Open Source IDS

Mit Snort den Netzwerk-Traffic auslesen

| Autor / Redakteur: Thomas Joos / Stephan Augsten

Wer Snort installiert, sollte auch die zahlreichen Regelsätze herunterladen.
Wer Snort installiert, sollte auch die zahlreichen Regelsätze herunterladen. (Bild: Thomas Joos / Archiv)

Die Open-Source-Software Snort überwacht Netzwerke auf verdächtigen Datenverkehr. Das Network Intrusion Detection System (NIDS) wird dazu auf einem Server betrieben oder über eine Live-DVD gestartet. Auf Basis von Regeln können Administratoren Angreifer entdecken.

Snort verfügt über Signaturdateien, die regelmäßig vom Administrator aktualisiert werden müssen. Um das Intrusion-Detection-System (IDS) im Netzwerk produktiv einzusetzen, ist der beste Weg, das Produkt auf einem Rechner im Netz zu installieren.

Snort lässt sich problemlos auf Windows-Rechnern installieren. Im Rahmen der Installation sollte man auch gleich die aktuellen Regeln herunterladen. Zusätzlich wird noch die kostenlose Open-Source-Erweiterung WinPcap 4.1 benötigt.

Server und Arbeitsstationen überwachen

Nachdem auch die Regeldateien heruntergeladen und installiert wurden, und alle notwendigen Erweiterungen auf dem Rechner installiert sind, lässt sich der Datenverkehr optimal mit schneiden. Im produktiven Betrieb muss dazu allerdings die Konfigurationsdatei angepasst werden. Snort wird vor allem als Intrusion-Prevention-Lösung eingesetzt. Dadurch lassen sich Angriffe unmittelbar Ereignisgesteuert blockieren.

Snort können Administratoren den Netzwerkverkehr vor allem auf Aktivitäten auf verdächtige Pakete oder auf gefährliche Verbindungen überprüfen. Neben den vorgefertigten Regeln können Administratoren auch eigene Regeln erstellen um zum Beispiel Portscans oder andere Angriffe auf die Server zu erkennen über Erweiterungen lassen sich die Funktionen von Snort noch verbessern.

Wie Snort im Detail funktioniert, zeigen wir in der folgenden Bilderstrecke.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43838801 / Intrusion-Detection und -Prevention)