Snort

The Open Source Network Intrusion Detection System.

www.snort.org.

Software : Daemons : Snort : Übersicht
15-Dec-2004/09-Jan-07

Übersicht

Snort ist ein netzwerkbasiertes Intrusion Detection System (IDS), also ein Einbruchserkennungssystem für Computernetzwerke. Es beherrscht unter anderem

• die Echtzeitanalyse von Netzwerkverkehr,
• das Protokollieren von Datenpaketen in TCP/IP-basierten Netzwerken,
• die Protokollanalyse und
• das Durchsuchen von Datenbaketen nach bestimmten Mustern.

Snort kann dafür eingesetzt werden, verschiedene Angriffe auf Netzwerke wie Buffer overflows, Stealth-Portscans, CGI-Angriffe, SMB-Sondierungen, Versuche zum OS-Fingerprinting und vieles mehr zu erkennen.

Snort wird durch das Sicherheitsunternehmen Sourcefire unterstützt und als Open Source Software weiterentwickelt. Es arbeitet unter GNU/Linux als Daemon und verfügt über keine grafische Benutzeroberfläche; für Microsoft Windows existieren allerdings Portierungen mit GUI.

Aktuelle Version:

• Snort 2.3.0 RC 2 (15-Dec-2004)

Dokumentation

www.snort.org/docs.

• Snort Users Manual: www.snort.org/docs/snort_manual (Druckversion)
• FAQ: www.snort.org/docs/FAQ.txt.

Mailinglisten

www.snort.org/lists.html.

• Snort Announcements,
  lists.sourceforge.net/mailman/listinfo/snort-announce ,
  marc.theaimsgroup.com/?l=snort-announce.
• Snort Users - General discussion about snort,
  lists.sourceforge.net/mailman/listinfo/snort-users,
  marc.theaimsgroup.com/?l=snort-users.
• Snort Sigs - Discussion and development of snort rules,
  lists.sourceforge.net/mailman/listinfo/snort-sigs,
  marc.theaimsgroup.com/?l=snort-sigs.
• Snort Developers - Snort development discussions (New features, bug reports and the like),
  lists.sourceforge.net/mailman/listinfo/snort-devel,
  marc.theaimsgroup.com/?l=snort-devel.
• Snort CVS commits - CVS Commit logs (Includes code and rule commits),
  lists.sourceforge.net/mailman/listinfo/snort-cvsinfo,
  marc.theaimsgroup.com/?l=snort-cvs.

Download

Snort steht im Quellcode als Tarball sowie als RPM-Paket unter www.snort.org/dl zum Download bereit.

Für Debian GNU/Linux-basierte Systeme ist Snort "apt-gettable"; dabei stehen unter »Sarge« verschiedene Varianten zur Auswahl:

• snort - Flexible Network Intrusion Detection System
• snort-common - Flexible Network Intrusion Detection System [common files]
• snort-doc - Documentation for the Snort IDS [documentation]
• snort-mysql - Flexible Network Intrusion Detection System [MySQL]
• snort-pgsql - Flexible Network Intrusion Detection System [PostgreSQL]
• snort-rules-default - Flexible Network Intrusion Detection System ruleset

Add-ons und Tools

Acidlab, die »Analysis Console for Intrusion Databases«, ist ein web-basiertes System zur strukturierten Auswertung der Snort-Protokolle. Das Paket ist recht komplex, hilft aber dabei, die Funktionsweise von Snort besser zu verstehen.

Oinkmaster ist ein Perl-Skript zur Verwaltung und Aktualisierung der Snort-Regeln; eine Besonderheit des Skripts besteht darin, dass es auch angepasste Regeln erkennt und diese nicht einfach mit einer neueren Upstream-Version überschreibt.

Für Webmin existiert ein Snort-Modul, das die Bearbeitung grundlegender Einstellungen von Snort ermöglicht; Feineinstellungen nimmt man aber, insbesondere bei komplexeren Installationen mit mehreren Sensoren, besser manuell in den Konfigurationsdateien vor.

Wflogs ist ein modulares Analyseprogramm für Firewall-Logfiles, das im Rahmen des WallFire-Projekts entwickelt wird; es gehört zu den wenigen Parsern, die auch etwas mit Snort-Logfiles anfangen können. Daneben unterstützt Wflogs natürlich auch die Logfiles von Netfilter (Iptables), Ipchains, Ipfilter sowie einige andere.

Airsnort ist ein WLAN-Sniffer, der außer dem Namen und der prinzipiellen Funktionsweise nichts mit Snort zu tun hat: Airsnort überwacht passiv den Datenverkehr in 802.11b-basierten Netzwerken mit WEP und kann die Verschlüsselung knacken, wenn genügend Pakete gesammelt wurden.

Literatur

Snort, Acid & Co. Einbruchserkennung mit Linux [deutschsprachig]
von Peer Heinlein und Thomas Bechtold
Broschiert - Open Source Press
Erscheinungsdatum: Juni 2004
ISBN: 3937514031
Preis: EUR 24,90 (versandkostenfreie Lieferung bei Amazon.de)
Bestellmöglichkeit und weitere Informationen bei Amazon.de.

Kurzbeschreibung: »Dieses Buch verolgt zwei Ziele: Einerseits schärft es das Bewusstsein für das Thema Netzwerksicherheit, indem es grundlegende Konzepte zum Aufbau sicherer Server beschreibt. Darüber hinaus gibt es eine praktische Anleitung, wie man mit Hilfe von Snort, Acid und Werkzeugen unter Linux ein Netzwerk auf Angriffe prüft und die zum Teil sehr umfangreicher Analysedaten schnell unds sinnvoll auswertet, um im entscheidenden Moment auch überlegt reagieren zu können. Den Abschluss bildet eine Einführung in Konzept und Aufbau eines Honeypot. Ein unerlässliches Handbuch für Systemverwalter!«

Der mit rund 260 Seiten recht preiswerte kompakte Band ist nützlich als allgemeine Einführung in die Funktionsweise von Snort sowie als »Workshop« zur Umsetzung eines konkreten Einssatzszenarios, des Aufbaus eines ziemlich komplexen NIDS mit mehreren Sensoen und dediziertem Log-Host; die Beschreibungen beziehen sich auf SUSE Linux 9.1 und Debian GNU/Linux »Woody« mit einigen Anleihen aus »Sarge« (derzeit Testing).

Weniger geeignet ist der Band als theoretische Einführung in Intrusion-Detection- Systeme oder als Funktionsreferenz für Snort; für ersteres würde ich den Band von Stephen Northcutt und Judy Novak empfehlen, für letzeres das Buch von Syngress.

Website zum Buch: www.snortbuch.de.

Snort 2.0 Intrusion Detection (mit CD-ROM) [deutschsprachig]
Syngress-Autorenteam
Broschiert - Mitp-Verlag
Erscheinungsdatum: 2003
ISBN: 382661304X
Bestellmöglichkeit und weitere Informationen bei Amazon.de.
Preis: EUR 39,95 (versandkostenfreie Lieferung bei Amazon.de)

Kurzbeschreibung: »Snort ist ein weltweit immer populärer werdendes Intrusion Detection System, das komfortabel zu bedienen und sehr konstengünstig ist, dabei aber mit mächtigen Funktionalitäten aufwartet, die es ihm erlauben, gefährliche Aktivitäten im Netz aufzuspüren und dem Netzwerk-Administrator zu melden. In diesem Buch erfährt man, was Snort zu leisten imstande ist bei der Echtzeit Traffic-Analyse, bei der Protokoll-Analyse, bei der Aufdeckung "unsauberer" Inhalte oder raffinierter Penetrationstechniken wie Buffer Overflow, CGI-Angriffen, SMB Probes, OS fingerprinting, Stealth Port Scans etc.«.

Der mit über 500 Seiten recht umfangreiche Band stellt die Funktionen von Snort sehr detailliert vor und bietet auch einige Brocken an theoretischen Hintergrundinformationen.

Im Gegensatz zu dem deutlich preiswerten Bändchen von Peer Heinlein und Thomas Bechtold stellt das Syngres-Buch jedoch kein konkretes Einsatzszenario vor, das man Schritt für Schritt nachbauen könnte. Dafür wird mehr Grundlagenwissen vermittelt, das der Leser jedoch erst in die Praxis und auf seinen konkreten Anwendungsfall übertragen muss.

Intrusion Detection und Prevention mit Snort 2 & Co. (mit CD-ROM) [deutschsprachig]
von Ralf Spenneberg
Gebundene Ausgabe - Addison-Wesley, München
Erscheinungsdatum: November 2004
ISBN: 3827321344
Bestellmöglichkeit und weitere Informationen bei Amazon.de.
Preis: EUR 59,95 (versandkostenfreie Lieferung bei Amazon.de)

Kurzbeschreibung: »Dieses Buch zeigt, wie mit den Bordmitteln jeder Linux-Distribution – z.B. Snort 2.0 – auf einem Linux-Server ein professionelles System zur Einbruchserkennung und -Verhinderung aufgesetzt wird. Der Autor erläutert die Anwendung von IDS auf komplexe Netzwerke, beschreibt die Arbeit mit den wichtigsten Tools (Tripwire und Snort) zur System- und Netzwerküberwachung, schildert ausführlich die Analyse der gewonnenen Daten sowie ihre Interpretation und gibt Richtlinien für die Prävention und die richtige Reaktion im Ernstfall. Er beschreibt außerdem die technischen und formalen Voraussetzungen für den Einsatz eines IDS, zeigt Grenzen auf und warnt vor juristischen Fallstricken«.

Intrusion Detection für Linux-Server. Mit Open Source-Tools Angriffe erkennen und analysieren [deutschsprachig]
von Ralf Spenneberg
Gebundene Ausgabe - 624 Seiten - Markt+Technik
Erscheinungsdatum: 15. November 2002
ISBN: 3827264154
Bestellmöglichkeit und weitere Informationen bei Amazon.de.
Preis: EUR 49,95 (versandkostenfreie Lieferung bei Amazon.de)

Kurzbeschreibung: »Dieses Buch zeigt, wie mit den in jeder Linux-Distribution verfügbaren Tools auf einem Linux-Server ein effektives und professionelles System zur Einbruchserkennung aufgesetzt wird. Der Autor Ralph Spenneberg erläutert die Anwendung von IDS auf komplexe Netzwerke, beschreibt die Arbeit mit den wichtigsten Tools (Tripwire und Snort) zur System- und Netzwerküberwachung, schildert ausführlich die Analyse der gewonnenen Daten sowie ihre Interpretation und gibt Richtlinien für die richtige Reaktion im Ernstfall.

Der Autor beschreibt die technischen und formalen Voraussetzungen für den Einsatz eines IDS, zeigt Grenzen auf und warnt vor juristischen Fallstricken. Er schließt mit dem Aufsetzen eines „Honeypot“ – einem Server, der Angreifer zugleich anlocken, ihre Angriffsmethoden untersuchbar machen und von den eigentlich wichtigen Servern ablenken soll«.

Managing Security with Snort and IDS Tools [englischsprachig]
von Kerry J. Cox, Christopher Gerg
Sprache: Englisch
Broschiert - 269 Seiten - O'Reilly & Associates
Erscheinungsdatum: 30. August 2004
ISBN: 0596006616
Bestellmöglichkeit und weitere Informationen bei Amazon.de.
Preis: EUR 33,90 (versandkostenfreie Lieferung bei Amazon.de)

Synopsis: »Intrusion detection is not for the faint at heart. But, if you are a network administrator chances are you're under increasing pressure to ensure that mission-critical systems are safe--in fact impenetrable--from malicious code, buffer overflows, stealth port scans, SMB probes, OS fingerprinting attempts, CGI attacks, and other network intruders. Designing a reliable way to detect intruders before they get in is a vital but daunting challenge. Because of this, a plethora of complex, sophisticated, and pricy software solutions are now available. In terms of raw power and features, SNORT, the most commonly used Open Source Intrusion Detection System, (IDS) has begun to eclipse many expensive proprietary IDSes.

In terms of documentation or ease of use, however, SNORT can seem overwhelming. Which output plugin to use? How do you to email alerts to yourself? Most importantly, how do you sort through the immense amount of information Snort makes available to you? Many intrusion detection books are long on theory but short on specifics and practical examples. Not Managing Security with Snort and IDS Tools.

This new book is a thorough, exceptionally practical guide to managing network security using Snort 2.1 (the latest release) and dozens of other high-quality open source other open source intrusion detection programs. Managing Security with Snort and IDS Tools covers reliable methods for detecting network intruders, from using simple packet sniffers to more sophisticated IDS (Intrusion Detection Systems) applications and the GUI interfaces for managing them. A comprehensive but concise guide for monitoring illegal entry attempts, this invaluable new book explains how to shut down and secure workstations, servers, firewalls, routers, sensors and other network devices. Step-by-step instructions are provided to quickly get up and running with Snort. Each chapter includes links for the programs discussed, and additional links at the end of the book give administrators access to numerous web sites for additional information and instructional material that will satisfy even the most serious security enthusiasts. Managing Security with Snort and IDS Tools maps out a proactive -- and effective -- approach to keeping your systems safe from attack«.

Siehe auch

• Security (Administration von und mit GNU/Linux)
• Logging (Administration von und mit GNU/Linux)

Netmarks

Wikipedia: Snort,
en.wikipedia.org/wiki/Snort_(software).

[ Zurück ] [ Weiter ]

	URL: http://www.kefk.net/Linux/Software/Daemons/Snort/index.asp.
	Translate this page to  English French  Service provided by Google.
	Website: About | Index | Inhalt | Site Map | Suchen | Wer ist online? | What's new?. Thematisch verwandte Subsites: Apple | BSD | Open Source | Project »Tark« | Software | UNIX | Windows | Wissen. Mirrors: Connected | DAHB | Debian-Howto | Jargon File | Linuxfibel | Linux-Buch | RUTE | SelfLinux | TeX.
	Ergänzungen, Kommentare und Fragen: Kontakt | Foren | Wiki. E-Mail: echo "asb at keNOSPAMfk.net"| sed -e "s/ at /@/" -e "s/NOSPAM//". Registered Linux user: #34377 <http://counter.li.org>.
	Copyright | Credits | Disclaimer | Impressum | Rechtliche Hinweise | Wayback Machine.