Netzwerk-Überwachung mit Snort

Ein Administrator kann nicht immer einen Sniffer laufen lassen, um zu wissen, was in seinem LAN vor sich geht. Zum Glück helfen automatisierte Tools wie snort bei der Überwachung des Traffics und der Kategorisierung der Pakete.

In vielen Linux-Distributionen finden sich bereits der prominenteste Vertreter der Intrusion Detection Systeme wieder: Snort ist ein umfangreiches Tool, mit dem Sie Angriffe auf Ihre Systeme aufdecken und danach entsprechend reagieren können. Falls Sie das Tool in Ihrer Distribution nicht finden oder nicht auf Ihrem Produktivsystem nachinstallieren wollen, empfehlen wir Ihnen die WHAX Live-CD.

Mit Snort finden Sie auf der Whax-CD bereits eines der am häufigsten eingesetzten Tools zur Netzwerk-Überwachung. Snort ist ein netzwerkbasiertes Intrusion Detection System, das auch Meldungen von mehreren, verteilten Sensoren aufnehmen kann. Es umfasst fast alle wesentlichen Funktionen, die auch ein kommerzielles IDS bietet, und ist für eine von Plattformen verfügbar.

Grundlage von Snort ist der Paketfilter libpcap, über die sich Snort in den Datenstrom einklinkt. Mittels ausgefeilter Regelsätze, die regelmäßig aktualisiert werden, um neuen Angriffsszenarien gerecht zu werden, analysiert Snort die Daten. Im Falle eines Alarms kann Snort auf verschiedene Weisen reagieren. Das reicht von der Protokollierung in Datei oder Datenbank, der Alarmierung über SNMP-Traps oder Windows-Nachrichten bis hin zum Terminieren der Verbindung.

Snort selber parst die eingegangenen Pakete lediglich, über Plug-ins werden diese Pakete dann weiterverarbeitet. So genannte Präprozessoren bearbeiten zunächst die Pakete, etwa um TCP-Ströme oder fragmentierte Pakete wieder zusammenzusetzen. Danach kommen die Plug-ins zur Entdeckung von Angriffen zum Tragen und schließlich die Module zur Ausgabe der Ergebnisse.

Bitte Beachten Sie: Aufgrund der Rechtsunsicherheit des Paragrafen 202c StGB haben wir aus diesem Artikel die genauen Startparameter und Links zu Programmen entfernt. Wir bitten Sie um Verständnis. Die TecChannel-Redaktion.