Snortmanager

Abstract

NORSK: Det nordiske selskapet mnemonic as [sic] spesialiserer seg på tjenesteleveranser innen informasjonssikkerhet. En av tjenestene de leverer er nettverksovervåkning, hvor de blant annet benytter Snort for å analysere netttverkstrafikk. Dette anerkjente systemet basert på åpen kildekode har millioner av installasjoner på verdensbasis, med tilsvarende mange gode erfaringer innen nettverksanalyse. Økt kundeportefølje med behov for overvåkning av sine datanettverk har ført til behov for et godt verktøy for å administrere og konfigurere flere Snortsensorer. Det blir mer komplisert når kunder har flere nettverk med varierte behov og krav. Til nå har mnemonic brukt et egenprodusert verktøy for å utføre konfigurasjonen, men dette er basert på flere arbeidskrevende manuelle operasjoner. Dagens metode for å konfigurere sensorer er ineffektiv, lett utsatt for feil og uten god historikk. Selskapet trenger et enklere verktøy for å forbedre og forenkle oppgaven. Snortmanager er et webbasert verktøy for å administere og konfigurere Snortsensorer. Brukerene vil gjennom et enkelt grensesnitt kunne legge inn informasjon om sensorene. Det vil så produseres en konfigurasjonsfil for hver sensor registrert i systemet. De forskjellige behovene defineres med en policy, som er sett med regler skrevet i klartekst. Disse blir opprettet av brukerene, og brukt av Snortmanager når det skal produsere konfigurasjonsfiler for Snortsensorer. Filene kan senere overføres til sensoren som skal utføre analyse av datatrafikk. Snortmanager vil også laste ned Snort regler og signaturer brukt av sensorene for å kunne oppdage abnormaliteter i nettverkstrafikken. Disse reglene skal til enhver tid være oppdatert i ht. til kilder, men også ha et fullt bibliotek av tidligere regler. Under utviklingen har gruppen i hovedsak analysert mnemonics behov, men også de generelle behovene rundt administrasjon av flere Snortsensorer. Sluttproduktet er en enkel og oversiktlig måte å administere Snortsensorer på med full endringshistorikk.

ENGELSK: mnemonic as [sic] provides information security service for the nordic market. One of the services they provide is network monitoring, where they use Snort to analyze network traffic. This well known open source IDS has millions of installations world-wide and just as many success stories. With an increase of customers in need of network monitoring, mnemonic realized that there are no good administration tools for the administration and configuration of multiple Snort sensors. It becomes more complicated when several customers have different networks, each with different needs and demands. mnemonic is currently using a tool developed in-house, but it is based on several complicated manual processes. The company requires a simpler tool to improve this task, thus making it more effective. Snortmanager is a Web based tool to administer and configure several Snort sensors at the same time. Through a simple user interface the user can add information about each sensor the system will administer. Snortmanager will use this information to produce a custom Snort configuration file. The different customizations are based on the needs and requirements of each sensor, network or company. It is defined by policies created in Snortmanager, containing a simple set of text based rules. When the configurations are created, they can be transferred to the sensor monitoring network traffic. Snortmanager downloads Snort signatures from external sources and stores them in a database. This database will be updated according to the external source, but also contain a full library of old signatures. During the development of Snortmanger we have analyzed mnemonics needs and requirments, and the general requirements with administrating several Snort sensors. Snortmanager gives IT professionals and administrators a simple way to administer their sensors, in addition to a full change history.