Software::Security
Einbruchserkennungssystem Snort 2.9.0 mit Datensammel-API DAQ
Das Snort-Team hat eine neue Version seines Einbruchs-Verhinderungs- und Erkennungssystems (IPS/IDS) Snort veröffentlicht. Snort überwacht Netzwerke, indem der Netzwerkverkehr in Echtzeit analysiert wird. Das Analysewerkzeug basiert auf einem Regelwerk und kann Puffer-Überläufe, heimliche Portscans, CGI-Attacken und OS-Fingerprint-Versuche erkennen.
In Snort 2.9 wurde die Inline-Installation des IPS verbessert. Das Inline-Deployment von Snort, das Datenströme analysiert, wurde um eine neue aktive API für Antwortpakete erweitert. Das Modul respond3 unterstützt die Syntax von resp und resp2 und kann zur Auswertung von Stream-, Respond- oder React-Paketen genutzt werden. Dank eines neuen Präprozessors kann Snort ein Paket wie der empfangende Host interpretieren. Eine Datensammel-API (DAQ) erlaubt es, als Abstraktionsebene Hilfaanwendungen wie libpcap, netfilterq, IPFW, und afpacket zum Erfassen von Hardware-Paketen zu integrieren und den Snort-Modus ohne Neukompilierung zwischen Passiv und Inline zu wechseln.
HTTP Inspect kann IP-Adressen aus X-Forwarded-For- und True-Client-IP-Header-Filtern auslesen und protokollieren. Die neue Regel »byte_extract« erlaubt es, Werte zu extrahieren und in nachfolgenden Regeloptionen für isdataat, byte_test, byte_jump und content distance/within/depth/offset zu verwenden. Der SMTP-Präprozessor wurde aktualisiert, so dass er jetzt MIME-Anhänge über verschiedenartige Pakete dekodieren kann. Der Paket-Dekodierer für IPv6 wurde dahingehend verbessert, dass er Anomalien erkennt, und eine neue Mustererkennung unterstützt Intels Quick Assist-Technologie, was eine schnellere Analyse zulässt.
Snort wurde 1998 vom Sourcefire-Gründer Martin Roesch entwickelt und begann sein Dasein als leichtgewichtiges IDS, das immer weiter ausgebaut wurde. Das IPS/IDS steht unter der GPLv2, die aktuelle Version 2.9 wird auf der Projektwebseite zum Download angeboten.
