Snort

Snort – один из самых известных сетевых IDPS, используемый в более чем половине компаний из Fortune 500. Сигнатуры открыты и используются во многих сетевых системах обнаружения вторжений. Также используется во многих гибридных IDS (Prelude, OSSIM) и поддерживается многими системами мониторинга безопасности (Cisco Secutity MARS).

Snort был создан Мартиным Рошем (Martin Roesch), затем основавшим компанию Sourcefire, которая продолжает его разработку и подерживает коммерческую аппаратную IPS на базе Snort. Sourcefire интегрирована с комплексной системой защиты Sourcefire 3D System – корпоративной системой управления угрозами, которая содержит также систему контроля доступа и различные инструменты мониторинга и анализа. Snort можно использовать бесплатно. Система работает в нескольких режимах:

• режим сниффера – пакеты считываются из сети, информация о них выводится в потоковом режиме на консоль,
• режим журналирования – пакеты записываются на диск,
• режим NIDS – пакеты анализируются в соответствии с правилами, определенными пользователем,
• режим встраивания – пакеты принимаются не через библиотеку libpcap (позволяет осуществлять низкоуровневое наблюдение за пакетами), а через iptables и могут быть отброшены в соответствии с правилами.

Дополнительные функциональные модули Snort:

• Basic Analysis and Security Engine, BASE – веб-интерфейс для анлиза и просмотра логов
• Sguil – TCL/TK интерфейс для мониторинга сетевой безопасности
• RazorBack – реализация оповещения об обнаруженных сигнатур в реальном времени
• ClamAV – потоковый антивирусный сканер
• IDS Policy Manager – управление правилами Snort

Плюсы Snort – широкие возможности от использованных дополнительных модулей и открытость сигнатур. Минусы – сложность настройки при отсутствии удобной документации.

Snort – это фактический стандарт для предотвращения вторжений, разработанный Sourcefire, который насчитывает более 3,7 миллионов загрузок и более 225 000 зарегистрированных пользователей. Snort используют по всему миру чаще, чем любую другую технологию предотвращения вторжений. За последние десять лет сообщество Snort выросло в целую экосистему, пройдя путь от групп пользователей до разработки учебников и курсов, которые изучают в сотнях колледжей и университетов. Snort лучше известен специалистам по ИТ-безопасности, чем любая другая IPS-технология на рынке. Заказчики Sourcefire используют преимущества расширенной экосистемы Snort.

Snort 2.9.0

Наиболее важные улучшения:

• Режим предотвращения атак (IPS) включает расширение возможностей подсистемы Stream (обработчик/сборщик TCP-потоков для контроля за отдельными сессиями) для работы в активном inline-режиме (snort выступает в роли шлюза и позволяет принимать решения о дальнейшем прохождении пакетов в момент их получения, а не на основе пассивного анализа трафика). Реакция для всех пакетов теперь задается через единый API, поддерживающий модули Stream, Respond и React. Добавлен новый модуль реакции - respond3, поддерживающий синтаксис как модуля resp, так и resp2, включая возможность блокирования и в конфигурациях с пассивным анализом трафика. В случае, когда Snort запущен в активном inline-режиме, теперь используется новый препроцессор для нормализации пакетов, позволяя интерпретировать пакеты тем же способом, что и получающий эти пакеты хост;
• Задействование модуля DAQ (API для сбора данных, Data Acquisition API), который определяет множество разных методов доступа к получению пакетов, таких как libpcap, netfilterq, IPFW и afpacket. При использовании libpcap теперь требуется как минимум версия 1.0 данной библиотеки. Код DAQ может быть обновлен независимо от Snort, так как теперь является независимым модулем.
• Обновлен код инспектирования HTTP-трафика (HTTP Inspect), который теперь может извлекать и использовать IP-адреса из HTTP-заголовков X-Forward-For и True-Client-IP;
• Новая опция 'byte_extract' позволяет использовать извлеченные в текущем правиле значения внутри следом идущих опций isdataat и byte_test, byte_jump, а также в содержимом distance/within/depth/offset;
• В SMTP-препроцессоре реализована поддержка декодирования больших MIME-вложений, требующим передачи более одного сетевого пакета;
• Возможность тестирования правил блокирования пакетов. В режиме Inline Test Mode пакеты не отбрасываются, а только отражаются в логе как подлежащие блокировке;
• Новые опции правил для декодирования и инспектирования base64-блоков данных;
• Улучшена работа кода по декодированию IPv6-пакетов с целью улучшения определения аномалий;
• Добавлен пример создания приложений для обработки данных формате unified2, используемом для компактного хранения логов Snort;
• Добавлен новый обработчик шаблонов, поддерживающий задействования аппаратных акселераторов, совместимых с Intel Quick Assist Technology, для ускорения сопоставления масок.

Snort версии 2.9.1 RC.

Новая версия система Snort обладает препроцессором оценки репутаций IP адресов, который уже получил множество положительных отзывов от пользователей, испытавших Snort версии 2.9.1 RC.

• Новый препроцессор SIP

Препроцессор SIP имеет новые функции предупреждения о следующих видах аномалий:

• • Недопустимая версия SIP
  • Неизвестный метод SIP
  • Несоответствие методу SIP
  • Отсутствие заголовка пакета данных

• Новые препроцессоры POP3 и IMAP для декодирования вложений электронной почты в форматы Base64, Quoted Printable и UUENCODE
• Добавлена ​​поддержка для чтения больших файлов PCAP
• Новый препроцессор оценки IP репутации
• Новый препроцессор dcerpc2
• Создание отчетов по полученным постовым вложениям и адресам получателей
• Прямой доступ к возможностям декодирования GZIP
• Несколько исправленных ошибок в протоколе Stream5

См. также

• Системы обнаружения и предотвращения вторжений
• OSSEC
• OSSIM

Ссылки

• Официальный сайт