Snort: Van licht- tot zwaargewicht
Het open source programma Snort wordt als de de facto standaard voor intrusion detection/prevention gezien. Meer dan 100.000 bedrijven zouden het IDS/IPS gebruiken voor het realtime analyseren van netwerkverkeer.
Eind 1998 verscheen de eerste versie van Snort, release 0.96, in een weekend geschreven door Martin Roesch. Deze versie bevatte 1200 regels code, en het begon als een "lichtgewicht" intrusion detection technologie, die commerciele systemen op veel vlakken voor zich moest dulden. Door de jaren heen ontwikkelde het programma zich tot de standaard op IDS/IPS gebied en beschikt het over een rijke feature set.
Roesch wilde oorspronkelijk met Snort een tool ontwikkelen voor het analyseren van zijn thuisverkeer. Verder was het ook een "learning tool" voor libpcap en een debugger voor service simulators die "Marty" voor een honeypot systeem aan het ontwikkelen was. De eerste versie was alleen een sniffer, zonder rules. De rules werden begin 1999 geimplementeerd. Een jaar na de release, in december 1999, verscheen versie 1.5 die modulair van opzet was. Het gebruikte dezelfde architectuur die nog steeds gebruikt wordt.
In januari 2001 richtte Roesch het bedrijf Sourcefire op. Dit bedrijf verkocht appliances die op Snort draaiden. Snort 1.7 was de laatste versie van de tool voordat er "full time" aan gewerkt werd. Deze verie nam het in een test van Network Computing op tegen 9 commerciele IDS oplossingen, waarbij Snort op de derde plaats eindigde.
Inmiddels is Snort voorzien van "anomoly detection" en 3000 detectie rules. Het programma wordt 12.000 - 15.000 keer per week gedownload, en voor de toekomst wil men meer applicatielagen voor analyse toevoegen, zoals SMTP/POP/IMAP, DCERPC, SNMP, Telnet/FTP.
Snort onder Windows
Hoewel Snort vooral op Linux en BSD machines wordt gebruikt, is het ook mogelijk om het IDS/IPS op een Windows machine te draaien. Er is een speciale Win32 installer te downloaden. De volgende guides beschrijven hoe het IDS op een Windows machine geinstalleerd moet worden:
Algemene artikelen en documenten
Presentatie over Snort
Security in Snort
Snort is bedoeld om binnendringers te detecteren en hiervoor te waarschuwen, toch wordt er zo nu en dan een lek in het programma gevonden, met soms zeer vervelende gevolgen. Het meest recente lek zorgde ervoor dat het Internet Storm Center zelfs de kleurcode "geel" gaf. Door de kwetsbaarheid kon een aanvaller een denial of service veroorzaken of een kwetsbaar systeem overnemen. Een ander probleem was dat het lek erg makkelijk te misbruiken was en in korte tijd verschenen er verschillende exploits.
Snort goes commercieel
Op 6 oktober maakte Martin Roesch bekend dat Sourcefire was overgenomen door firewall en security appliance aanbieder Check Point. De overname zou voor eindgebruikers geen gevolgen hebben, want Snort zal ook in de toekomst voor deze groep gratis blijven. Men zal de Snort engine onder de GPL blijven ontwikkelen en verspreiden. Ook zal men het programma zelf en de documentatie verbeteren zodat Snort voorop kan blijven lopen, aldus Roesch, die tevens de gemeenschap bedankte voor hun steun en inzet betreffende het Snort project.
Update: tekst aangepast
Hoewel je middels snort_inline in combinatie met iptables wel wat kan doen raad ik het niet aan.. Overigens is het dan iptables die iets tegenhoud (op basis van snort rules)..
SnortShorewall: Dit programma kan ip's dynamisch blokkeren
dmv iptables (shorewall) en het in de gaten houden van de
snort logfiles.
Werk overigens alleen als je de 'shorewall' frontend voor
iptables gebruikt
SnortShorewall:
http://linux-bsd-central.com/index.php/content/view/15/
geanalyseerd hebben zijn we er achter gekomen dat het nog
steeds potentie heeft maar er nog aardig wat aan de opzet
rammelt.
Zo zal het het komende jaar absoluut geen portknocking als
zodanig kunnen herkennen, zijn er nog aardig wat punten waar
nog steeds geen officiele rules voor verschenen zijn, maar
erger, er is nog steeds geen goede instantie die op een
betrouwbare manier kan zorgen dat je snel en correcte
detectie mogelijkheden krijgt. De ontwikkeling van rules van
Snort's sourcefire zijn door mist omgeven. Waar ze op
baseren dat rules worden gemaakt en correct zijn wensen ze
niet te zeggen. Je moet er als klant maar op vertrouwen dat
je waar voor je geld krijgt, als duurt het soms dagen
voordat er een rule vrijgegeven wordt voor een nieuwe aanval.
Ter vervanging zijn er oa bleedingsnort rules, die zeer veel
sneller, en gratis, rules leveren. Maar daarbij zitten bijna
geen garanties dat ze het systeem niet negatief beinvloeden,
of te makkelijk false positives of false nagatives opleveren.
Eigenlijk kan van alle leveranciers gezegd worden dat je de
rules nooit zomaar kan vertrouwen en zeker niet per direct
op je systeem moet toepassen als ze vrijgegeven worden.
Altijd eerst testen. Beschikbaarheid, integriteit en
betrouwbaarheid moet je zo veel mogelijk kunnen garanderen
met beveiliging, ook met detectiemiddelen als snort.
regels zelf, net als bij Nessus. Reken er maar niet op dat
je in de toekomst de rules nog gratis zal kunnen blijven
krijgen. Daar wordt dus weer een 'open source' project
gekaapt door de commercie, want met een engine alleen ben je
natuurlijk niks..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
