Snort

aus Wikipedia, der freien Enzyklopädie

Snort ist eine Software zur Erkennung von Angriffen und Einbrüchen auf Computernetzwerke, ein sogenanntes Intrusion Detection System (IDS).

Snort ist freie Software und mit über drei Millionen Downloads und 150.000 aktiven Benutzern (Angaben der Entwickler, Stand: Ende 2006) das weltweit am häufigsten eingesetzte IDS.

[Bearbeiten] Funktionsweise als IDS

Snort kann eingesetzt werden, um bekannte Angriffe auf die Schwachstellen von Netzwerksoftware zu entdecken. Möglichkeiten für Angriffe sind gegeben durch so genannte Exploits, oder eigens dafür bestimmte Programme, wie etwa Internet-Würmer (z.B. Sasser oder W32.Blaster) die ihrerseits wiederum ein Back-Door-Program (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt.

Snort „liest“ direkt an der Netzwerkkarte den gesamten vorbeikommenden Netzwerkverkehr mit. Der Inhalt der Datenpakete wird mit charakteristischen Mustern von bekannten Angriffen verglichen – diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur Mustererkennung wird bei Snort der Aho-Corasick-Algorithmus verwendet.

Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.

Inzwischen gibt es für Snort einige tausend Signaturen – da sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden.

[Bearbeiten] Funktionsweise als Netzwerkanalysewerkzeug

Snort kann auch sehr gut bei der Netzwerkanalyse helfen. Man kann es als Sniffer ähnlich wie tcpdump den Netzwerkverkehr gefiltert ausgeben lassen, Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen.

Snort kann auch zur späteren Analyse einen Dialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.

[Bearbeiten] Geschichte

Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma Sourcefire, die neben der unter der GNU GPL stehenden Version auch eine kommerzielle Variante vertreibt, die zusätzliche Entdeckungs- und Analysemethoden bietet. Anfang Oktober 2005 versuchte Check Point Sourcefire zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der amerikanischen Regierung.

Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines Pufferüberlaufs in Snort gefunden.

Das Maskottchen von Snort ist ein Ferkel mit großer, schnaubender (engl.: snort) Nase. Kein direkter Zusammenhang besteht mit dem Programm Airsnort – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Logo abgewandelt übernahm (das gleiche Schweinchen, jedoch mit Flügeln versehen).

[Bearbeiten] Weblinks

• Homepage
• sourcefire.com - Hersteller von Snort
• bleedingthreats.net - Community für Snort-Regeln
• Kostenloses IDS/IPS-Tool Snort im Test

[Bearbeiten] Schnittstellen

• sguil.sf.net - Tcl/Tk-Schnittstelle
• IDS Policy Manager - Verwalter für Regeln
• dragos.com/cerebus - ncurses-Browser für Snort-Logs
• Basic Analysis and Security Engine - Web-Frontend

[Bearbeiten] Literatur

• Kerry J. Cox, Christopher Gerg: Managing Security with Snort & IDS Tools. 1st Edition, O'Reilly Verlag August 2004, ISBN 0-596-00661-6 Leseprobe
• Peer Heinlein, Thomas Bechtold: Snort, Acid & Co.. Open Source Press, Juni 2004, ISBN 3937514031
• Ralf Spenneberg: Intrusion Detection und Prevention mit Snort 2 & Co. (mit CD-ROM). Addison-Wesley, November 2004, ISBN 3827321344 (Hier als PDF kapitelweise verfügbar: [1])