Anwendungen von Snort
Snort läßt sich Dank „open Source“ für die verschiedensten Einsatzbereiche
konfigurieren und anpassen.
Echtzeitalamierung per SMS/Email
Durch die Verwendung eines speziellen Syslog-Daemons mit Script-Erweiterung
(syslog-ng) kann
z. B. ein kleines Filter-Script Snort-Alarme an den Administrator bzw. SMS-Gateway mailen.
Echtzeitreaktionen auf Alarme
Entweder durch Filter/Abwehr/Angriff-Script gespeist vom syslog-ng
oder z. B. für aktive Firewall Filter per Guardian (befindet sich im Verzeichnis contrib)
Weitläufige Netzwerküberwachung
Mehrere Snort-Sensoren, loggen auf einen zentralen Syslog- oder
Datenbank-Server (MySQL, PostgreSQL, unixODBC). Die Auswertung und Alarmierung der Angriffe kann
zentral erfolgen, und weitere (Web)Statistiken sind Dank PHP und SQL kein Problem.
http://www.incident.org/snortdb/
Spezialanwendungen durch eigene Regeln
Die Regelsprache von Snort ist relativ leicht verständlich. Eine Regel besteht aus zwei Teilen,
„Header“ und „Option“. Im Header stehen die Regelaktion, Protokoll, Quellen- und Ziel-Adresse, Netzmaske sowie
Quellen- und Ziel-Port.
Die Regeloption besteht aus der Alarmmeldung und aus Angaben nach welchen Mustern im Paket
gesucht werden soll.
Z. B.:
alert tcp any any -> 192.168.1.0/24 21 (content: "USER root"; nocase; msg: "FTP root user access attempt";)
Der Text bis zur ersten Klammer ist der Header, die Option steht in der Klammer. Die Wörter
vor dem Doppelpunkt in der Klammer sind die „Keywords“.
|
|
letztes Update 01.01.1970 Hinweise bitte an webmaster@bec.at