Snort
Da Security e-Book.
Esistono differenti IDS, molti dei quali sono software commerciali come RealSecure di ISS. Una delle migliori sonde IDS é Snort, un software OpenSource capace di analizzare e tenere traccia del traffico IP in tempo reale. Snort é in grado di effettuare un’analisi del protocollo, ricerca ed individuazione di determinati contenuti e può essere usato per individuare diversi tipologie di attacchi, quali buffer overflow, scansioni stealth, attacchi ai CGI, tentativi sul protocollo SMB di Windows e i tentativi di determinare il sistemi operativo del server. Snort usa un linguaggio flessibile per le proprie regole. Queste ultime descrivono il traffico che deve essere identificato o che deve essere lasciato passare. Questo software ha la possibilità di mandare allarmi attraverso syslog, un file di log separato, di integrarsi con database relazionali come MySQL, di inviare un messaggio Windows (WinPopup) o un programma fatto ad-hoc. Tutte le principali distribuzioni Linux hanno tra i loro pacchetti il programma Snort, tuttavia alcune piattaforme (ad esempio Solaris o AIX) necessitano dei sorgenti del programma per essere compilato. É possibile scaricare tali sorgenti dal suo sito ufficiale http://www.snort.org/.
Snort può essere usato in tre modalità: come un packet sniffer (come tcpdump o snoop), come un packet logger (scrive i pacchetti in transito in un log) o come vero e proprio Network Intrusion Detection System. Per informazioni più estese sul funzionamento di Snort, si faccia riferimento al manuale utente di Snort.
Indice |
Modalità sniffer
Per la modalità più semplice di sniffer é sufficiente eseguire Snort con l’opzione “-v”, che visualizza gli header dei pacchetti TCP/IP. Per visualizzare invece gli header dei pacchetti IP, TCP, UDP e ICMP é necessario invocarlo con l’opzione “-vd”. Con la modalità completa, ovvero con le opzioni “-vde”, é possibile visualizzare, oltre agli headers, anche i dati. Ad esempio:
/usr/local/sbin/snort -vde
Modalità packet logger
La modalità packet logger si attiva qualora si decida di salvare questi paccheti su disco. La modalità più semplice é quella di specificare una directory, attraverso l’opzione “-l”, dove verrano scritti i log. Ad esempio:
/usr/local/sbin/snort –vde –l /tmp/logs
É possibile limitare l’output dei log alla sola sottorete desiderata attraverso l’opzione “-h” come segue:
/usr/local/sbin/snort –vde –l /tmp/logs –h 192.168.0.0/24
Esiste un’altra opzione di Snort che permette di salvare i log in formato binario. L’opzione “-b” é utile in caso di analisi con un programma esterno (ad esempio tcpdump o ethereal):
/usr/local/sbin/snort –vde –l /tmp/logs –b
Modalità Network IDS
Per abilitare questa modalità, é necessario disporre di un file con le regole, di solito si tratta del file snort.conf. Per usare Snort in modalita NIDS é sufficiente eseguire il comando:
/usr/local/sbin/snort –d –l /tmp/logs –h 192.168.0.0/24 –c snort.conf
Snort ha numerose opzioni di configurazione, incluso ad esempio una configurazione ad alte performance.
Questa sezione sui sistemi IDS ha voluto sottolineare l’importanza di tali strumenti in determinati ambienti e vuole invogliare l’amministratore ad un maggiore approfondimento sull’argomento.
