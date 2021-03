Inhaltsverzeichnis Intrusion Detector Snort 3 im Test: Unerwünschte Gäste ausmachen Probleme des klassischen NIDS/NIPS-Ansatzes Protokolle automatisch im Blick Ausprobieren und Ausblick Artikel in iX 4/2021 lesen

Neben Suricata ist Snort das bekannteste Open Source Network Intrusion Detection/Prevention System (NIDS/NIPS). Schon lange arbeitet das Snort-Team an einer vollständig neuen, nun in C++ statt in C geschriebenen Version. Die erste Version veröffentlichten die Entwickler bereits 2008 als Beta (Snort Security Platform). Dabei portierten sie einzelne Features auch zu Snort 2 zurück. Nach weiteren 13 Jahren Entwicklung ist die Version 3 nun fertig.

Allerdings ist Snort nach wie vor lediglich die IDS/IPS-Engine. Für eine funktionsfähige Infrastruktur benötigen Nutzer auch Signaturen der Angriffe, eine Auswertung der Ergebnisse mit sinnvoller Darstellung und eine Verwaltungsoberfläche. Diese Komponenten sind nicht Bestandteil von Snort, sondern der wesentliche Mehrwert fertiger IDS/IPS-Pakete wie der Firepower-Produkte Ciscos. Allerdings existieren auch Open-Source-Lösungen, die bisher jedoch den Funktionsumfang der kommerziellen Pendants nicht erreichen. Die prominentesten Beispiele sind Security Onion, pfSense und OPNsense, Prelude-IDS und OSSIM.

1998 von Martin Roesch als einfacher Netzwerk-Sniffer gestartet, hat sich Snort zur NIDS-Referenz im Open-Source-Umfeld entwickelt. Ursprünglich wollte Roesch einen tcpdump-Ersatz entwickeln, dessen Ausgaben leichter menschenlesbar sein sollten. Zusätzlich sollte er auch unter Windows lauffähig sein. Mit einer Konfigurationsdatei konnten Anwender die auszugebenden Pakete definieren. Aus dieser Konfigurationsdatei entwickelte sich über die letzten 20 Jahre eine der mächtigsten IDS-Engines.