Snort
Snort è un software libero per l'analisi dei pacchetti all'interno di una rete. Nel campo della sicurezza informatica è molto utilizzato come Intrusion detection system.[2]
Snort software | |
---|---|
Snort | |
Genere | Sicurezza informatica |
Sviluppatore | Sourcefire |
Ultima versione | 3.1.56.0[1] (23 febbraio 2023) |
Sistema operativo | Multipiattaforma |
Linguaggio | C |
Licenza | GNU General Public License (licenza libera) |
Sito web | www.snort.org/ |
È distribuito sotto i termini della licenza libera GNU General Public License.[2]
Descrizione
modificaSnort è un software leggero e performante basato sulle librerie libpcap.[3] Esegue in tempo reale l'analisi del traffico delle reti IP e grazie a questo riesce ad individuare potenziali minacce ed intrusioni. Il controllo del traffico di rete avviene a diversi livelli quali:
- Analisi del protocollo.
- Analisi del contenuto.
- Confronto dei contenuti.
Alcune delle minacce che possono essere intercettate e bloccate sono:
Il funzionamento avviene impostando il programma in una delle sue modalità principali:
- Sniffer: il programma legge i pacchetti di rete e li mostra sulla console. Si può dire che è simile al funzionamento di tcpdump.
- Packet Logger: il programma esegue il log dei pacchetti di rete su disco. In pratica è una modalità simile a quella Sniffer ma che presenta molte più opzioni.
- NIDS: il programma analizza il traffico di rete e sulla base di regole definite dall'utente scattano dei particolari allarmi.
- Analisi forense: come la modalità NIDS ma in input riceve un dump di traffico di rete.
Le "regole personalizzate" da inserire all'interno del programma sono molto diffuse ed utilizzate. Molte, già scritte e testate, sono reperibili online a molti indirizzi di comunità di sicurezza informatica[4]
Gli output dell'analisi fornita dal programma possono essere reindirizzati ed organizzati in diversi formati quali:
- Unified format (formato di Snort);
- XML;
- Conservazione in basi di dati quali MySQL, Oracle, PostgreSQL;
- Formato tcpdump/libcap;
- ASCII;
- WinPopup (SMB);
- Log di sistema.
Plugin
modificaUna delle maggiori potenzialità di Snort è quella di poter essere ampliato attraverso plug-in. Molti sono i plug-in esistenti e numerosi sono stati sviluppati da terze parti. Le funzionalità aggiuntive sono tra le più disparate quali interfacce di amministrazione, strumenti di report, strumenti di analisi dei log, ecc. In generale, i plug-in sono classificati in tre categorie:
- Preprocessori: esaminano i pacchetti prima che vengano identificati.
- Rilevamento: eseguono dei controlli su alcuni campi o aspetti particolari dei pacchetti. Alcuni permettono di inserire nuove tipologie di regole che si basano su informazioni statistiche e non solo sul confronto di contenuti ed intestazioni.
- Output: trasformano i dati di analisi in svariate forme rappresentative o li categorizzano in svariati log.
Alcuni dei plug-in più conosciuti sono:
- Sguil (software libero)
- Sourcefire (software proprietario, prodotto dalla compagnia che sviluppa Snort)
- Base (software libero, non più mantenuto)
Note
modifica- ^ "Snort 3.1.56.0 Released", su github.com.
- ^ a b
(EN) Snort.Org. URL consultato il 24 febbraio 2016.«What is Snort? It is an open source intrusion prevention system capable of real-time traffic analysis and packet logging»
- ^ (EN) tcpdump & libpcap, su tcpdump.org. URL consultato il 18 luglio 2017.
- ^ (EN) Sito con file di configurazione per Snort 1.9 e 2.0 già preparati e commentati.
Bibliografia
modifica- (EN) Northcutt, Cooper, Fearnow e Frederick, Intrusion Signatures and Analysis, ISBN 0752064710639.«Chapter 1 introduces the reader to Analysis of Logs (including Snort, Tcpdump, and Syslog), IDS, and Firewalls.»
Voci correlate
modificaAltri progetti
modifica- Wikibooks contiene testi o manuali su Snort
- Wikimedia Commons contiene immagini o altri file su Snort
Collegamenti esterni
modifica- (EN) Sito ufficiale, su snort.org.
- Snort, su packages.debian.org.
- Repository sorgenti di Snort, su github.com.
- (EN) Guide all'uso di Snort, su snort.org. URL consultato il 15 giugno 2007 (archiviato dall'url originale il 22 giugno 2007).
- (EN) Snort Virtual Machine, su internetsecurityguru.com.
- (IT, EN) Snortattack Snort guide, tips and tricks, su snortattack.org. URL consultato il 9 giugno 2008 (archiviato dall'url originale il 9 maggio 2008).