Eindringlinge mit Snort 3 aufspüren

Die Fährte aufnehmen

von Thorsten Scherf

Snort ist ein Intrusion Prevention System, um Auffälligkeiten im Netzwerkverkehr zu identifizieren und Gegenmaßnahmen einzuleiten. Das Open-Source-Tool erfreut sich seit Jahren großer Beliebtheit und kommt mittlerweile auch in vielen IDS/IPS-Appliances zum Einsatz. Unser Workshop zeigt, wie Sie das Tool konfigurieren und welche Neuerungen das aktuelle Release 3 mitbringt.

Aus IT-Administrator 10/2022

Dass Hackerangriffe auf Unternehmen zunehmen und immer ausgefeilter werden, ist inzwischen eine Binsenweisheit. Das ändert aber nichts an der Tatsache, dass ... (mehr)

Anders als reine Intrusion Detection Systeme (IDS), die lediglich eine Protokollierung des Netzwerkverkehrs durchführen, verhindert ein Intrusion Prevention System (IPS) die Weiterleitung von Datenpaketen im Rahmen eines Angriffs und schützt somit aktiv vor Einbrüchen und Attacken auf schützenswerte Systeme. Hierfür muss das IPS natürlich Zugriff auf den kompletten Datenverkehr erhalten, der über einen Router oder Switch läuft. Eine IPS-Software befindet sich somit entweder direkt auf den Routern oder liest den Datenverkehr über den Monitoring-Port eines Switches mit. Hierfür kommt entweder eine dedizierte Hardware-Appliance, wie beispielsweise "Secure IPS" von Cisco [1], oder eine Software auf einem regulären Computersystem zum Einsatz, die den kompletten Netzwerkverkehr mitlesen kann. In diesem Workshop beleuchten wir das softwarebasierte Snort [2].

Erkennen von Angriffsmustern

Ein netzwerkbasiertes IDS/IPS versucht in der Regel, Angriffe und Einbruchsversuche anhand bestimmter Muster zu erkennen. Diese sind meist in umfangreichen Regelwerken oder Datenbanken hinterlegt. Da viele

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.