Detektive fürs LAN: Intrusion Detection-Systeme im Test

Überblick
Produkt Snort 2.1.3
Bild
Hersteller Snort
Website www.snort.org
Ungefährer Preis kostenlos (unter der GNU Public License veröffentlicht)

Snort war anfänglich als Open Source-IDS für Linux und ähnliche Systeme ausgelegt und ist jetzt sogar als Win32-Binary-Version erhältlich. Diese Version wurde im Test auf einen Windows 2000-Rechner heruntergeladen. Zur Installation ist außerdem Winpcap v2.3 (die Windows-Library zur Paket-Überwachung) erforderlich. Die Win32-Version von Snort funktioniert ähnlich wie die Linux-Version mit Kommandozeilen. Es empfiehlt sich jedoch, Snort in einer Linux-Umgebung zu belassen.

Im Test wurde Snort in einer Slackware 9.1-Umgebung installiert. Die Installation der Linux-Version dauerte etwas länger als die des Win32-Pakets, hauptsächlich, weil sie aus dem Quellcode kompiliert und installiert werden musste. Vor der Installation von Snort muss zudem Libpcap 0.8.3 installiert werden.

Nach Abschluss der Installation lässt sich Snort im Grundmodus problemlos handhaben, wobei der Administrator festlegen kann, welche Daten aufgezeichnet werden sollen und wo diese zu speichern sind. Doch dies sind nur die Grundfunktionen. Snort ist ein vollständig regelbasiertes IDS, das zum Zeitpunkt des Tests 2427 vordefinierte Regeln umfasste. Bei dieser Auswahl findet sich für alle Ansprüche etwas. Die Begleitdokumentation für die meisten Regeln ist gut erklärt, so dass Administratoren die Quellen potenzieller Angriffe erkennen können.

Snort ist nicht unbedingt als Einzellösung gedacht. Während das Programm die Anwendung der Regeln überwacht und Daten aufzeichnet, stehen zahlreiche Add-On-Anwendungen wie Barnyard, Log Hog, Snort Sentry und Acid sowie unzählige weitere Tools, Benutzerschnittstellen und Front-Ends zur Verfügung. Es gibt auch ein Plugin für die Webmin-Managementkonsole. Diese Tools helfen bei Aufgaben wie Konfiguration, Auslagerung der Datenverwaltung, Protokoll-Überprüfung, Berichterstellung und Auswertung der aufgezeichneten Daten.

Die Lösung mag zwar nicht jedermanns Geschmack sein, sie ist jedoch auf jeden Fall besser als gar kein IDS. Snort eignet sich ideal zur Überwachung des Traffics an einzelnen Ports im Netzwerk. Es kann aber auch als tragbares Netzwerküberwachungstool auf einem Notebook oder älteren Systemen dienen, für die Diagnose, oder um intermittierenden Traffic zu überwachen oder auszuwerten. Auf der Website von Snort wird bereits ein Upgrade des Pakets durch IPS-Funktionen angekündigt.

Wertung
Kategorie Punkte (von 10) Begründung
Kompatibilität 8 unterstützt Windows und Linux
Zukunftssicherheit 9 extrem gründliche, tiefgreifende Anwendung mit zahlreichen Updates sowie Addons von Drittherstellern
Preis-Leistungsverhältnis 7 kostenlos, aber nicht mit wenig Zeitaufwand installierbar
Service 5 kein Support vom Hersteller; Gnu-Lizenz (Quelltext einsehbar); Online-Community-Support verfügbar
Gesamtwertung 8 sehr gut

Themenseiten: Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Detektive fürs LAN: Intrusion Detection-Systeme im Test

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *