Vai al contenuto

Snort

Da Wikipedia, l'enciclopedia libera.
Snort
software
Snort
Snort
Snort
GenereSicurezza informatica
SviluppatoreSourcefire
Ultima versione3.1.56.0[1] (23 febbraio 2023)
Sistema operativoMultipiattaforma
LinguaggioC
LicenzaGNU General Public License
(licenza libera)
Sito webwww.snort.org/

Snort è un software libero per l'analisi dei pacchetti all'interno di una rete. Nel campo della sicurezza informatica è molto utilizzato come Intrusion detection system.[2]

È distribuito sotto i termini della licenza libera GNU General Public License.[2]

Snort è un software leggero e performante basato sulle librerie libpcap.[3] Esegue in tempo reale l'analisi del traffico delle reti IP e grazie a questo riesce ad individuare potenziali minacce ed intrusioni. Il controllo del traffico di rete avviene a diversi livelli quali:

  • Analisi del protocollo.
  • Analisi del contenuto.
  • Confronto dei contenuti.

Alcune delle minacce che possono essere intercettate e bloccate sono:

Il funzionamento avviene impostando il programma in una delle sue modalità principali:

  • Sniffer: il programma legge i pacchetti di rete e li mostra sulla console. Si può dire che è simile al funzionamento di tcpdump.
  • Packet Logger: il programma esegue il log dei pacchetti di rete su disco. In pratica è una modalità simile a quella Sniffer ma che presenta molte più opzioni.
  • NIDS: il programma analizza il traffico di rete e sulla base di regole definite dall'utente scattano dei particolari allarmi.
  • Analisi forense: come la modalità NIDS ma in input riceve un dump di traffico di rete.

Le "regole personalizzate" da inserire all'interno del programma sono molto diffuse ed utilizzate. Molte, già scritte e testate, sono reperibili online a molti indirizzi di comunità di sicurezza informatica[4]

Gli output dell'analisi fornita dal programma possono essere reindirizzati ed organizzati in diversi formati quali:

Una delle maggiori potenzialità di Snort è quella di poter essere ampliato attraverso plug-in. Molti sono i plug-in esistenti e numerosi sono stati sviluppati da terze parti. Le funzionalità aggiuntive sono tra le più disparate quali interfacce di amministrazione, strumenti di report, strumenti di analisi dei log, ecc. In generale, i plug-in sono classificati in tre categorie:

  • Preprocessori: esaminano i pacchetti prima che vengano identificati.
  • Rilevamento: eseguono dei controlli su alcuni campi o aspetti particolari dei pacchetti. Alcuni permettono di inserire nuove tipologie di regole che si basano su informazioni statistiche e non solo sul confronto di contenuti ed intestazioni.
  • Output: trasformano i dati di analisi in svariate forme rappresentative o li categorizzano in svariati log.

Alcuni dei plug-in più conosciuti sono:

  1. ^ "Snort 3.1.56.0 Released", su github.com.
  2. ^ a b (EN) Snort.Org. URL consultato il 24 febbraio 2016.
    «What is Snort? It is an open source intrusion prevention system capable of real-time traffic analysis and packet logging»
  3. ^ (EN) tcpdump & libpcap, su tcpdump.org. URL consultato il 18 luglio 2017.
  4. ^ (EN) Sito con file di configurazione per Snort 1.9 e 2.0 già preparati e commentati.
  • (EN) Northcutt, Cooper, Fearnow e Frederick, Intrusion Signatures and Analysis, ISBN 0752064710639.
    «Chapter 1 introduces the reader to Analysis of Logs (including Snort, Tcpdump, and Syslog), IDS, and Firewalls.»

Voci correlate

[modifica | modifica wikitesto]

Altri progetti

[modifica | modifica wikitesto]

Collegamenti esterni

[modifica | modifica wikitesto]