باستخدام (SNORT)، يمكن لمسؤولي الشبكة اكتشاف هجمات رفض الخدمة (DoS) وهجمات (DDoS) الموزعة وهجمات واجهة البوابة العامة وعمليات فحص المنفذ الخفي، ينشئ (SNORT) سلسلة من القواعد التي تحدد نشاط الشبكة الضار وتحدد الحزم الضارة وترسل تنبيهات إلى المستخدمين، كما تحدد لغة قاعدة (SNORT) حركة مرور الشبكة التي يجب جمعها وما يجب أن يحدث عندما تكتشف الحزم الضارة.

  • “DDoS” اختصار ل”Distributed Denial-of-Service Attack”.

 

ما هو SNORT

 

نظام أمان يستخدم لغة قائمة على القواعد تجمع بين طرق الشذوذ والبروتوكول وفحص التوقيع لاكتشاف أي نشاط ضار محتمل، وهو ايضا عبارة عن برنامج مفتوح المصدر مجاني للاستخدام يمكن نشره بواسطة الأفراد والمؤسسات، يُشار إليه على أنه جهاز تسلل للحزم يفحص كل حزمة عن لاكتشاف حمولة خطيرة أو حالات شاذة مشبوهة.

منذ فترة طويلة رائدة بين أدوات منع التسلل والكشف عن الشركات، يمكن للمستخدمين تجميع (Snort) على معظم أنظمة تشغيل (Linux) أو (Unix)، حيث انه يوجد نسخة متاحة أيضًا لنظام التشغيل (Windows).

كيف يعمل Snort

 

يعتمد (Snort) على التقاط حزمة المكتبة (libpcap)، وهي أداة تُستخدم على نطاق واسع في متلقي بيانات بروتوكول التحكم في الإرسال وبروتوكول الإنترنت، والبحث عن المحتوى والمحللات لتسجيل الحزم وتحليل حركة المرور في الوقت الفعلي وتحليل البروتوكول ومطابقة المحتوى، كما يمكن للمستخدمين تكوين Snort باعتباره متسللاً أو مسجل حزم، مثل (TCPdump) أو (Wireshark) أو طريقة منع اختراق الشبكة.

 

مميزات Snort

 

هناك العديد من الميزات التي تجعل (SNORT) مفيدًا لمشرفي الشبكة لمراقبة أنظمتهم واكتشاف النشاط الضار، وتشمل هذه:

 

مراقبة حركة المرور في الوقت الحقيقي

 

يمكن استخدام (SNORT) لمراقبة حركة المرور التي تدخل وتخرج من الشبكة، ستقوم بمراقبة حركة المرور في الوقت الفعلي وإصدار تنبيهات للمستخدمين عندما يكتشف الحزم أو التهديدات التي يحتمل أن تكون ضارة على شبكات بروتوكول الإنترنت (IP).

  • “IP” اختصار ل “Internet Protocol”.

تسجيل الحزم

 

يتيح (SNORT) تسجيل الحزم من خلال وضع مسجل الحزمة الخاص به، مما يعني أنه يسجل الحزم على القرص. في هذا الوضع، يجمع (SNORT) كل حزمة ويسجلها في دليل هرمي بناءً على  عنوان (IP) للشبكة المضيفة.

تحليل البروتوكول

 

يمكن لـ (SNORT) إجراء تحليل البروتوكول، وهو عبارة عن عملية تسلل للشبكة تلتقط البيانات في طبقات البروتوكول لتحليل إضافي، يتيح ذلك لمسؤول الشبكة إجراء فحص إضافي لحزم البيانات التي يُحتمل أن تكون ضارة، وهو أمر بالغ الأهمية، على سبيل المثال، مواصفات بروتوكول مكدس بروتوكول التحكم في الإرسال (TCP / IP).

  • “TCP ” اختصار ل”Transmission Control Protocol”.

مطابقة المحتوى

 

يقوم (SNORT) بجمع القواعد حسب البروتوكول، مثل (IP و TCP)، ثم عن طريق المنافذ، ثم تلك التي تحتوي على محتوى وتلك التي لا تحتوي على محتوى ايضا، تستخدم القواعد التي تحتوي على محتوى أداة مطابقة متعددة الأنماط تزيد من الأداء، خاصة عندما يتعلق الأمر ببروتوكولات مثل (HTTP)، يتم دائمًا تقييم القواعد التي لا تحتوي على محتوى، مما يؤثر سلبًا على الأداء.

  • “HTTP” اختصار ل “Hypertext Transfer Protocol “.

بصمات نظام التشغيل

 

تستخدم بصمات نظام التشغيل (OS) مفهوم أن جميع الأنظمة الأساسية لديها مكدس (TCP / IP) فريد، من خلال هذه العملية، يمكن استخدام (SNORT) لتحديد نظام التشغيل الأساسي الذي يستخدمه نظام يصل إلى الشبكة.

  • “OS” اختصار ل “Operating System“.

 

يمكن تثبيتها في أي بيئة شبكة

 

يمكن نشر (SNORT) على جميع أنظمة التشغيل، بما في ذلك (Linux) و (Windows)، وكجزء من جميع بيئات الشبكة.

المصدر المفتوح

 

انه من البرامج مفتوحة المصدر، (SNORT) مجاني ومتاح لأي شخص يريد استخدام (IDS) أو (IPS) لمراقبة وحماية شبكته.

  • “IDS” اختصار ل”Intrusion Detection“.
  • “IPS” اختصار ل”Intrustoin prevention systems”.

القواعد سهلة التنفيذ

 

قواعد (SNORT) سهلة التنفيذ والحصول على مراقبة الشبكة وحمايتها وتشغيلها، كما أن لغة القاعدة الخاصة بها مرنة للغاية، كما أن إنشاء قواعد جديدة أمر بسيط للغاية، مما يمكّن مسؤولي الشبكة من التمييز بين نشاط الإنترنت المنتظم والنشاط الشاذ أو الضار.

 

 أوضاع SNORT

 

هناك ثلاثة أوضاع مختلفة يمكن تشغيل (SNORT) فيها، والتي ستعتمد على العلامات المستخدمة في أمر (SNORT).

وضع التسلل

 

يعني وضع (SNORT’s packet sniffer) أن البرنامج سيقرأ حزم (IP) ثم يعرضها للمستخدم على وحدة التحكم الخاصة به.

مسجل الحزمة

 

في وضع مسجل الحزم، سيسجل (SNORT) جميع حزم (IP) التي تزور الشبكة، يمكن لمسؤول الشبكة بعد ذلك معرفة من زار شبكته واكتساب نظرة ثاقبة لنظام التشغيل والبروتوكولات التي كانوا يستخدمونها.

NIPDS نظام كشف التسلل والوقاية عبر الشبكة

 

في وضع (NIPDS)، سيسجل (SNORT) الحزم التي تعتبر ضارة فقط، يقوم بذلك باستخدام الخصائص المحددة مسبقًا للحزم الضارة، والتي تم تحديدها في قواعدها، يتم أيضًا تحديد الإجراء الذي يتخذه (SNORT) في القواعد التي يحددها مسؤول الشبكة.

 

استخدامات قواعد SNORT

 

تمكّن القواعد المحددة في (SNORT) البرنامج من تنفيذ مجموعة من الإجراءات، والتي تشمل:

القيام بإجراء تسلل الحزمة

 

يمكن استخدام (SNORT) للقيام بالتسلل الى الحزم، والذي يجمع كل البيانات التي تنقل داخل وخارج الشبكة، يتيح جمع الحزم الفردية التي تنتقل من وإلى الأجهزة الموجودة على الشبكة إجراء فحص مفصل لكيفية نقل حركة المرور.

تصحيح حركة مرور الشبكة

 

بمجرد تسجيل حركة المرور، يمكن استخدام (SNORT) لتصحيح أخطاء الحزم الضارة وأي مشكلات في التكوين.

توليد التنبيهات

 

ينشئ (SNORT) تنبيهات للمستخدمين على النحو المحدد في إجراءات القاعدة التي تم إنشاؤها في ملف التكوين الخاص به، لتلقي التنبيهات، تحتاج قواعد (SNORT) إلى احتواء الشروط التي تحدد متى يجب اعتبار الحزمة غير عادية أو ضارة ومخاطر الثغرات الأمنية التي يتم استغلالها، وقد تنتهك سياسة أمان المؤسسة أو تشكل تهديدًا للشبكة.

أنشاء قواعد جديدة

 

تمكن (SNORT) المستخدمين من إنشاء قواعد جديدة بسهولة داخل البرنامج، يسمح هذا لمشرفي الشبكة بتغيير الطريقة التي يريدون أن يعمل بها تحويل (SNORT)  والعمليات التي يجب أن يقوم بها، على سبيل المثال، يمكنهم إنشاء قواعد جديدة تخبر (SNORT) بمنع هجمات الباب الخلفي، والبحث عن محتوى معين في الحزم وإظهار بيانات الشبكة وتحديد الشبكة المراد مراقبتها وطباعة التنبيهات في وحدة التحكم.

التفريق بين أنشطة الإنترنت العادية والأنشطة الضارة

 

يمكّن استخدام قواعد (SNORT) مسؤولي الشبكة من التفريق بسهولة بين نشاط الإنترنت المنتظم والمتوقع وأي شيء خارج عن القاعدة، يقوم (SNORT) بتحليل نشاط الشبكة في الوقت الفعلي لاكتشاف أي نشاط ضار، ثم يقوم بإنشاء تنبيهات للمستخدمين.

كيف يمكن أن تساعد Fortinet

 

يمكن للمؤسسات استيراد قواعد (SNORT) إلى شبكتها باستخدام  خدمة (FortiGuard IPS)، يمكن تحقيق استيراد قواعد (SNORT) مع (Fortinet) من خلال تواقيع (IPS) المخصصة وأداة (FortiConverter).