Wikipedia - Benutzerbeiträge [de]

Snort

2011-06-30T10:23:05Z

94.139.22.9: kl. siehe auch

{{Infobox Software
|Name= Snort
|Screenshot=
|Beschreibung=
|Hersteller= [http://sourcefire.com/ Sourcefire]
|Betriebssystem= [[Plattformunabhängigkeit|Plattformunabhängig]]
|AktuelleVersion= 2.9.0.5
|AktuelleVersionFreigabeDatum= 6. April 2011
|AktuelleVorabVersion= 2.9.1 Beta
|AktuelleVorabVersionFreigabeDatum= 13. Juni 2011
|Kategorie= [[Intrusion Detection System]]
|Lizenz= [[GNU General Public License|GPL]]
|Deutsch= nein
|Website= [http://snort.org/ snort.org]
}}

'''Snort''' ist ein [[Freie Software|freies]] [[Intrusion Detection System#Netzwerk-Basierte IDS|Network Intrusion Detection System]] (NIDS) und ein [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS). Es kann zum Protokollieren von [[IP-Paket]]en genauso wie zur Analyse von Datenverkehr in [[Internet Protocol|IP]]-Netzwerken in Echtzeit eingesetzt werden. Die Software wird überwiegend als Intrusion-Prevention-Lösung eingesetzt, um Angriffe unmittelbar ereignisgesteuert automatisch zu blockieren. Snort wurde von [[Martin Roesch]] programmiert und wird jetzt von dessen Firma [[Sourcefire]] weiterentwickelt. Im Jahr 2009 wurde Snort in die 'Open Source Hall of Fame' von InfoWorld als eine der besten Vertreterinnen [[Open Source|Freier Software]] ("greatest open source software of all time."<ref>{{cite web
|url=http://www.infoworld.com/d/open-source/greatest-open-source-software-all-time-776?source=fssr
|title=The Greatest Open Source Software of All Time
|date=2009-08-17
|accessdate=2010-06-23
}}</ref>) aufgenommen. Das Maskottchen von Snort ist ein [[Ferkel]] mit großer, schnaubender (engl.: snort) Nase.

== Funktionsweise ==
Snort „liest“ direkt an der Netzwerkhardware den gesamten vorbeikommenden Netzwerk-Datenverkehr mit. Der Inhalt des Stroms an [[Datenpaket]]en wird mit charakteristischen Mustern von bekannten Angriffen verglichen. Diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur [[Mustererkennung]] wird bei Snort der [[Aho-Corasick-Algorithmus]] verwendet.
Inzwischen gibt es für Snort einige tausend Signaturen. Da international sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden.
Snort wird allgemein genutzt, um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs zu erkennen. Snort lässt sich auch mit anderer Software kombinieren, wie zum Beispiel [[BASE (Netzwerk)|BASE]] (“Basic Analysis and Security Engine”), [[Sguil]], [[Open Source Security Information Management|OSSIM]], [[SnortSnarf]] und [[Snorby]] zur bequemen Steuerung der Software und übersichtlichen grafischen Darstellung von möglichen Einbruchsdaten.

=== Netzwerk-Basierte IDS (NIDS) ===
Snort kann eingesetzt werden, um bekannte Angriffe auf die [[Sicherheitslücke|Schwachstellen]] von Netzwerksoftware zu entdecken. Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um passiv verschiedene Formen eines Angriffs wie zum Beispiel einen [[Pufferüberlauf]], [[Portscan]]s, Angriffe auf Web-Anwendungen oder [[Server Message Block|SMB]]-Probes zu erkennen.
Möglichkeiten für Angriffe sind gegeben durch so genannte [[Exploit]]s, oder eigens dafür bestimmte Programme, wie etwa Internet-[[Computerwurm|Würmer]] (z. B. [[Sasser]] oder [[W32.Blaster]]) die ihrerseits wiederum ein [[Backdoor]]-Programm (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt. Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.

=== Network Intrusion Prevention System (NIPS) ===
Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um aktiv Netzwerkverkehr zu blockieren.
Mit [[Patch (Software)|Patches]] für den Snort-Quellcode von “Bleeding Edge Threats” ist die Nutzung von [[ClamAV]] zum Virenscan im Datenstrom möglich. Zusätzlich kann der Datenstrom mittels [[SPADE]] in den [[OSI-Modell|Netzwerklayern drei und vier]] auf Netzwerk-Anomalien (einschließlich historischer Daten) gescannt werden. Derzeit (2010/2011) hat es jedoch den Anschein, dass diese Patches nicht länger gepflegt werden.

=== Netzwerkanalysewerkzeug ===
Snort kann auch sehr gut bei der Netzwerkanalyse durch den Netzwerkadministrator helfen. Man kann es als [[Sniffer]], ähnlich wie [[tcpdump]], den Netzwerkverkehr gefiltert ausgeben lassen. Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen. Snort kann auch zur späteren Analyse einen Netzwerk Dialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.

== Geschichte ==
Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma ''Sourcefire''. Neben der unter der [[GNU GPL]] stehenden Version von Snort bietet Sourcefire auch eine kommerzielle Variante, die zusätzliche Entdeckungs- und Analysemethoden bietet. Sourcefire vertreibt Enterprise-Lösungen für das Network Security Monitoring (NSM) mit speziell entwickelter Hardware und kommerziellem Support. Anfang Oktober 2005 versuchte [[Check Point]] mit internationalem Hauptsitz in [[Tel Aviv]], [[Israel]], ''Sourcefire'' zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der [[Bundesregierung der USA]].

===Sicherheitsgeschichte===
Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines [[Pufferüberlauf]]s in Snort gefunden.

===Airsnort-Logo===
Kein direkter Zusammenhang besteht mit dem Programm [[Airsnort]] – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Snort-Logo abgewandelt übernahm: das gleiche Schweinchen, jedoch mit Flügeln versehen.

== Siehe auch ==
* [[Stateful Packet Inspection]]
* [[Contentfilter]]
* [[pfSense]]

==Einzelnachweise==
<references />

== Literatur ==
* [[Ralf Spenneberg]]: ''Intrusion Detection und Prevention mit Snort 2 & Co.'' (mit CD-ROM). [[Addison-Wesley]], November 2005 & 20. Dezember 2007, ISBN 3-8273-2134-4 (Hier als PDF kapitelweise verfügbar: [http://www.opensource-training.de/buecher_new.php opensource-training.de])
* Brian Caswell, Jay Beale, Andrew Baker: Snort Intrusion Detection and Prevention Toolkit (Jay Beale's Open Source Security mit CD-ROM), Elsevier Science & Technology; 17. Dezember 2006; ISBN-13: 978-1597490993
* Kerry J. Cox, Christopher Gerg: ''Managing Security with Snort & IDS Tools''. 1st Edition, [[O'Reilly Verlag]] August 2004, ISBN 0-596-00661-6 [http://www.oreilly.com/catalog/snortids/ Leseprobe]
* [[Peer Heinlein]], Thomas Bechtold: ''Snort, Acid & Co.''. [[Open Source Press]], Juni 2004, ISBN 3-937514-03-1

== Weblinks ==
* [http://snort.org/ Homepage]
* [http://sourcefire.com/ sourcefire.com] - Hersteller von Snort
* [http://www.emergingthreats.net/ emergingthreats.net] - Community für Snort-Regeln
* [http://www.searchsecurity.de/themenbereiche/applikationssicherheit/security-tools/articles/120016/ Kostenloses IDS/IPS-Tool Snort im Test]
* {{Internetquelle
| hrsg = Linux New Media AG
| werk = ADMIN-Magazin
| autor = Chris Riley
| url = http://www.admin-magazin.de/content/das-snort-ids-erkennt-einbruchsversuche
| titel = Das Snort-IDS erkennt Einbruchsversuche
| zugriff = 2010-03-15
}}

=== Schnittstellen ===
* [http://www.snorby.org/ Snorby] - [https://github.com/Snorby/snorby/wiki a new and modern Snort IDS front-end] - [[Ruby on Rails]] Web-[[GUI|Frontend]]
* [http://sguil.sourceforge.net/ sguil.sf.net] - Tcl/Tk-Schnittstelle
* [http://www.activeworx.org/ IDS Policy Manager] - Verwalter für Regeln
* [http://dragos.com/cerebus/ dragos.com/cerebus] - ncurses-Browser für Snort-Logs
* [http://base.secureideas.net/ Basic Analysis and Security Engine] - Web-Frontend

[[Kategorie:Freie Sicherheitssoftware]]

[[ar:سنورت]]
[[en:Snort (software)]]
[[es:Snort]]
[[fi:SNORT]]
[[fr:Snort]]
[[hr:Snort]]
[[it:Snort]]
[[no:Snort]]
[[pl:Snort]]
[[pt:Snort]]
[[ru:Snort]]
[[ta:சுனோர்ட்]]
[[zh:Snort]]

Snort

2011-06-30T10:09:11Z

94.139.22.9: Umstellungen : Textkonsistenz! + open source hall of fame 2009 (see en.wikipedia)

{{Infobox Software
|Name= Snort
|Screenshot=
|Beschreibung=
|Hersteller= [http://sourcefire.com/ Sourcefire]
|Betriebssystem= [[Plattformunabhängigkeit|Plattformunabhängig]]
|AktuelleVersion= 2.9.0.5
|AktuelleVersionFreigabeDatum= 6. April 2011
|AktuelleVorabVersion= 2.9.1 Beta
|AktuelleVorabVersionFreigabeDatum= 13. Juni 2011
|Kategorie= [[Intrusion Detection System]]
|Lizenz= [[GNU General Public License|GPL]]
|Deutsch= nein
|Website= [http://snort.org/ snort.org]
}}

'''Snort''' ist ein [[Freie Software|freies]] [[Intrusion Detection System#Netzwerk-Basierte IDS|Network Intrusion Detection System]] (NIDS) und ein [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS). Es kann zum Protokollieren von [[IP-Paket]]en genauso wie zur Analyse von Datenverkehr in [[Internet Protocol|IP]]-Netzwerken in Echtzeit eingesetzt werden. Die Software wird überwiegend als Intrusion-Prevention-Lösung eingesetzt, um Angriffe unmittelbar ereignisgesteuert automatisch zu blockieren. Snort wurde von [[Martin Roesch]] programmiert und wird jetzt von dessen Firma [[Sourcefire]] weiterentwickelt. Im Jahr 2009 wurde Snort in die 'Open Source Hall of Fame' von InfoWorld als eine der besten Vertreterinnen [[Open Source|Freier Software]] ("greatest open source software of all time."<ref>{{cite web
|url=http://www.infoworld.com/d/open-source/greatest-open-source-software-all-time-776?source=fssr
|title=The Greatest Open Source Software of All Time
|date=2009-08-17
|accessdate=2010-06-23
}}</ref>) aufgenommen. Das Maskottchen von Snort ist ein [[Ferkel]] mit großer, schnaubender (engl.: snort) Nase.

== Funktionsweise ==
Snort „liest“ direkt an der Netzwerkhardware den gesamten vorbeikommenden Netzwerk-Datenverkehr mit. Der Inhalt des Stroms an [[Datenpaket]]en wird mit charakteristischen Mustern von bekannten Angriffen verglichen. Diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur [[Mustererkennung]] wird bei Snort der [[Aho-Corasick-Algorithmus]] verwendet.
Inzwischen gibt es für Snort einige tausend Signaturen. Da international sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden.
Snort wird allgemein genutzt, um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs zu erkennen. Snort lässt sich auch mit anderer Software kombinieren, wie zum Beispiel [[BASE (Netzwerk)|BASE]] (“Basic Analysis and Security Engine”), [[Sguil]], [[Open Source Security Information Management|OSSIM]], [[SnortSnarf]] und [[Snorby]] zur bequemen Steuerung der Software und übersichtlichen grafischen Darstellung von möglichen Einbruchsdaten.

=== Netzwerk-Basierte IDS (NIDS) ===
Snort kann eingesetzt werden, um bekannte Angriffe auf die [[Sicherheitslücke|Schwachstellen]] von Netzwerksoftware zu entdecken. Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um passiv verschiedene Formen eines Angriffs wie zum Beispiel einen [[Pufferüberlauf]], [[Portscan]]s, Angriffe auf Web-Anwendungen oder [[Server Message Block|SMB]]-Probes zu erkennen.
Möglichkeiten für Angriffe sind gegeben durch so genannte [[Exploit]]s, oder eigens dafür bestimmte Programme, wie etwa Internet-[[Computerwurm|Würmer]] (z. B. [[Sasser]] oder [[W32.Blaster]]) die ihrerseits wiederum ein [[Backdoor]]-Programm (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt. Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.

=== Network Intrusion Prevention System (NIPS) ===
Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um aktiv Netzwerkverkehr zu blockieren.
Mit [[Patch (Software)|Patches]] für den Snort-Quellcode von “Bleeding Edge Threats” ist die Nutzung von [[ClamAV]] zum Virenscan im Datenstrom möglich. Zusätzlich kann der Datenstrom mittels [[SPADE]] in den [[OSI-Modell|Netzwerklayern drei und vier]] auf Netzwerk-Anomalien (einschließlich historischer Daten) gescannt werden. Derzeit (2010/2011) hat es jedoch den Anschein, dass diese Patches nicht länger gepflegt werden.

=== Netzwerkanalysewerkzeug ===
Snort kann auch sehr gut bei der Netzwerkanalyse durch den Netzwerkadministrator helfen. Man kann es als [[Sniffer]], ähnlich wie [[tcpdump]], den Netzwerkverkehr gefiltert ausgeben lassen. Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen. Snort kann auch zur späteren Analyse einen Netzwerk Dialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.

== Geschichte ==
Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma ''Sourcefire''. Neben der unter der [[GNU GPL]] stehenden Version von Snort bietet Sourcefire auch eine kommerzielle Variante, die zusätzliche Entdeckungs- und Analysemethoden bietet. Sourcefire vertreibt Enterprise-Lösungen für das Network Security Monitoring (NSM) mit speziell entwickelter Hardware und kommerziellem Support. Anfang Oktober 2005 versuchte [[Check Point]] mit internationalem Hauptsitz in [[Tel Aviv]], [[Israel]], ''Sourcefire'' zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der [[Bundesregierung der USA]].

===Sicherheitsgeschichte===
Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines [[Pufferüberlauf]]s in Snort gefunden.

===Airsnort-Logo===
Kein direkter Zusammenhang besteht mit dem Programm [[Airsnort]] – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Snort-Logo abgewandelt übernahm: das gleiche Schweinchen, jedoch mit Flügeln versehen.

==Einzelnachweise==
<references />

== Weblinks ==
* [http://snort.org/ Homepage]
* [http://sourcefire.com/ sourcefire.com] - Hersteller von Snort
* [http://www.emergingthreats.net/ emergingthreats.net] - Community für Snort-Regeln
* [http://www.searchsecurity.de/themenbereiche/applikationssicherheit/security-tools/articles/120016/ Kostenloses IDS/IPS-Tool Snort im Test]
* {{Internetquelle
| hrsg = Linux New Media AG
| werk = ADMIN-Magazin
| autor = Chris Riley
| url = http://www.admin-magazin.de/content/das-snort-ids-erkennt-einbruchsversuche
| titel = Das Snort-IDS erkennt Einbruchsversuche
| zugriff = 2010-03-15
}}

=== Schnittstellen ===
* [http://www.snorby.org/ Snorby] - [https://github.com/Snorby/snorby/wiki a new and modern Snort IDS front-end] - [[Ruby on Rails]] Web-[[GUI|Frontend]]
* [http://sguil.sourceforge.net/ sguil.sf.net] - Tcl/Tk-Schnittstelle
* [http://www.activeworx.org/ IDS Policy Manager] - Verwalter für Regeln
* [http://dragos.com/cerebus/ dragos.com/cerebus] - ncurses-Browser für Snort-Logs
* [http://base.secureideas.net/ Basic Analysis and Security Engine] - Web-Frontend

== Literatur ==
* [[Ralf Spenneberg]]: ''Intrusion Detection und Prevention mit Snort 2 & Co.'' (mit CD-ROM). [[Addison-Wesley]], November 2005 & 20. Dezember 2007, ISBN 3-8273-2134-4 (Hier als PDF kapitelweise verfügbar: [http://www.opensource-training.de/buecher_new.php opensource-training.de])
* Brian Caswell, Jay Beale, Andrew Baker: Snort Intrusion Detection and Prevention Toolkit (Jay Beale's Open Source Security mit CD-ROM), Elsevier Science & Technology; 17. Dezember 2006; ISBN-13: 978-1597490993
* Kerry J. Cox, Christopher Gerg: ''Managing Security with Snort & IDS Tools''. 1st Edition, [[O'Reilly Verlag]] August 2004, ISBN 0-596-00661-6 [http://www.oreilly.com/catalog/snortids/ Leseprobe]
* [[Peer Heinlein]], Thomas Bechtold: ''Snort, Acid & Co.''. [[Open Source Press]], Juni 2004, ISBN 3-937514-03-1

[[Kategorie:Freie Sicherheitssoftware]]

[[ar:سنورت]]
[[en:Snort (software)]]
[[es:Snort]]
[[fi:SNORT]]
[[fr:Snort]]
[[hr:Snort]]
[[it:Snort]]
[[no:Snort]]
[[pl:Snort]]
[[pt:Snort]]
[[ru:Snort]]
[[ta:சுனோர்ட்]]
[[zh:Snort]]

Snort

2011-06-30T08:05:37Z

94.139.22.9: kl. änderungen

{{Infobox Software
|Name= Snort
|Screenshot=
|Beschreibung=
|Hersteller= [http://sourcefire.com/ Sourcefire]
|Betriebssystem= [[Plattformunabhängigkeit|Plattformunabhängig]]
|AktuelleVersion= 2.9.0.5
|AktuelleVersionFreigabeDatum= 6. April 2011
|AktuelleVorabVersion= 2.9.1 Beta
|AktuelleVorabVersionFreigabeDatum= 13. Juni 2011
|Kategorie= [[Intrusion Detection System]]
|Lizenz= [[GNU General Public License|GPL]]
|Deutsch= nein
|Website= [http://snort.org/ snort.org]
}}

'''Snort''' ist ein [[Freie Software|freies]] [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS) und ein [[Intrusion Detection System#Netzwerk-Basierte IDS|Network Intrusion Detection System]] (NIDS). Es kann zum Protokollieren von [[IP-Paket]]en genauso wie zur Analyse von Datenverkehr in [[Internet Protocol|IP]]-Netzwerken in Echtzeit eingesetzt werden. Snort wurde von [[Martin Roesch]] programmiert und wird jetzt von dessen Firma [[Sourcefire]] weiterentwickelt. Sourcefire vertreibt ganzheitliche Enterprise-Lösungen mit speziell entwickelter Hardware und kommerziellem Support.

Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, und wird allgemein genutzt, um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs wie zum Beispiel einen [[Pufferüberlauf]], [[Portscan]]s, Angriffe auf Web-Anwendungen oder [[Server Message Block|SMB]]-Probes zu erkennen. Die Software wird überwiegend als Intrusion-Prevention-Lösung eingesetzt, um Angriffe unmittelbar zu blockieren. Snort lässt sich auch mit anderer Software kombinieren, wie zum Beispiel der “Basic Analysis and Security Engine” ([[BASE (Netzwerk)|BASE]]), [[Sguil]], [[Open Source Security Information Management|OSSIM]] und [[SnortSnarf]] zur grafischen Darstellung von Einbruchsdaten. Mit [[Patch (Software)|Patches]] für den Snort-Quellcode von “Bleeding Edge Threats” ist die Nutzung von [[ClamAV]] zum Virenscan im Datenstrom möglich. Zusätzlich kann der Datenstrom mittels [[SPADE]] in den [[OSI-Modell|Netzwerklayern drei und vier]] auf Netzwerk-Anomalien (einschließlich historischer Daten) gescannt werden. Derzeit (2010/2011) hat es jedoch den Anschein, dass diese Patches nicht länger gepflegt werden.

== Funktionsweise als IDS ==
Snort kann eingesetzt werden, um bekannte Angriffe auf die [[Sicherheitslücke|Schwachstellen]] von Netzwerksoftware zu entdecken.
Möglichkeiten für Angriffe sind gegeben durch so genannte [[Exploit]]s, oder eigens dafür bestimmte Programme, wie etwa Internet-[[Computerwurm|Würmer]] (z. B. [[Sasser]] oder [[W32.Blaster]]) die ihrerseits wiederum ein [[Backdoor]]-Programm (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt.

Snort „liest“ direkt an der Netzwerkkarte den gesamten vorbeikommenden Netzwerkverkehr mit. Der Inhalt der [[Datenpaket]]e wird mit charakteristischen Mustern von bekannten Angriffen verglichen – diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur [[Mustererkennung]] wird bei Snort der [[Aho-Corasick-Algorithmus]] verwendet.

Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.

Inzwischen gibt es für Snort einige tausend Signaturen – da sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden.

== Funktionsweise als Netzwerkanalysewerkzeug ==
Snort kann auch sehr gut bei der Netzwerkanalyse helfen. Man kann es als [[Sniffer]] ähnlich wie [[tcpdump]] den Netzwerkverkehr gefiltert ausgeben lassen, Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen.

Snort kann auch zur späteren Analyse einen Dialog zwischen Server und Client mitschneiden und die reinen Nutzdaten (Payload) als eine Art Kommunikationsprotokoll zusammenführen.

== Geschichte ==
Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma ''Sourcefire'', die neben der unter der [[GNU GPL]] stehenden Version auch eine kommerzielle Variante vertreibt, die zusätzliche Entdeckungs- und Analysemethoden bietet. Anfang Oktober 2005 versuchte [[Check Point]] ''Sourcefire'' zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der [[Bundesregierung der USA]].

Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines [[Pufferüberlauf]]s in Snort gefunden.

Das Maskottchen von Snort ist ein [[Ferkel]] mit großer, schnaubender (engl.: snort) Nase. Kein direkter Zusammenhang besteht mit dem Programm [[Airsnort]] – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Logo abgewandelt übernahm (das gleiche Schweinchen, jedoch mit Flügeln versehen).

== Weblinks ==
* [http://snort.org/ Homepage]
* [http://sourcefire.com/ sourcefire.com] - Hersteller von Snort
* [http://www.emergingthreats.net/ emergingthreats.net] - Community für Snort-Regeln
* [http://www.searchsecurity.de/themenbereiche/applikationssicherheit/security-tools/articles/120016/ Kostenloses IDS/IPS-Tool Snort im Test]
* {{Internetquelle
| hrsg = Linux New Media AG
| werk = ADMIN-Magazin
| autor = Chris Riley
| url = http://www.admin-magazin.de/content/das-snort-ids-erkennt-einbruchsversuche
| titel = Das Snort-IDS erkennt Einbruchsversuche
| zugriff = 2010-03-15
}}

=== Schnittstellen ===
* [http://sguil.sourceforge.net/ sguil.sf.net] - Tcl/Tk-Schnittstelle
* [http://www.activeworx.org/ IDS Policy Manager] - Verwalter für Regeln
* [http://dragos.com/cerebus/ dragos.com/cerebus] - ncurses-Browser für Snort-Logs
* [http://base.secureideas.net/ Basic Analysis and Security Engine] - Web-Frontend

== Literatur ==
* Kerry J. Cox, Christopher Gerg: ''Managing Security with Snort & IDS Tools''. 1st Edition, [[O'Reilly Verlag]] August 2004, ISBN 0-596-00661-6 [http://www.oreilly.com/catalog/snortids/ Leseprobe]
* [[Peer Heinlein]], Thomas Bechtold: ''Snort, Acid & Co.''. [[Open Source Press]], Juni 2004, ISBN 3-937514-03-1
* [[Ralf Spenneberg]]: ''Intrusion Detection und Prevention mit Snort 2 & Co.'' (mit CD-ROM). [[Addison-Wesley]], November 2004, ISBN 3-8273-2134-4 (Hier als PDF kapitelweise verfügbar: [http://www.opensource-training.de/buecher_new.php opensource-training.de])

[[Kategorie:Freie Sicherheitssoftware]]

[[ar:سنورت]]
[[en:Snort (software)]]
[[es:Snort]]
[[fi:SNORT]]
[[fr:Snort]]
[[hr:Snort]]
[[it:Snort]]
[[no:Snort]]
[[pl:Snort]]
[[pt:Snort]]
[[ru:Snort]]
[[ta:சுனோர்ட்]]
[[zh:Snort]]