụng Linux hay BSD hơn là Windows.
Cấu hình các giao diện
Cùng với việc tạo ra một mạng quản lý, có nhiều bước phải thực hiện để bảo mật cho hệ thống của bạn. Các bộ cảm biến Snort nên được cấu hình với ít nhất 2 giao diện. Một giao diện trên mạng quản trị, tất cả các lưu lượng cảnh báo và quản trị dùng giao diện này, tránh cho nó khỏi những con mắt tò mò. Snort sẽ sử dụng giao diện kia để giám sát.Giao diện này sẽ không được cấu hình với một địa chỉ IP, vì vậy nó sẽ không thể bị thấy bởi các host trên mạng. Việc giữ các giao diện lắng nghe “vô hình” với các hệ thống khác trên mạng làm cho việc bảo mật bộ cảm biến dễ dàng hơn.
Tắt các dịch vụ không cần thiết
Nếu một dịch vụ không cần thiết cho chức năng của một server, ta không nên cài đặt hoặc bật nó lên. Càng ít dịch vụ chạy trên một hệ thống, càng ít các vấn đề cần phải bảo mật.
Cập nhật các bản vá lỗi
Ngày càng xuất hiện nhiều các tấn công mới, vì vậy bạn phải thường xuyên cập nhật và vá lỗi hệ thống. Điều này đúng với bất kì hệ điều hành nào mà bạn sử dụng.
Sử dụng các cách xác thực mạnh
Khi có thể, hãy sử dụng các phương pháp xác thực mạnh hơn việc chỉ đơn giản là username và password. Hãy bắt người dùng thay đổi password định kì, hủy tài khoản sau một số lần đăng nhập không thành công...
Giám sát hệ thống tạo log
Hệ thống được cấu hình để tạo ra các log là rất quan trọng và các log đó được xem lại thường xuyên để biết được các vấn đề về hệ thống, phần cứng, cấu hình...(bao gồm cả các dấu hiệu xâm nhập ). Nếu có thể, gửi các log đến một server syslog tập trung (nên được đặt trong mạng quản lý). Điều này làm cho việc xem các log và thiết lập một vài sự liên quan của các sự kiện trên nhiều mạng dễ dàng hơn.
Một thử thách khi sử dụng một ứng dụng mã nguồn mở như Snort là thường xuyên có nhiều phiên bản mới. Những phiên bản mới này có thể có thêm các chức năng mà bạn muốn sử dụng. Vấn đề duy nhất là thỉnh thoảng các chức năng này làm cho cách thực hiện các việc cũ bị thay đổi hoặc bị thay thế (ví dụ như tiền xử lí portscan2 và conversation bị thay thế bằng flow-portscan). Hãy kiểm tra các phiên bản và chức năng mới này trước khi nâng cấp. Thỉnh thoảng, các chức năng mới cũng có một số lỗi. Tuy nhiên, việc kiểm tra mã nguồn mở phiên bản beta cùng với các công ty và nhà phát triển được thực hiện bởi Sourcefire (một công ty bán phiên bản thương mại của Snort) đã loại trừ hầu hết các lỗi trước khi chúng được phát hành.
Làm thế nào để bạn biết được mình bị tấn công hay bị hack.Theo khái niệm về phòng thủ theo chiều sâu (defense-in-depth), mỗi thiết bị trên mạng đóng một vai trò về bảo mật và các cách khác nhau có thể được triển khai để phát hiện hoặc ngăn chặn các cuộc tấn công. Việc triển khai NIDS không phải là tất cả những gì cần để có thể bảo mật cho hệ thống của bạn. Không có một thiết bị đơn nào có thể làm việc đó.
NIDS là một lớp phòng thủ khác. Bạn vẫn cần cài đặt các bản vá bảo mật cho phần mềm hệ thống của bạn. Bạn vẫn cần cách li các hệ thống đối mặt với Internet thành các mạng riêng biệt (thường được gọi là DMZ). Bạn vẫn cần kiểm tra các log hệ thống. Một NIDS cung cấp sớm một cảnh báo rằng một người nào đó đang thăm dò bạn hoặc một sự tấn công đang được thực hiện vào hệ thống.
Nếu bạn chỉ có hệ thống Windows trong mạng , việc sử dụng các luật mà theo dõi những sự tấn công vào hệ thống Unix sẽ chỉ là gây ra các cảnh báo nhầm. Nếu bạn đang chạy server web Apache, loại trừ các luật cảnh báo về Microsoft IIS mà có thể không ảnh hưởng đến server web của bạn
Vị trí của bộ cảm biến
Vì bộ cảm biến Snort chỉ có thể cảnh báo trên những gì nó thấy nên vị trí của bộ cảm biến là rất quan trọng. Trong nhiều mạng, việc đặt bộ cảm biến ở một vị trí sai có thể làm cho bạn bỏ qua toàn bộ lưu lượng mạng. Hình 1 mô tả một ví dụ đơn giản. Nếu bạn muốn đặt bộ cảm biến Snort ở điểm A, bạn có thể thấy toàn bộ lưu lượng giữa mạng bên trong và Internet. Bạn sẽ không thể thấy được lưu lượng giữa các DMZ và Internet. Trong trường hợp này, một sự tấn công vào web server sẽ không bị phát hiện.
http://usera.imagecave.com/wimax/snort003.jpg
Nếu bạn đặt bộ cảm biến tại điểm B, bạn sẽ thấy tất cả lưu lượng giữa các hệ thống DMZ và Internet. Trong trường hợp này, bạn sẽ không thấy lưu lượng giữa mạng bên trong và Internet. Có lẽ bạn nên có một bộ cảm biến chỉ được sử dụng cho DMZ với các tập hợp luật và tiền xử lí được điều chỉnh đặc biệt cho phù hợp cho những server này. Bạn cũng có thể có một bộ cảm biến khác được đặt tại A để kiểm tra lưu lượng có phù hợp hay không.
Việc đặt bộ cảm biến tại C sẽ cho phép bạn thấy tất cả lưu lượng di chuyển giữa cả hai mạng( bên trong và DMZ) với Internet. Tuy nhiên, lưu lượng giữa DMZ và mạng bên trong không thể thấy được.
Như bạn thấy, việc đặt bộ cảm biến lên mạng không phải là một quyết định tầm thường. Hãy xem xét một vài khía cạnh của quyết định này.
Các hệ thống và mạng phải giám sát
Thật là không thực tế khi mong đợi xem được tất cả lưu lượng giữa tất cả các hệ thống trên mạng một cách hiệu quả với NIDS. Sự ưu tiên của các hệ thống và các mạng là cần thiết.
Các hệ thống cung cấp các dịch vụ cho Internet là lựa chọn đầu tiên. Những hệ thống này nguy hiểm hơn so với các mạng bên trong. Chúng cũng có thể cung cấp các dịch vụ cho khách hàng hoặc đối tác của bạn, điều cực kì quan trọng đối với mục đích của tổ chức của bạn. Quy tắc đầu tiên là cách li bất kì hệ thống nào cung cấp các dịch vụ cho cộng đồng Internet thành các mạng độc lập mà giới hạn truy cập đến các mạng bên trong. Cách sắp xếp này làm cho lưu lượng mạng dễ kiểm soát hơn.
Cũng có một nhóm các server cung cấp các dịch vụ cho những người làm việc : print server, file server, mail server và cơ sở dữ liệu... Tác động của các cảnh báo nhầm gia tăng khi theo dõi lưu lượng mạng LAN bên trong. Việc trao đổi bình thường giữa các hệ thống Window này có thể tạo ra một khối lượng lớn các cảnh báo này. Hệ thống có giá trị nhất chính là cơ sở dữ liệu. Bạn có thể bổ sung cho cái thiếu của NIDS bằng các nhà quản trị mạng, bao gồm việc thực hiện tốt khi xây dựng hệ thống, sử dụng các phần mềm chống virus, và kiểm tra các log hệ thống. Điều này không có nghĩa là chúng ta sẽ bỏ qua các máy trạm, laptop, và các thành phần khác của mạng bên trong. Người ta đề nghị rằng lưu lượng giữa những hệ thống này và Internet nên được kiểm soát bằng NIDS. Nếu bạn có một kết nối WAN đến các đối tác, chi nhánh, một bộ cảm biến trên các kết nối này là cần thiết.
Vị trí chính xác của bộ cảm biến được xác định dễ hơn bằng cách tìm kiếm những chỗ nghẽn cổ chai – kết nối giữa các mạng này là điểm rất tốt. Điểm giữa mạng của bạn và Internet là một sự lựa chọn dễ dàng. Như đã đề cập ở trên, các kết nối WAN là các điểm quan trọng. Hãy nhớ đặt các server bên trong vào các mạng riêng biệt để lưu lượng giữa các mạng chứa người sử dụng và các server có thể được kiểm soát.
Còn một vấn đề : bạn muốn đặt bộ cảm biến bên phía Internet của firewall (bên ngoài) hay là phía bên trong. Nếu bạn đặt bên ngoài, bộ cảm biến thấy tất cả các tấn công vào mạng. Nếu là bên trong, ta có thể sử dụng bộ cảm biến cho nhiều mục đích hơn, vì chỉ có những lưu lượng nào được firewall cho phép mới được giám sát.
Tạo các điểm kết nối
Những thiết bị switch tốc độ cao chỉ chuyển lưu lượng đến những cổng trong cuộc trao đổi – làm cho việc nghe trộm cuộc trao đổi đó với bộ cảm biến NIDS là không thể. Một vài nhà quản trị cắm một hub nhỏ vào đường truyền lưu lượng mà họ muốn xem. Tuy cách này vẫn hoạt động nhưng nó không tin cậy bằng các switch dành cho doanh nghiệp.
Có rất nhiều thiết bị phần cứng có thể tạo một bản sao của lưu lượng di chuyển trên mạng. Một vài là sản phẩm thương mại và những cái khác có thể được xây dựng theo các hướng dẫn trên Internet. Giải pháp thương mại thường được sử dụng, nhưng có một điểm lỗi tiềm tàng đối với các cáp được nghe trộm.
Một giải pháp tốt hơn là sử dụng các switch của Cisco. Nó có thể tạo ra các sao chép của lưu lượng từ một hoặc nhiều cổng và gửi nó ra một cổng được chỉ định mà bạn sẽ cắm bộ cảm biến vào. Đây được gọi là SPAN port (Switched Port Analyzer) của Cisco. Bạn có thể thu thập được lưu lượng từ một cổng đơn, tập hợp lưu lượng từ nhiều cổng, thậm chí là các cổng trên các switch ở xa.
Lưu lượng mã hóa
Bạn có thể muốn sử dụng Snort để giám sát các giao dịch thương mại điện tử quan trọng. Lưu lượng này được mã hóa bằng SSL - làm cho giao dịch được bảo mật hơn. Khi đó, Snort không thể đối chiếu nội dung của một gói tin được mã hóa với các dấu hiệu trong file luật. Mục đích của việc mã hóa lưu lượng là làm cho nó không thể bị can thiệp hoặc giám sát.
http://usera.imagecave.com/wimax/snort004.jpg
Một giải pháp cho phép lưu lượng web vẫn được mã hóa nhưng cho phép Snort đối chiếu với các dấu hiệu xâm nhập là sử dụng một proxy SSL. Proxy SSL có nhiều tên như Content Switch, SSL Accelerator, và SSL Proxy. Thiết bị này nằm giữa client và server và giải quyết nhiệm vụ mã hóa lưu lượng. Lưu lượng từ web server đến proxy SSL không được mã hóa còn lưu lượng từ proxy và web client thì được mã hóa. Đặt bộ cảm biến Snort giữa web server và proxy sẽ cho phép lưu lượng được giám sát.Một ưu điểm khác của cách thực thi này là khả năng chuyển trách nhiệm mã hóa của CPU cho một thiết bị ủy quyền, cho phép web server hoạt động hiệu quả hơn. Các proxy SSL cũng thường thực hiện các nhiệm vụ khác như cân bằng tải hoặc xác thực.
http://usera.imagecave.com/wimax/snort005.jpg
Bảo mật bộ cảm biến Snort
Một điều hiển nhiên rằng bảo vệ hệ thống chịu trách nhiệm giám sát và duy trì sự bảo mật cho các mạng là một việc cực kì quan trọng. Bạn không chỉ cần bảo vệ hệ thống NIDS mà còn phải bảo vệ các server syslog, server xác thực, các công cụ giám sát và quản trị. Một kiểu triển khai là mạng quản trị. Mạng này có một firewall riêng và các sự truy cập đến nó chịu sự điều khiển chặt chẽ. Firewall chỉ mở những cái cần cho việc giám sát lưu lượng.
Việc quản lý chặt chẽ hệ thống Snort là rất quan trọng. Các hệ điều hành nên được cấu hình theo chuẩn công nghiệp và thường xuyên cập nhật các bản vá lỗi, cập nhật. Xét cho cùng, một bộ cảm biến IDS có thể truy cập đến hầu hết các hệ thống nhạy cảm của bạn – một tình huống nguy hiểm.
Chọn một hệ điều hành
Có nhiều việc để suy nghĩ và đưa ra quyết định như sau:
Khả năng hỗ trợ
Rất thông thường, hãy quyết định chọn hệ điều hành nào được sử dụng dựa trên những gì mà bạn biết. Chọn một hệ điều hành mà bạn biết cấu hình và bảo quản hiệu quả. Nếu bạn biết rõ về Windows nhưng không biết gì về Linux, hãy sử dụng Windows. Hầu như những tài nguyên web được sử dụng để chạy Snort thiên về cài đặt nền tảng Linux.
Sự hoạt động
Mọi người thừa nhận rằng mạng trên Linux và BSD thì nhanh hơn mạng Windows. Theo kinh nghiệm của các chuyên gia bảo mật, dường như bộ cảm biến Linux có thể giám sát mức độ băng thông cao hơn Windows với một cấu hình định sẵn. Điều đó làm cho bạn cảm thấy Snort được viết cho hệ điều hành Unix.
Sự ổn định
Người ta đã từng cho rằng Linux và BSD thì ổn định hơn Windows nhiều. Điều đó thật sự không thật đúng đối với các hệ thống Windows được cấu hình và vá lỗi tốt.
Bảo mật
Có nhiều việc làm để bảo mật cho hệ thống Windows. Số lượng các bản vá lỗi cho các dịch vụ Windows là rất nhiều. Cũng có các bản vá lỗi cho những hệ điều hành khác và các dịch vụ Unix nhưng thường là ít hơn. Và vì hệ điều hành Unix có khuynh hướng chạy ít dịch vụ hơn nên bạn sẽ có ít lỗ hổng hơn. Về nhiệm vụ có liên quan đến bảo mật, nhiều chuyên gia sử dụng Linux hay BSD hơn là Windows.
Cấu hình các giao diện
Cùng với việc tạo ra một mạng quản lý, có nhiều bước phải thực hiện để bảo mật cho hệ thống của bạn. Các bộ cảm biến Snort nên được cấu hình với ít nhất 2 giao diện. Một giao diện trên mạng quản trị, tất cả các lưu lượng cảnh báo và quản trị dùng giao diện này, tránh cho nó khỏi những con mắt tò mò. Snort sẽ sử dụng giao diện kia để giám sát.Giao diện này sẽ không được cấu hình với một địa chỉ IP, vì vậy nó sẽ không thể bị thấy bởi các host trên mạng. Việc giữ các giao diện lắng nghe “vô hình” với các hệ thống khác trên mạng làm cho việc bảo mật bộ cảm biến dễ dàng hơn.
Tắt các dịch vụ không cần thiết
Nếu một dịch vụ không cần thiết cho chức năng của một server, ta không nên cài đặt hoặc bật nó lên. Càng ít dịch vụ chạy trên một hệ thống, càng ít các vấn đề cần phải bảo mật.
Cập nhật các bản vá lỗi
Ngày càng xuất hiện nhiều các tấn công mới, vì vậy bạn phải thường xuyên cập nhật và vá lỗi hệ thống. Điều này đúng với bất kì hệ điều hành nào mà bạn sử dụng.
Sử dụng các cách xác thực mạnh
Khi có thể, hãy sử dụng các phương pháp xác thực mạnh hơn việc chỉ đơn giản là username và password. Hãy bắt người dùng thay đổi password định kì, hủy tài khoản sau một số lần đăng nhập không thành công...
Giám sát hệ thống tạo log
Hệ thống được cấu hình để tạo ra các log là rất quan trọng và các log đó được xem lại thường xuyên để biết được các vấn đề về hệ thống, phần cứng, cấu hình...(bao gồm cả các dấu hiệu xâm nhập ). Nếu có thể, gửi các log đến một server syslog tập trung (nên được đặt trong mạng quản lý). Điều này làm cho việc xem các log và thiết lập một vài sự liên quan của các sự kiện trên nhiều mạng dễ dàng hơn.