Możemy wreszcie ułatwić sobie pracę ze Snortem poprzez dodanie do niego modułu raportowo-analitycznego BASE (Basic Analysis and Security Engine). Jeżeli skonfigurujemy Snorta tak, aby zdarzenia przesyłał do bazy SQL (np. MySQL, PostgresSQL), za pomocą BASE-a będziemy mogli stworzyć raporty, określić progi alarmowe i posortować anomalie w ruchu. To wszystko na podstawie adresu źródłowego czy docelowego, portów czy rodzaju alertu. Dzięki BASE, jeżeli mamy wiele sensorów Snorta w różnych segmentach sieci, możemy zebrać spływające z nich zdarzenia we wspólnej bazie danych.

Snort i BASE to dopiero początek. Problem pojawia się, kiedy potrzebujemy nieco podrążyć i właściwie zagregować dane. Tutaj z pewnością przyda się platforma Squil (squil.sourceforge.net), należąca do kategorii narzędzi NSM (Network Security Management). Dzięki zestawowi skryptów InstantNSM (instantnsm.sourceforge.net) instalacja pakietu Squil zostanie uproszczona do maksimum. W przeciwieństwie do BASE-a, Squil zarządzany jest za pomocą "ciężkiego" klienta. Nie zawsze jednak ciężki klient będzie potrzebny. Jeżeli chcemy wykonać kilka prostych zapytań, możemy skorzystać z dodatku do Squila o nazwie SQueRT (squert.sourceforge.net).

Sourcefire intensywnie pracuje nad nową, trzecią już odsłoną Snorta, która jest obecnie dostępna w wersji beta. Podstawową zmianą będzie wydzielenie dwóch komponentów - SnortSP (Snort Security Platform) swoistego systemu operacyjnego czy też platformy, oraz zestawu silników analitycznych podłączanych w formie pluginów do SnortSP. Zmian jest znacznie więcej. W oczy rzuca się także niedostępna dotychczas możliwość dostępu do narzędzia za pomocą shella (jak w Metasploit). W nowym Snorcie poprawiono również wydajność, wprowadzono wsparcie dla IPv6 oraz rozbudowano system modułów.

W przypadku rozwiązań IDS/IPS niezwykle ważna jest wydajność. Jeżeli, jak już mówiliśmy, skonfigurujemy Snorta tak, aby logował zdarzenia do bazy, to będą potrzebne dodatkowe zasoby do obsługi wymiany informacji z bazą. Możemy jednak zdjąć z barków Snorta ten ciężar, dodając do niego moduł Barnyard. W ten sposób Snort będzie zapisywał dane w postaci binarnej, a Barnyard zajmie się ich odczytaniem i umieszczeniem w bazie.

Na styku…

Skoro była mowa o IPS-ach, to w naszym zestawieniu nie może zabraknąć także zapór ogniowych. Tutaj interesujących narzędzi jest co najmniej kilka.

Pierwsze, to stosunkowo prosta zapora ogólnego przeznaczenia. SmoothWall Express (smoothwall.org) to pełnostanowy firewall z: funkcjami NAT-owania, proxy zarówno dla ruchu WWW, jak i komunikatorów (niestety brak polskich IM), skanerem AV dla ruchu pocztowego (na podstawie ClamAV), bramką SIP, serwerem DHCP, modułem QoS, koncentratorem IPSec VPN (dla połączeń site-to-site i client-to-site) oraz sieciowym IDS-em. Nie jest to może szczególnie rozbudowany pod względem możliwości konfiguracji produkt (jego komercyjni bracia są "zbudowani" znacznie lepiej), ale za to jest prosty i intuicyjny w zarządzaniu, i co ważne - działa całkiem sprawnie. Możemy na nim skonfigurować do czterech interfejsów, co pozwoli na uruchomienie stref DMZ. Rozwiązanie to znakomicie sprawdzi się w niewielkich firmach czy oddziałach korporacji. Znane są przypadki, kiedy Smoothwall podłączany był do WAN-u o przepustowości 100 Mb/s i nie miał z takim ruchem problemów. Drugie rozwiązanie jest trochę bardziej rozbudowane i stanowi odpowiedź na rosnące zapotrzebowanie na produkty z grupy UTM. Mowa tutaj o Untangle (www.untangle.com) - prawdziwym open source‘owym kombajnie. Może pełnić rolę zarówno routera, jak i bramy ochronnej, umieszczonej bezpośrednio za nim.