Workshop: Intrusion Detection und Intrusion Prevention mit Snort

Snort installieren und konfigurieren

Snort ist wohl das bekannteste Intrusion-Detection- und Intrusion-Prevention-System auf Open-Source-Basis, das für unterschiedliche Betriebssysteme erhältlich ist. Ins Leben gerufen wurde Snort von Martin Roesch. Seit der Gründung ist es fast vier Millionen Mal heruntergeladen worden. Wir wollen uns im Folgenden auf den häufigsten Einsatz konzentrieren: Snort im Zusammenspiel mit Linux.

Im Bereich Open Source hat man den Vorteil, das die erste Investition deutlich niedriger ausfällt als bei einer fertigen Appliance. Bei der Hardware genügt zunächst ein handelsüblicher PC. Wer Wert auf einen zuverlässigen Betrieb legt, sollte aber besser zu einem kleinen Server greifen. Selbst dann sind die Kosten deutlich niedriger als bei einer fertigen Hardwarelösung. Zwar gibt es ausreichend Hersteller, die Snort in einer Appliance verbauen und diese dann anbieten. Im Workshop konzentrieren wir uns jedoch auf die reine Softwarelösung, deren Installation und Wartung sowie die Pflege der Regeln.

Snort kann von der Homepage geladen werden, um es dann auf einer Maschine zu installieren. Die aktuellste Version bekommt man immer direkt vom Anbieter der Software, wenngleich viele Linux-Distributionen fertige Pakete bereitstellen. So ist im Server-Bereich Debian GNU/Linux stark vertreten. Die Paketverwaltung apt bietet meist sehr zeitnah das aktuelle Paket von Snort an. Damit werden zugleich alle Abhängigkeiten mit aufgelöst und zusätzlich notwendige Pakete mit installiert.