Snort
aus Wikipedia, der freien Enzyklopädie
| Snort | |
|---|---|
| Entwickler: | Sourcefire |
| Aktuelle Version: | 2.8.4 (7. April 2009) |
| Betriebssystem: | Plattformunabhängig |
| Kategorie: | Intrusion Detection System |
| Lizenz: | GPL |
| Deutschsprachig: | nein |
| snort.org | |
Snort ist ein freies Network Intrusion Prevention System (NIPS) und ein Network Intrusion Detection System (NIDS). Es kann zum Protokollieren von Paketen genauso wie zur Analyse von Datenverkehr in IP Netzwerken in Echtzeit eingesetzt werden. Snort wurde von Martin Roesch programmiert und wird jetzt von der Firma Sourcefire, deren Gründer und CTO Martin Roesch ist, weiter entwickelt. Sourcefire vertreibt ganzheitliche Enterprise Lösungen mit speziell entwickelter Hardware und kommerziellem Support.
Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, und wird allgemein genutzt, um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs wie zum Beispiel ein Pufferüberlauf, Port Scans, Angriffe auf Web Anwendungen oder SMB probes zu erkennen. Die Software wird überwiegend als Intrusion Prevention Lösung eingesetzt, um Angriffe unmittelbar zu blockieren. Snort lässt sich auch mit anderer Software kombinieren, wie zum Beispiel SnortSnarf, sguil, OSSIM und der “Basic Analysis and Security Engine” (BASE) zur grafischen Darstellung von Einbruchsdaten. Mit Patches für den Snort Quellcode von “Bleading Edge Threats” ist die Nutzung von ClamAV zum Virenscan im Datenstrom möglich. Zusätzlich kann der Datenstrom mittels SPADE in den Netzwerklayern drei und vier auf Netzwerk Anomalien (einschließlich historischer Daten) gescannt werden. (Es hat den Anschein, dass diese Patches nicht länger gepflegt werden)
Inhaltsverzeichnis |
[Bearbeiten] Funktionsweise als IDS
Snort kann eingesetzt werden, um bekannte Angriffe auf die Schwachstellen von Netzwerksoftware zu entdecken. Möglichkeiten für Angriffe sind gegeben durch so genannte Exploits, oder eigens dafür bestimmte Programme, wie etwa Internet-Würmer (z.B. Sasser oder W32.Blaster) die ihrerseits wiederum ein Backdoor-Programm (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt.
Snort „liest“ direkt an der Netzwerkkarte den gesamten vorbeikommenden Netzwerkverkehr mit. Der Inhalt der Datenpakete wird mit charakteristischen Mustern von bekannten Angriffen verglichen – diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur Mustererkennung wird bei Snort der Aho-Corasick-Algorithmus verwendet.
Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.
Inzwischen gibt es für Snort einige tausend Signaturen – da sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden.
[Bearbeiten] Funktionsweise als Netzwerkanalysewerkzeug
Snort kann auch sehr gut bei der Netzwerkanalyse helfen. Man kann es als Sniffer ähnlich wie tcpdump den Netzwerkverkehr gefiltert ausgeben lassen, Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen.
Snort kann auch zur späteren Analyse einen Dialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.
[Bearbeiten] Geschichte
Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma Sourcefire, die neben der unter der GNU GPL stehenden Version auch eine kommerzielle Variante vertreibt, die zusätzliche Entdeckungs- und Analysemethoden bietet. Anfang Oktober 2005 versuchte Check Point Sourcefire zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der amerikanischen Regierung.
Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines Pufferüberlaufs in Snort gefunden.
Das Maskottchen von Snort ist ein Ferkel mit großer, schnaubender (engl.: snort) Nase. Kein direkter Zusammenhang besteht mit dem Programm Airsnort – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Logo abgewandelt übernahm (das gleiche Schweinchen, jedoch mit Flügeln versehen).
[Bearbeiten] Weblinks
- Homepage
- sourcefire.com - Hersteller von Snort
- bleedingthreats.net - Community für Snort-Regeln
- Kostenloses IDS/IPS-Tool Snort im Test
[Bearbeiten] Schnittstellen
- sguil.sf.net - Tcl/Tk-Schnittstelle
- IDS Policy Manager - Verwalter für Regeln
- dragos.com/cerebus - ncurses-Browser für Snort-Logs
- Basic Analysis and Security Engine - Web-Frontend
[Bearbeiten] Literatur
- Kerry J. Cox, Christopher Gerg: Managing Security with Snort & IDS Tools. 1st Edition, O'Reilly Verlag August 2004, ISBN 0-596-00661-6 Leseprobe
- Peer Heinlein, Thomas Bechtold: Snort, Acid & Co.. Open Source Press, Juni 2004, ISBN 3-937514-03-1
- Ralf Spenneberg: Intrusion Detection und Prevention mit Snort 2 & Co. (mit CD-ROM). Addison-Wesley, November 2004, ISBN 3-8273-2134-4 (Hier als PDF kapitelweise verfügbar: [1])
