Snort

Snort
Snort
Entwickler Sourcefire
Aktuelle Version 2.9.1
(23. August 2011)
Betriebssystem Plattformunabhängig
Kategorie Intrusion Detection System
Lizenz GPL
Deutschsprachig nein
snort.org

Snort ist ein freies Network Intrusion Detection System (NIDS) und ein Network Intrusion Prevention System (NIPS). Es kann zum Protokollieren von IP-Paketen genauso wie zur Analyse von Datenverkehr in IP-Netzwerken in Echtzeit eingesetzt werden. Die Software wird überwiegend als Intrusion-Prevention-Lösung eingesetzt, um Angriffe unmittelbar ereignisgesteuert automatisch zu blockieren. Snort wurde von Martin Roesch programmiert und wird jetzt von dessen Firma Sourcefire weiterentwickelt. Im Jahr 2009 wurde Snort in die 'Open Source Hall of Fame' von InfoWorld als eine der besten Vertreterinnen Freier Software ("greatest open source software of all time."[1]) aufgenommen. Das Maskottchen von Snort ist ein Ferkel mit großer, schnaubender (engl.: snort) Nase.

Inhaltsverzeichnis

Funktionsweise

Snort „liest“ direkt an der Netzwerkhardware den gesamten vorbeikommenden Netzwerk-Datenverkehr mit. Der Inhalt des Stroms an Datenpaketen wird mit charakteristischen Mustern von bekannten Angriffen verglichen. Diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur Mustererkennung wird bei Snort der Aho-Corasick-Algorithmus verwendet. Inzwischen gibt es für Snort einige tausend Signaturen. Da international sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden. Snort wird allgemein genutzt, um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs zu erkennen. Snort lässt sich auch mit anderer Software kombinieren, wie zum Beispiel BASE (“Basic Analysis and Security Engine”), Sguil, OSSIM, SnortSnarf und Snorby zur bequemen Steuerung der Software und übersichtlichen grafischen Darstellung von möglichen Einbruchsdaten.

Netzwerk-Basierte IDS (NIDS)

Snort kann eingesetzt werden, um bekannte Angriffe auf die Schwachstellen von Netzwerksoftware zu entdecken. Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um passiv verschiedene Formen eines Angriffs wie zum Beispiel einen Pufferüberlauf, Portscans, Angriffe auf Web-Anwendungen oder SMB-Probes zu erkennen. Möglichkeiten für Angriffe sind gegeben durch so genannte Exploits, oder eigens dafür bestimmte Programme, wie etwa Internet-Würmer (z. B. Sasser oder W32.Blaster) die ihrerseits wiederum ein Backdoor-Programm (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt. Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.

Network Intrusion Prevention System (NIPS)

Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um aktiv Netzwerkverkehr zu blockieren. Mit Patches für den Snort-Quellcode von “Bleeding Edge Threats” ist die Nutzung von ClamAV zum Virenscan im Datenstrom möglich. Zusätzlich kann der Datenstrom mittels SPADE in den Netzwerklayern drei und vier auf Netzwerk-Anomalien (einschließlich historischer Daten) gescannt werden. Derzeit (2010/2011) hat es jedoch den Anschein, dass diese Patches nicht länger gepflegt werden.

Netzwerkanalysewerkzeug

Snort kann auch sehr gut bei der Netzwerkanalyse durch den Netzwerkadministrator helfen. Man kann es als Sniffer, ähnlich wie tcpdump, den Netzwerkverkehr gefiltert ausgeben lassen. Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen. Snort kann auch zur späteren Analyse einen Netzwerk Dialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.

Geschichte

Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma Sourcefire. Neben der unter der GNU GPL stehenden Version von Snort bietet Sourcefire auch eine kommerzielle Variante, die zusätzliche Entdeckungs- und Analysemethoden bietet. Sourcefire vertreibt Enterprise-Lösungen für das Network Security Monitoring (NSM) mit speziell entwickelter Hardware und kommerziellem Support. Anfang Oktober 2005 versuchte Check Point mit internationalem Hauptsitz in Tel Aviv, Israel, Sourcefire zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der Bundesregierung der USA.

Sicherheitsgeschichte

Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines Pufferüberlaufs in Snort gefunden.

Kein direkter Zusammenhang besteht mit dem Programm Airsnort – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Snort-Logo abgewandelt übernahm: das gleiche Schweinchen, jedoch mit Flügeln versehen.

Siehe auch

Einzelnachweise

  1. The Greatest Open Source Software of All Time (17. August 2009). Abgerufen am 23. Juni 2010.

Literatur

Weblinks

Schnittstellen


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Snort — Développeur Martin Roesch, puis la communauté Snort Dernière version …   Wikipédia en Français

  • Snort — Тип Система обнаружения вторжений Автор Martin Roesch Разработчик Sourcefire, Inc. Написана на Си Операционн …   Википедия

  • SNORT — Saltar a navegación, búsqueda Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en… …   Wikipedia Español

  • Snort — es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos …   Wikipedia Español

  • snort — [snôrt] vi. [ME snorten, prob. < or akin to snoren, to SNORE] 1. to force breath suddenly and violently through the nostrils so as to make a harsh sound 2. to express anger, contempt, or the like by a snort 3. to make a noise like a snort, as… …   English World dictionary

  • snort´er — snort «snrt», verb, noun. –v.. 1. to force the breath violently through the nose with a loud, harsh sound: »The horse snorted. 2. to make a sound like this: »The engine snorted. 3. a) to show contempt, defiance, anger, or other feeling by… …   Useful english dictionary

  • Snort — Snort, v. t. To expel throught the nostrils with a snort; to utter with a snort. Keats. [1913 Webster] …   The Collaborative International Dictionary of English

  • Snort — may refer to: * Snort (software), a package for intrusion detection * Snort, a map coloring game * Insufflation, the practice of inhaling (or exhaling) of substances into a body cavity * Snort, a common military name for a submarine snorkel * The …   Wikipedia

  • snort — snort·er; snort·ing·ly; snort; …   English syllables

  • Snort — Snort, v. i. [imp. & p. p. {Snorted}; p. pr. & vb. n. {Snorting}.] [OE. snorten; akin to snoren. See {Snore}.] 1. To force the air with violence through the nose, so as to make a noise, as do high spirited horsed in prancing and play. Fairfax.… …   The Collaborative International Dictionary of English

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”