Snort

Da Wikipedia, l'enciclopedia libera.
Snort
Snort
Snort
Sviluppatore Sourcefire
Ultima versione 2.9.8.0[1] 17 novembre 2015
Sistema operativo Multipiattaforma
Linguaggio C
Genere Sicurezza informatica
Licenza GNU General Public License
(Licenza libera)
Sito web www.snort.org

Snort è un software libero per l'analisi dei pacchetti all'interno di una rete. Nel campo della sicurezza informatica è molto utilizzato come Intrusion detection system.[2]

È distribuito sotto i termini della licenza libera GNU General Public License.[2]

Descrizione[modifica | modifica wikitesto]

Snort è un software leggero e performante basato sulle librerie Libcap. Esegue in tempo reale l'analisi del traffico delle reti IP e grazie a questo riesce ad individuare potenziali minacce ed intrusioni. Il controllo del traffico di rete avviene a diversi livelli quali:

  • Analisi del protocollo.
  • Analisi del contenuto.
  • Confronto dei contenuti.

Alcune delle minacce che possono essere intercettate e bloccate sono:

Il funzionamento avviene impostando il programma in una delle sue modalità principali:

  • Sniffer: il programma legge i pacchetti di rete e li mostra sulla console. Si può dire che è simile al funzionamento di tcpdump.
  • Packet Logger': il programma esegue il log dei pacchetti di rete su disco. In pratica è una modalità simile a quella Sniffer ma che presenta molte più opzioni.
  • NIDS: il programma analizza il traffico di rete e sulla base di regole definite dall'utente scattano dei particolari allarmi.
  • Analisi forense: come la modalità NIDS ma in input riceve un dump di traffico di rete.

Le "regole personalizzate" da inserire all'interno del programma sono molto diffuse ed utilizzate. Molte, già scritte e testate, sono reperibili online a molti indirizzi di comunità di sicurezza informatica[3]

Gli output dell'analisi fornita dal programma possono essere reindirizzati ed organizzati in diversi formati quali:

  • Unified format (formato di Snort);
  • XML;
  • Conservazione in basi di dati quali MySQL, Oracle, PostgreSQL;
  • Formato tcpdump/libcap;
  • ASCII;
  • WinPopup (SMB);
  • Log di sistema.

Plugin[modifica | modifica wikitesto]

Una delle maggiori potenzialità di Snort è quella di poter essere ampliato attraverso plug-in. Molti sono i plug-in esistenti e numerosi sono stati sviluppati da terze parti. Le funzionalità aggiuntive sono tra le più disparate quali interfacce di amministrazione, strumenti di report, strumenti di analisi dei log, ecc. In generale, i plug-in sono classificati in tre categorie:

  • Preprocessori: esaminano i pacchetti prima che vengano identificati.
  • Rilevamento: eseguono dei controlli su alcuni campi o aspetti particolari dei pacchetti. Alcuni permettono di inserire nuove tipologie di regole che si basano su informazioni statistiche e non solo sul confronto di contenuti ed intestazioni.
  • Output: trasformano i dati di analisi in svariate forme rappresentative o li categorizzano in svariati log.

Alcuni dei plug-in più conosciuti sono:

Note[modifica | modifica wikitesto]

  1. ^ (EN) Downloads, su snort.org. URL consultato il 24 febbraio 2016.
  2. ^ a b (EN) Snort.Org. URL consultato il 24 febbraio 2016.
    «What is Snort? It is an open source intrusion prevention system capable of real-time traffic analysis and packet logging».
  3. ^ (EN) Sito con file di configurazione per Snort 1.9 e 2.0 già preparati e commentati.

Bibliografia[modifica | modifica wikitesto]

(EN) Northcutt, Cooper, Fearnow e Frederick, Intrusion Signatures and Analysis, ISBN 0752064710639.

«Chapter 1 introduces the reader to Analysis of Logs (including Snort, Tcpdump, and Syslog), IDS, and Firewalls.».

Voci correlate[modifica | modifica wikitesto]

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]