Snort

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search
Snort
software
Snort
Snort
GenereSicurezza informatica
SviluppatoreSourcefire
Ultima versione2.9.8.3 (26 aprile 2016)
Sistema operativoMultipiattaforma
LinguaggioC
LicenzaGNU General Public License
(licenza libera)
Sito web

Snort è un software libero per l'analisi dei pacchetti all'interno di una rete. Nel campo della sicurezza informatica è molto utilizzato come Intrusion detection system.[1]

È distribuito sotto i termini della licenza libera GNU General Public License.[1]

Descrizione[modifica | modifica wikitesto]

Snort è un software leggero e performante basato sulle librerie libpcap.[2] Esegue in tempo reale l'analisi del traffico delle reti IP e grazie a questo riesce ad individuare potenziali minacce ed intrusioni. Il controllo del traffico di rete avviene a diversi livelli quali:

  • Analisi del protocollo.
  • Analisi del contenuto.
  • Confronto dei contenuti.

Alcune delle minacce che possono essere intercettate e bloccate sono:

Il funzionamento avviene impostando il programma in una delle sue modalità principali:

  • Sniffer: il programma legge i pacchetti di rete e li mostra sulla console. Si può dire che è simile al funzionamento di tcpdump.
  • Packet Logger': il programma esegue il log dei pacchetti di rete su disco. In pratica è una modalità simile a quella Sniffer ma che presenta molte più opzioni.
  • NIDS: il programma analizza il traffico di rete e sulla base di regole definite dall'utente scattano dei particolari allarmi.
  • Analisi forense: come la modalità NIDS ma in input riceve un dump di traffico di rete.

Le "regole personalizzate" da inserire all'interno del programma sono molto diffuse ed utilizzate. Molte, già scritte e testate, sono reperibili online a molti indirizzi di comunità di sicurezza informatica[3]

Gli output dell'analisi fornita dal programma possono essere reindirizzati ed organizzati in diversi formati quali:

  • Unified format (formato di Snort);
  • XML;
  • Conservazione in basi di dati quali MySQL, Oracle, PostgreSQL;
  • Formato tcpdump/libcap;
  • ASCII;
  • WinPopup (SMB);
  • Log di sistema.

Plugin[modifica | modifica wikitesto]

Una delle maggiori potenzialità di Snort è quella di poter essere ampliato attraverso plug-in. Molti sono i plug-in esistenti e numerosi sono stati sviluppati da terze parti. Le funzionalità aggiuntive sono tra le più disparate quali interfacce di amministrazione, strumenti di report, strumenti di analisi dei log, ecc. In generale, i plug-in sono classificati in tre categorie:

  • Preprocessori: esaminano i pacchetti prima che vengano identificati.
  • Rilevamento: eseguono dei controlli su alcuni campi o aspetti particolari dei pacchetti. Alcuni permettono di inserire nuove tipologie di regole che si basano su informazioni statistiche e non solo sul confronto di contenuti ed intestazioni.
  • Output: trasformano i dati di analisi in svariate forme rappresentative o li categorizzano in svariati log.

Alcuni dei plug-in più conosciuti sono:

Note[modifica | modifica wikitesto]

  1. ^ a b (EN) Snort.Org. URL consultato il 24 febbraio 2016.
    «What is Snort? It is an open source intrusion prevention system capable of real-time traffic analysis and packet logging».
  2. ^ (EN) tcpdump & libpcap, su tcpdump.org. URL consultato il 18 luglio 2017.
  3. ^ (EN) Sito con file di configurazione per Snort 1.9 e 2.0 già preparati e commentati.

Bibliografia[modifica | modifica wikitesto]

(EN) Northcutt, Cooper, Fearnow e Frederick, Intrusion Signatures and Analysis, ISBN 0752064710639.
«Chapter 1 introduces the reader to Analysis of Logs (including Snort, Tcpdump, and Syslog), IDS, and Firewalls.».

Voci correlate[modifica | modifica wikitesto]

Altri progetti[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]