Eindringlinge mit Snort rechtzeitig aufspüren

Ein Administrator kann nicht immer einen Sniffer laufen lassen, um zu wissen, was in seinem LAN vor sich geht. Zum Glück helfen automatisierte Tools wie Snort bei der Überwachung des Traffics auf Unregelmäßigkeiten.

In vielen Linux-Distributionen findet sich bereits der prominenteste Vertreter der Intrusion-Detection-Systeme wieder: Snort ist ein umfangreiches Tool, mit dem Sie Angriffe auf Ihre Systeme aufdecken und danach entsprechend reagieren können.

Die Grundlage von Snort bildet der Paketfilter libpcap, über den sich Snort in den Datenstrom einklinkt. Mittels ausgefeilter Regelsätze, die regelmäßig aktualisiert werden, um neuen Angriffsszenarien gerecht zu werden, analysiert Snort die Daten. Im Falle eines Alarms kann Snort auf verschiedene Weisen reagieren. Das reicht von der Protokollierung in Datei oder Datenbank, der Alarmierung über SNMP-Traps oder Windows-Nachrichten bis hin zum Terminieren der Verbindung.

Wie Sie Snort in Ihrem Netzwerk einsetzen und über spezialisierte Tools eine zentrale Verwaltung der einzelnen Sensoren realisieren, lesen Sie im Artikel „Netzwerk-Überwachung mit Snort“. (mha)

tecCHANNEL Shop und Preisvergleich

Links zum Thema Server

Angebot

Bookshop

Bücher zum Thema

eBooks (50 % Preisvorteil)

eBooks zum Thema

Preisvergleich

Server