Snort

Fazit: Snort ist ein Intrusion Detection System (IDS), das von der Firma Sourcefire entwickelt wurde, von der auch der bekannte Virenscanner ClamAV stammt. Es implementiert die Überwachung des Datenverkehrs eines Netzwerkes in Echtzeit und meldet eventuelle Sicherheitsverstöße. Es kann allerdings auch so konfiguriert werden, dass es nur eingeschränkte Funktionalität als Sniffer oder zum Debugging des Netzwerks bietet. Zieht man eine voll ausgeführte Sicherheitslösung vor, so beinhaltet das Programm mehrere Funktionen, um Angriffe zu erkennen. Bereits mitgeliefert werden diverse Definitionen, mit denen übliche Sicherheitsverletzungen wie das Ausnutzen von Buffer Overflows oder verdeckte Portscans entdeckt werden können. Erweitern kann der Anwender diese erstens durch eine Sprache, mit der sich Regeldefinitionen für den auszufilternden Traffic aufstellen lassen. Diese werden vom Team oder der Community entwickelt und können von der Website des Herstellers bezogen werden. Die Regeln sind genau wie andere Komponenten von Snort in einem Plugin-System nachladbar. Die Entwickler zitieren mehrere Tests, in denen sich Snort mit dieser Herangehensweise an oder nahe der Spitze des Feldes platzieren konnte. Entsprechend ist die Software nach ihren Angaben das aktuell am Verbreitetsten eingesetzte IDS. Snort ist für Windows, Linux, Solaris, BSD und HP-UX erhältlich und kostenlos. Das Programm selbst ist unter der GPL lizenziert, die Regeln für die Trafficerkennung stehen unter einer eigenen freien, antikommerziellen Lizenz.