Analyseer aanvallen op je netwerk met Snorby
Gepubliceerd: Dinsdag 19 april 2011
Auteur: Koen Vervloesem
Bij beveiliging gaat het in de eerste plaats over preventie en detectie. Maar na een afgeslagen aanval is het ook goed om deze grondig te analyseren. Snorby is hiervoor de ideale frontend van Snort.
Het programma Snort is een bekend opensource network intrusion prevention system (NIPS) en network intrusion detection system (NIDS). Je kunt er realtime aanvallen op je netwerk mee detecteren en tegenhouden. Maar Snort biedt out-of-the-box geen mogelijkheid om interactief aanvallen te analyseren. Daarvoor heb je third-party tools nodig, zoals het dashboard Snorby.
History en categorieën
Snorby is een opensource front-end voor Snort. De webinterface laat een dashboard zien waarmee je alle gebeurtenissen op je netwerk in detail kunt bekijken. Je kunt het huidige netwerkverkeer bekijken of teruggaan naar gisteren, de afgelopen week, de afgelopen maand, enzovoort. Snorby kan ook pdf-rapporten aanmaken. Verder zijn ook heel wat zaken configureerbaar.
De webinterface laat eenvoudig toe om een gebeurtenis in één van de vele voorgeconfigureerde of door jezelf gedefinieerde categorieën te classificeren. Daarna kun je gebeurtenissen per categorie bekijken of specifieke waarschuwingen voor een bepaalde categorie definiëren. Opvallend voor deze webinterface is ook dat er meer dan twintig sneltoetsen zijn voor allerlei acties, zodat je snel zonder muis de veiligheid van je netwerk kunt bekijken.
Uitproberen
Snorby werkt als front-end voor Snort, maar ook voor Suricata en Sagan. Het vereist Ruby 1.9.2, Rails 3.0, ImageMagick 6.6.4 en Wkhtmltopdf. Wie het programma eerst eens vlug wil uitproberen, kan dat op de online demo of door Insta-Snorby te installeren, een TurnKey Linux virtual appliance gebaseerd op Ubuntu 10.04 met Snort, Barnyard, Snorby, OpenFPC en Pulled Pork.
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
