有12年历史的开源入侵检测和预防系统Snort已经死了吗?开放信息安全基金会,一个由美国国土安全部(DHS)资助的非营利组织,提出下一代开源ID/IPS。但Snort的创造者马丁·罗希(Martin Roesch)却不这么认为。
有12年历史的开源入侵检测和预防系统Snort已经死了吗?
这个开放资讯保安基金会OISF是一个由美国国土安全部(DHS)资助的非营利组织,致力于开发下一代开源软件IDS/IPS,我也这么认为。但Snort的创建者Martin Roesch对此表示不同,事实上,他称OISF本周发布的第一个开源IDS/IPS代码Suricata 1.0是Snort的廉价仿制品,用纳税人的钱购买。
据OISF总裁马特·琼克曼(Matt Jonkman)介绍,OISF成立于大约一年半前,资金来自国土安全部网络安全研究项目的100万美元。他说,OISF的成立是为了形成Snort的开源替代品和替代品。他说,由于对下一代Snort版本Snort 3.0的研究已经停滞,Snort现在被认为已经过时。
“Snort既不利于IPv6,也不利于多线程,”Jonkman说,“而且Snort 3.0已经被废弃了。”
根据Jonkman OISF第一个开源版本Suricata 1.0优于Snort在很多方面,包括如何使用多线程技术来检查网络数据包检查一次超过一个包,他声称改善交通检测攻击的机会。据称Suricata还支持IP信誉,能够标记来自“邪恶来源”的流量,以及自动协议检测,自动识别网络流中使用的协议。伊凡Ristic.
OISF现在包括9个联盟成员,Kerio, Bivio, NitroSecurity和Breach Security Labs,以及其他一些独立代码贡献者,包括
Jonkman说,用户和供应商都可以免费获得Suricata开放源代码,尽管当Suricata代码被更改以适应特定用途时,OISF会收取费用。“一些供应商希望进行更改以使其真正工作良好,Jonkman说,补充使用Suricata将导致不同的商业许可结构。
Suricata被定位为可能即将死亡的Snort的替代者。Snort最初是由Roesch在12年前创建的Sourcefire,他于2001年创建该组织,目的是将Snort商业化,同时保持Snort代码库开放源代码。
虽然Sourcefire做得还算不错,但Snort开放源代码却做得不错忍受和蓬勃发展凭借惊人的成功,如今约有30万注册用户,近100家供应商将Snort集成到自己的安全产品中。
Roesch直言不讳地描述了他对OISF和Suricata的看法,这是Sourcefire工程师已经检查过的代码。
首先,他说,任何关于Snort不适合IPv6的说法都是不正确的。IPv6是联邦政府所要求的,它是基于snort的产品的众多用户之一。
至于Suricata的多线程技术,Roesch说,从性能上来说,它似乎没有提供任何实质性的东西。他说:“我们观察了Suricata的性能,他们说多线程有多重要,但它的速度非常慢。”
Surigta今天的最高速度可能比Snort慢。Jonkman引用Suricata的速率为8到10Gbit/sec,Roesch引用Snort的速率为50Gbit/sec,两者都承认由于平台的使用,存在很大的范围。但除此之外,Roesch说Suricata基本上是“Snort功能的子集,只是其性能的一小部分”。他甚至称Suricata为“Snort的克隆”,因为它使用Snort签名。OISF对Suricata的描述包括如何将Snort签名与Suricata和过渡了Snort平台的。
Roesch说:“他们制造了一个Snort的克隆,表现更差,却让纳税人付出了代价。”“他们没有先进的入侵检测系统。”
然而,Roesch确实承认,Snort 3.0被描述为一个测试新检测方法以更好地利用计算能力的研究项目,并没有像人们所希望的那样快速发展。然而,他补充道,没有人应该得出结论,Snort已经死了。
“他们希望Snort死掉,”Roesch说,添加Snort 3.0“并没有停止。”他说,对当前Snort平台的添加和更新每周进行一次。
尽管如此,Jonkman说国土安全部正在资助OISF,因为IDS行业没有足够的创新,并补充说空军一直在测试Suricata。Jonkman并没有声称Suricata 1.0是OISF的最终版本,事实上,本周已经对Suricata 1.0进行了一些代码修订,这是开源开发的正常过程。
没有开源基础的供应商也在关注OISF和Suricata。
思科,一家大型商业软件供应商IPS产品使用专有技术,而不是Snort作为其技术基础,但思科IPS产品线经理Rush Carskadden表示,该公司知道OISF并密切关注其活动。
Carskadden说:“现在说它会对行业或IPS市场产生什么影响还为时过早。”他补充说,思科自己已经在其IPS中使用了多线程技术。但他赞扬OISF通过广泛的社区参与以开放的方式推动IDS/IPS的工作。“但我们喜欢这样的努力,尝试新的想法。”
一些分析人士也对OISF充满热情。
咨询公司IT Harvest的首席研究分析师Richard Stiennon说:“Snort当然被广泛使用,特别是在学术界和美国联邦政府内部。”。“与所有技术一样,重新审视需求并重新启动解决这些需求的框架具有好处,通常是在减少开销和简化操作方面。我相信OISF将提供这种全新的外观,并为Snort提供一种不受Sourcefire商业利益影响的替代方案。
“Sourcefire控制着知识产权和变更的更新周期。他们利用Snort的安装基础来营销他们的商业解决方案,”斯蒂农说。“我并不是说这对Snort用户是一件坏事,但它限制了开放源码社区对威胁缓解技术的整体开发。”
一些Sourcefire客户表示,他们正在关注正在兴起的Snort-Surigta竞争。
零售商Lands' End的高级安全分析师比尔•奥马利(Bill O' malley)表示:“这很难说,但它似乎确实在与Snort竞争。”该公司使用Sourcefire IPS,并保留了Snort开源免费软件,用于内部作为入侵检测传感器。
虽然O'Malley说他希望看到Snort能更快地得到改进,但他也看到Snort周围有一个充满活力的开源社区,该社区将继续添加新的Snort规则。他拒绝接受Sourcefire对Snort有太多控制权的观点,他说Sourcefire从来没有表示过它除了将Snort作为开放源代码来维护之外什么都可以做。但奥马利也在检查苏莱塔,看看它是什么。
开源IDS/IPS并不适合所有人,一些使用过它的安全管理人员已经从中吸取了教训,但没有回头。加拿大不列颠哥伦比亚省卫生保健机构的信息安全系统专家Kris Jmaeff说,他在几年前通过使用免费的Snort学到了很多关于入侵检测和防御的知识。但他决定继续前进。
Jmaeff说,他发现审查和添加开源IDS/IPS签名是“非常劳动密集型”的工作,需要监控在线资源,如新闻组,以获取关于更新、新的威胁和防御的信息。
此外,总体而言,管理层仍然不信任开源,Jmaeff补充道,“对于开源,你不能100%信任它”,因为它可能会在开源更新中插入恶意软件,而且如果出现问题,就会有一种“没有人可以求助”的感觉。因此,尽管加拿大医疗保健机构对Snort确实有一个总体上积极的经验,但两年前它决定是时候收购一个商业IDS/IPS了。它评估了四种供应商的产品,其中包括Sourcefire的产品,但由于价格、支持和易用性,最后选择了惠普的TippingPoint,以及它的定制报告。