Security-Tools – SNORT

Kostenloses IDS/IPS auf höchstem Niveau

01.05.2008 | Autor / Redakteur: Peter Riedlberger / Peter Schmitz

SNORT ist das am häufigsten eingesetzte Intrusion Detection und Intrusion Prevention System weltweit.
SNORT ist das am häufigsten eingesetzte Intrusion Detection und Intrusion Prevention System weltweit.

Ein gut gesichertes Netzwerk kann heute kaum mehr auf ein IDS (Intrusion Detection System) und IPS (Intrusion Prevention System) verzichten, das den Security-Administrator über laufende Angriffe (oder zumindest verdächtige Aktivitäten) unterrichtet bzw. selbstständig die Kommunikation im Zweifelsfall abbricht. In vielen Fällen kommt hier die Open-Source-Lösung Snort zum Einsatz.

Die Snort-Website verwendet den wenig bescheidenen Slogan „Snort – the de facto standard for intrusion detection/prevention“. Und so großspurig es klingt, genau genommen ist dieser Ausspruch gar nicht so weit von der Wahrheit entfernt.

Snort ist schon auf viele Plattformen portiert worden und erhält von einer breiten Community permanente Unterstützung. Snort besteht aus mehreren, unabhängig agierenden Komponenten. Die erste von ihnen ist gar kein Bestandteil von Snort, sondern ein externes Model: libpcap (bzw. winpcap). Diese Bibliothek kümmert sich um das Mitschneiden der Netzwerkkommunikation (Sniffing) und gibt diese an das nächste Modul weiter, den Paketdekoder. Der Paketdekoder tut genau das, was sein Name besagt: Er dekodiert die in Rohform vorliegenden Pakete.

Den nächsten Schritt stellen die Präprozessoren dar. Die Präprozessoren sind Plug-ins, die man in die eigene Snort-Installation integrieren kann und deren Besonderheit der Zeitpunkt ist, zu dem sie aktiv werden: Nach der Dekodierung, aber vor der eigentlichen Erkennung.

Was ist der Zweck der Präprozessoren? Manche Angriffe lassen sich nicht über die signaturenbasierende Haupt-Engine von Snort erkennen. Daher gibt es Präprozessoren zu diesen Zweck. Andere Präprozessoren erfüllen andere Aufgaben: Sie nehmen Vorarbeiten an den dekodierten Daten vor, um der Haupt-Engine ihre Arbeit zu ermöglichen. Welche Präprozessoren zum Einsatz kommen, lässt sich individuell konfigurieren.

Seite 2: Brandaktuelle Erkennungsregeln nur für zahlende Kunden

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012448 / Tools)