Snortmanager
Bachelor thesis
Permanent lenke
http://hdl.handle.net/11250/143065Utgivelsesdato
2012Metadata
Vis full innførselSamlinger
Sammendrag
NORSK: Det nordiske selskapet mnemonic as [sic] spesialiserer seg på tjenesteleveranser innen informasjonssikkerhet.
En av tjenestene de leverer er nettverksovervåkning, hvor de blant annet benytter
Snort for å analysere netttverkstrafikk. Dette anerkjente systemet basert på åpen kildekode har
millioner av installasjoner på verdensbasis, med tilsvarende mange gode erfaringer innen nettverksanalyse.
Økt kundeportefølje med behov for overvåkning av sine datanettverk har ført til
behov for et godt verktøy for å administrere og konfigurere flere Snortsensorer. Det blir mer komplisert
når kunder har flere nettverk med varierte behov og krav. Til nå har mnemonic brukt et
egenprodusert verktøy for å utføre konfigurasjonen, men dette er basert på flere arbeidskrevende
manuelle operasjoner. Dagens metode for å konfigurere sensorer er ineffektiv, lett utsatt for feil
og uten god historikk. Selskapet trenger et enklere verktøy for å forbedre og forenkle oppgaven.
Snortmanager er et webbasert verktøy for å administere og konfigurere Snortsensorer. Brukerene
vil gjennom et enkelt grensesnitt kunne legge inn informasjon om sensorene. Det vil så produseres
en konfigurasjonsfil for hver sensor registrert i systemet. De forskjellige behovene defineres
med en policy, som er sett med regler skrevet i klartekst. Disse blir opprettet av brukerene, og
brukt av Snortmanager når det skal produsere konfigurasjonsfiler for Snortsensorer. Filene kan
senere overføres til sensoren som skal utføre analyse av datatrafikk. Snortmanager vil også laste
ned Snort regler og signaturer brukt av sensorene for å kunne oppdage abnormaliteter i nettverkstrafikken.
Disse reglene skal til enhver tid være oppdatert i ht. til kilder, men også ha et fullt
bibliotek av tidligere regler. Under utviklingen har gruppen i hovedsak analysert mnemonics behov,
men også de generelle behovene rundt administrasjon av flere Snortsensorer. Sluttproduktet
er en enkel og oversiktlig måte å administere Snortsensorer på med full endringshistorikk. ENGELSK: mnemonic as [sic] provides information security service for the nordic market. One of the services
they provide is network monitoring, where they use Snort to analyze network traffic. This
well known open source IDS has millions of installations world-wide and just as many success
stories. With an increase of customers in need of network monitoring, mnemonic realized that
there are no good administration tools for the administration and configuration of multiple Snort
sensors. It becomes more complicated when several customers have different networks, each
with different needs and demands. mnemonic is currently using a tool developed in-house, but
it is based on several complicated manual processes. The company requires a simpler tool to
improve this task, thus making it more effective. Snortmanager is a Web based tool to administer
and configure several Snort sensors at the same time. Through a simple user interface the user
can add information about each sensor the system will administer. Snortmanager will use this
information to produce a custom Snort configuration file. The different customizations are based
on the needs and requirements of each sensor, network or company. It is defined by policies
created in Snortmanager, containing a simple set of text based rules. When the configurations
are created, they can be transferred to the sensor monitoring network traffic. Snortmanager
downloads Snort signatures from external sources and stores them in a database. This database
will be updated according to the external source, but also contain a full library of old signatures.
During the development of Snortmanger we have analyzed mnemonics needs and requirments,
and the general requirements with administrating several Snort sensors. Snortmanager gives IT
professionals and administrators a simple way to administer their sensors, in addition to a full
change history.