https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=SnortSnort - Versionsgeschichte2026-05-27T23:15:21ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Snort&diff=187200&oldid=previmported>SchlurcherBot: Bot: http → https2026-02-19T08:42:07Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>{{Infobox Software<br />
|Name = <br />
|Logo = <br />
|Screenshot = [[Datei:Snort ids console.gif|400px]]<br />
|Beschreibung = <br />
|Maintainer = <br />
|Hersteller = [[Cisco Systems]] (ab 2013; davor [[Sourcefire]])<br />
|AktuelleVorabVersionFreigabeDatum = <br />
|Betriebssystem = [[Plattformunabhängigkeit|plattformunabhängig]]<br />
|Erscheinungsjahr = <br />
|AktuelleVersion = <!-- Wikidata --><br />
|AktuelleVersionFreigabeDatum = <!-- Wikidata --><br />
|AktuelleVorabVersion = <br />
|Kategorie = [[Intrusion Detection System]]<br />
|Programmiersprache = [[C (Programmiersprache)|C]]<br />
|Lizenz = [[GNU General Public License|GPL]]<br />
|Deutsch = nein<br />
|Website = [http://snort.org/ snort.org]<br />
|Dateien = <br />
}}<br />
<br />
'''Snort''' ist ein [[Freie Software|freies]] [[Intrusion Detection System#Netzwerk-basierte IDS|Network Intrusion Detection System]] (NIDS) und ein [[Intrusion Prevention System|Network Intrusion Prevention System]] (NIPS). Es kann zum Protokollieren von [[IP-Paket]]en genauso wie zur Analyse von Datenverkehr in [[Internet Protocol|IP]]-Netzwerken in Echtzeit eingesetzt werden. Die Software wird überwiegend als Intrusion-Prevention-Lösung eingesetzt, um Angriffe unmittelbar ereignisgesteuert automatisch zu blockieren. Snort wurde ursprünglich von [[Martin Roesch]] entwickelt. Anschließend erfolgte die Weiterentwicklung bei seiner Firma [[Sourcefire]], welche im Oktober 2013 von Cisco übernommen wurde. Im Jahr 2009 wurde Snort in die ''„Open Source Hall of Fame“'' von [[InfoWorld]] als eine der besten Vertreter freier [[Open Source|Open-Source]]-Software („{{lang|en|greatest open source software of all time}}“)<ref>{{Internetquelle | url=http://www.infoworld.com/d/open-source/greatest-open-source-software-all-time-776?source=fssr | titel=The Greatest Open Source Software of All Time | sprache=englisch | datum=2009-08-17 | abruf=2016-01-02}}</ref> aufgenommen. Das Maskottchen von Snort ist ein [[Hausschwein|Ferkel]] mit großer, schnaubender (englisch ''{{lang|en|snort}}'') Nase.<br />
<br />
== Funktionsweise ==<br />
Snort „liest“ direkt an der Netzwerkhardware den gesamten vorbeikommenden Netzwerk-Datenverkehr mit. Der Inhalt des Stroms an [[Datenpaket]]en wird mit charakteristischen Mustern von bekannten Angriffen verglichen. Diese Muster werden allgemein Signaturen genannt, die bei Snort in „Rules“ (Regeln) festgehalten werden. Zur [[Mustererkennung]] wird bei Snort der [[Aho-Corasick-Algorithmus]] verwendet.<br />
Inzwischen gibt es für Snort einige tausend Signaturen. Da international sehr häufig neue Angriffsmethoden auf Computer und Netzwerke bekannt werden, sollte die Sammlung der Signaturen (ähnlich wie bei Virenscannern) regelmäßig aktualisiert werden.<br />
Snort wird allgemein genutzt, um aktiv Netzwerkverkehr zu blockieren oder passiv verschiedene Formen eines Angriffs zu erkennen. Snort lässt sich auch mit anderer Software kombinieren, wie zum Beispiel [[BASE (Netzwerk)|BASE]] („{{lang|en|Basic Analysis and Security Engine}}“), [[Sguil]], [[Open Source Security Information Management|OSSIM]], [[SnortSnarf]] und [[Snorby]] zur bequemen Steuerung der Software und übersichtlichen grafischen Darstellung von möglichen Einbruchsdaten.<br />
<br />
=== Netzwerk-Basierte IDS (NIDS) ===<br />
Snort kann eingesetzt werden, um bekannte Angriffe auf die [[Sicherheitslücke|Schwachstellen]] von Netzwerksoftware zu entdecken. Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um passiv verschiedene Formen eines Angriffs wie zum Beispiel einen [[Pufferüberlauf]], [[Portscan]]s, Angriffe auf Web-Anwendungen oder [[Server Message Block|SMB]]-Probes zu erkennen.<br />
Möglichkeiten für Angriffe sind gegeben durch so genannte [[Exploit]]s, oder eigens dafür bestimmte Programme, wie etwa Internet-[[Computerwurm|Würmer]] (z.&nbsp;B. [[Sasser]] oder [[W32.Blaster]]) die ihrerseits wiederum ein [[Backdoor]]-Programm (ursprünglich des Administrators Hintertüre bzw. der Wartungszugang) beinhalten können (bzw. selber eines sind) durch das der eigentliche Angriff schlussendlich erfolgt. Bei einem erkannten Angriff kann zum Beispiel ein Alarm ausgelöst und die Netzwerkpakete zur späteren Analyse oder Beweissicherung mitgeschrieben werden.<br />
<br />
=== Network Intrusion Prevention System (NIPS) ===<br />
Snort führt Protokollanalysen durch, sucht und vergleicht Inhalte, um aktiv Netzwerkverkehr zu blockieren.<br />
Mit [[Patch (Software)|Patches]] für den Snort-Quellcode von „Bleeding Edge Threats“ ist die Nutzung von [[ClamAV]] zum Virenscan im [[Datenstrom]] möglich. Zusätzlich kann der Datenstrom mittels [[SPADE]] in den [[OSI-Modell|Netzwerklayern drei und vier]] auf Netzwerk-Anomalien (einschließlich historischer Daten) gescannt werden. Derzeit (2010/2011) hat es jedoch den Anschein, dass diese Patches nicht länger gepflegt werden.<br />
<br />
=== Netzwerkanalysewerkzeug ===<br />
Snort kann auch sehr gut bei der Netzwerkanalyse durch den Netzwerkadministrator helfen. Man kann es als [[Sniffer]], ähnlich wie [[tcpdump]], den Netzwerkverkehr gefiltert ausgeben lassen. Snort verfügt aber über mehr Optionen und kann tcpdump komplett ersetzen. Snort kann auch zur späteren Analyse einen Netzwerkdialog zwischen Server und Client mitschneiden und die reinen [[Nutzdaten]] (Payload) als eine Art Kommunikationsprotokoll zusammenführen.<br />
<br />
=== Bedeutung im Security Incident Information Sharing (SIIS) ===<br />
Bei IT-Spionage verwenden Täter zwar häufig Standard-Werkzeuge, wandeln diese aber vor dem Einsatz gegen ein Opfer leicht ab, um nicht von bereits veröffentlichten Signaturen von IPS- und Antiviren-Anbietern erkannt zu werden. Erkennt das Opfer den Angriff dennoch und lässt von seinem Anbieter eine Signatur erstellen, so veröffentlicht dieser die Signatur. Die Täter werden so gewarnt und können anhand der Signatur unter bestimmten Umständen sogar erkennen, welches Opfer ihr Werkzeug entdeckt hat.<br />
<br />
In vielen Ländern tauschen daher Behörden, bestimmte Industriebereiche aber auch NGOs und karitative Einrichtungen, die<br />
typische Ziele von IT-Spionage sind, im Rahmen von SIIS-Projekten Informationen über Sicherheitsvorfälle untereinander aus. Da SNORT-kompatible Regeln zum De-facto-Standard geworden sind, ist dies ebenfalls zum Standardformat beim Austausch von IPS-Signaturen geworden.<br />
<br />
Kommerzielle Anbieter und Behörden, die Aufgaben innerhalb der Spionageabwehr wahrnehmen, haben sich ebenfalls auf SNORT-kompatible Signaturen spezialisiert.<br />
<br />
SNORT selbst hat den Vorteil, dass Ziele, die aggressiv ausgespäht werden, es zum Einsatz bringen können, ohne einen Beschaffungsprozess anzustoßen. Letzteren können Täter leicht überwachen und so feststellen, welche Werkzeuge ihr Opfer zur Abwehr einsetzt um sich anzupassen. Typischerweise wird in solchen Fällen SNORT passiv eingesetzt. Die Täter wissen daher nicht, ob und woran ihre Bewegungen im Opfernetz erkannt werden. Ihr Verhalten kann so detailliert beobachtet werden und das Opfer kann die von ihnen aufgebaute Infrastruktur identifizieren und so eine konzentrierte<br />
Aktion vorbereiten, um sie, ihre Werkzeuge und bevorzugten Verbreitungsmethoden auszuhebeln und zu entfernen.<br />
<br />
== Geschichte ==<br />
Snort wurde zuerst 1998 in einer Unix-Version veröffentlicht. Sein Programmierer Martin Roesch gründete später die Firma ''Sourcefire''. Neben der unter der [[GNU GPL]] stehenden Version von Snort bietet Sourcefire auch eine kommerzielle Variante, die zusätzliche Entdeckungs- und Analysemethoden bietet. Sourcefire vertreibt Enterprise-Lösungen für das Network Security Monitoring (NSM) mit speziell entwickelter Hardware und kommerziellem Support. Anfang Oktober 2005 versuchte [[Check Point]] mit internationalem Hauptsitz in [[Tel Aviv]], [[Israel]], ''Sourcefire'' zu übernehmen. Der Kaufpreis wurde mit etwa 225 Millionen Dollar angegeben. Der Kauf scheiterte Anfang 2006 wegen des Widerstands der [[Bundesregierung der USA]]. Im Oktober 2013 gab das amerikanische Unternehmen Cisco Systems bekannt, dass es die Übernahme von Sourcefire abgeschlossen hat.<ref>''[https://www.cisco.com/web/about/ac49/ac0/ac1/ac259/sourcefire.html Cisco schließt Übernahme von Sourcefire ab]'' (englisch)</ref><ref>[https://www.golem.de/news/sourcefire-cisco-uebernimmt-anbieter-von-intrusion-detection-system-snor-1307-100586.html Sourcefire: Cisco kauft Anbieter von Intrusion Detection System Snort] – ''[[Golem.de|Golem]]'', am 24. Juli 2013</ref><ref>[https://www.admin-magazin.de/News/Cisco-kauft-Sourcefire Cisco kauft Sourcefire] – ''[[Admin-Magazin]]'', am 25. Juli 2013</ref><br />
<br />
=== Sicherheitsgeschichte ===<br />
Auch Snort selbst ist nicht von Sicherheitslücken verschont geblieben. Beispielsweise wurden im Frühjahr 2003 zwei Möglichkeiten zur Erzeugung eines [[Pufferüberlauf]]s in Snort gefunden.<br />
<br />
=== Airsnort-Logo ===<br />
Kein direkter Zusammenhang besteht mit dem Programm [[Airsnort]] – trotz des ähnlichen Namens und der Tatsache, dass Airsnort das Snort-Logo abgewandelt übernahm: das gleiche Schweinchen, jedoch mit Flügeln versehen.<br />
<br />
== Siehe auch ==<br />
* [[Stateful Packet Inspection]]<br />
* [[Contentfilter]]<br />
* [[pfSense]]<br />
* [[OPNsense]]<br />
<br />
== Literatur ==<br />
* [[Ralf Spenneberg]]: ''Intrusion Detection und Prevention mit Snort 2 & Co.'' (mit CD-ROM). [[Addison-Wesley]], November 2005 & 20. Dezember 2007, ISBN 3-8273-2134-4.<br />
* Brian Caswell, Jay Beale, Andrew Baker: ''Snort Intrusion Detection and Prevention Toolkit''. (Jay Beale’s Open Source Security mit CD-ROM), Elsevier Science & Technology; 17. Dezember 2006, ISBN 978-1-59749-099-3.<br />
* Kerry J. Cox, Christopher Gerg: ''Managing Security with Snort & IDS Tools''. 1st Edition, [[O’Reilly Verlag]] August 2004, ISBN 0-596-00661-6 [https://www.oreilly.com/catalog/snortids/ Leseprobe]<br />
* [[Peer Heinlein]], Thomas Bechtold: ''Snort, Acid & Co.'' [[Open Source Press]], Juni 2004, ISBN 3-937514-03-1.<br />
<br />
== Weblinks ==<br />
* [http://snort.org/ Homepage]<br />
* [http://sourcefire.com/ sourcefire.com] – Hersteller von Snort<br />
* [https://www.emergingthreats.net/ emergingthreats.net] – Community für Snort-Regeln<br />
* [https://www.security-insider.de/themenbereiche/applikationssicherheit/security-tools/articles/120016/ Kostenloses IDS/IPS-Tool Snort im Test]<br />
* {{Internetquelle<br />
|autor=Chris Riley<br />
|url=http://www.admin-magazin.de/content/das-snort-ids-erkennt-einbruchsversuche<br />
|titel=Das Snort-IDS erkennt Einbruchsversuche<br />
|werk=ADMIN-Magazin<br />
|hrsg=Linux New Media AG<br />
|abruf=2010-03-15}}<br />
<br />
=== Schnittstellen ===<br />
<br />
* Snorby – [https://github.com/Snorby/snorby/wiki a new and modern Snort IDS front-end] – [[Ruby on Rails]] Web-[[GUI|Frontend]]<br />
* [https://sguil.sourceforge.net/ sguil.sf.net] – Tcl/Tk-Schnittstelle<br />
* [http://www.activeworx.org/ IDS Policy Manager] – Verwalter für Regeln<br />
* [http://dragos.com/cerebus/ dragos.com/cerebus] – ncurses-Browser für Snort-Logs<br />
* [http://base.secureideas.net/ Basic Analysis and Security Engine] – Web-Frontend<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Intrusion Detection/Prevention]]<br />
[[Kategorie:Freie Sicherheitssoftware]]<br />
[[Kategorie:Unix-Software]]<br />
[[Kategorie:IT-Sicherheit]]</div>imported>SchlurcherBot