Snort
| Snort | |
|---|---|
 Snort |
|
| Sviluppatore | Sourcefire |
| Ultima versione | 2.9.4.1[1] (29 novembre 2012) |
| Sistema operativo | Multipiattaforma |
| Linguaggio | C |
| Genere | Sicurezza informatica |
| Licenza | GNU General Public License (Licenza libera) |
| Sito web | www.snort.org |
SNORT è un applicativo open source distribuito con licenza GPL che permette l'analisi dei pacchetti all'interno di una rete. Date le sue funzioni di tipo IDS è molto utilizzato nell'ambito della sicurezza informatica.
Indice |
Descrizione [modifica]
Snort è un applicativo leggero e performante basato sulle librerie Libcap. Esegue in tempo reale l'analisi del traffico delle reti IP e grazie a questo riesce ad individuare potenziali minacce ed intrusioni. Il controllo del traffico di rete avviene a diversi livelli quali:
- Analisi del protocollo.
- Analisi del contenuto.
- Confronto dei contenuti.
Alcune delle minacce che possono essere intercettate e bloccate sono:
Il funzionamento avviene impostando il programma in una delle sue modalità principali:
- Sniffer: il programma legge i pacchetti di rete e li mostra sulla console. Si può dire che è simile al funzionamento di tcpdump.
- Packet Logger': il programma esegue il log dei pacchetti di rete su disco. In pratica è una modalità simile a quella Sniffer ma che presenta molte più opzioni.
- NIDS: il programma analizza il traffico di rete e sulla base di regole definite dall'utente scattano dei particolari allarmi.
- Analisi forense: come la modalità NIDS ma in input riceve un dump di traffico di rete.
Le "regole personalizzate" da inserire all'interno del programma sono molto diffuse ed utilizzate. Molte, già scritte e testate, sono reperibili online a molti indirizzi di comunità di sicurezza informatica[2]
Gli output dell'analisi fornita dal programma possono essere reindirizzati ed organizzati in diversi formati quali:
- Unified format (formato di Snort);
- XML;
- Conservazione in basi di dati quali MySQL, Oracle, PostgreSQL;
- Formato tcpdump/libcap;
- ASCII;
- WinPopup (SMB);
- Log di sistema.
Plugin [modifica]
Una delle maggiori potenzialità di Snort è quella di poter essere ampliato attraverso plug-in. Molti sono i plug-in esistenti e numerosi sono stati sviluppati da terze parti. Le funzionalità aggiuntive sono tra le più disparate quali interfacce di amministrazione, strumenti di report, strumenti di analisi dei log, ecc. In generale, i plug-in sono classificati in tre categorie:
- Preprocessori: esaminano i pacchetti prima che vengano identificati.
- Rilevamento: eseguono dei controlli su alcuni campi o aspetti particolari dei pacchetti. Alcuni permettono di inserire nuove tipologie di regole che si basano su informazioni statistiche e non solo sul confronto di contenuti ed intestazioni.
- Output: trasformano i dati di analisi in svariate forme rappresentative o li categorizzano in svariati log.
Alcuni dei plug-in più conosciuti sono:
- Sguil (gratuita)
- Snorby GPLv3
- Sourcefire (commerciale e prodotta dalla compagnia che sviluppa Snort)
- Base (gratuita ma non più mantenuta)
Note [modifica]
- ^ Snort.org downloads
- ^ (EN) Sito con file di configurazione per Snort 1.9 e 2.0 già preparati e commentati.
Bibliografia [modifica]
(EN) “Intrusion Signatures and Analysis” di Northcutt, Cooper, Fearnow, Frederick. Libro che tratta di sicurezza informatica utilizzando Snort come esempio.
Voci correlate [modifica]
Altri progetti [modifica]
Collegamenti esterni [modifica]
- (EN) Sito Ufficiale
- (EN) Guide all'uso di Snort
- (EN) Snort Virtual Machine
- (IT, EN) Snortattack Snort guide, tips and tricks
