Detektive fürs LAN: Intrusion Detection-Systeme im Test

Snort war anfänglich als Open Source-IDS für Linux und ähnliche Systeme ausgelegt und ist jetzt sogar als Win32-Binary-Version erhältlich. Diese Version wurde im Test auf einen Windows 2000-Rechner heruntergeladen. Zur Installation ist außerdem Winpcap v2.3 (die Windows-Library zur Paket-Überwachung) erforderlich. Die Win32-Version von Snort funktioniert ähnlich wie die Linux-Version mit Kommandozeilen. Es empfiehlt sich jedoch, Snort in einer Linux-Umgebung zu belassen.

Im Test wurde Snort in einer Slackware 9.1-Umgebung installiert. Die Installation der Linux-Version dauerte etwas länger als die des Win32-Pakets, hauptsächlich, weil sie aus dem Quellcode kompiliert und installiert werden musste. Vor der Installation von Snort muss zudem Libpcap 0.8.3 installiert werden.

Nach Abschluss der Installation lässt sich Snort im Grundmodus problemlos handhaben, wobei der Administrator festlegen kann, welche Daten aufgezeichnet werden sollen und wo diese zu speichern sind. Doch dies sind nur die Grundfunktionen. Snort ist ein vollständig regelbasiertes IDS, das zum Zeitpunkt des Tests 2427 vordefinierte Regeln umfasste. Bei dieser Auswahl findet sich für alle Ansprüche etwas. Die Begleitdokumentation für die meisten Regeln ist gut erklärt, so dass Administratoren die Quellen potenzieller Angriffe erkennen können.

Snort ist nicht unbedingt als Einzellösung gedacht. Während das Programm die Anwendung der Regeln überwacht und Daten aufzeichnet, stehen zahlreiche Add-On-Anwendungen wie Barnyard, Log Hog, Snort Sentry und Acid sowie unzählige weitere Tools, Benutzerschnittstellen und Front-Ends zur Verfügung. Es gibt auch ein Plugin für die Webmin-Managementkonsole. Diese Tools helfen bei Aufgaben wie Konfiguration, Auslagerung der Datenverwaltung, Protokoll-Überprüfung, Berichterstellung und Auswertung der aufgezeichneten Daten.

Die Lösung mag zwar nicht jedermanns Geschmack sein, sie ist jedoch auf jeden Fall besser als gar kein IDS. Snort eignet sich ideal zur Überwachung des Traffics an einzelnen Ports im Netzwerk. Es kann aber auch als tragbares Netzwerküberwachungstool auf einem Notebook oder älteren Systemen dienen, für die Diagnose, oder um intermittierenden Traffic zu überwachen oder auszuwerten. Auf der Website von Snort wird bereits ein Upgrade des Pakets durch IPS-Funktionen angekündigt.