Snort 2.9.0

6. Oktober 2010 | Von | Kategorie: Firewalling | VPN | IDS

Snort 2.9.0 ist schließlich freigegeben worden. Im Gegensatz zu meinen Erwartungen bei der neuen Versionsnummer sind die tatsächlichen Neuerungen bescheiden. Neben einigen Änderungen in einigen Befehlen und Präprozessoren sind es vor allem zwei Funktionen, die interessant sind:

1. Neue Response API

Snort konnte immer schon aktiv auf Angriffe reagieren. Dies war auch bei dem Betrieb als ein passives IDS möglich. Hierzu hat Snort bei einem Angriff TCP-RST oder ICMP-Port-Unreachable Pakete gefälscht und damit versucht, die Verbindungen, über die gerade die Angriffe erfolgen zu beenden. Eine ernsthafte Reaktion ist damit jedoch nicht möglich. Diese Schnittstelle wurde jedoch intern komplett überarbeitet und verbessert.

2. Data Aquisition API

Dies ist interessanter. Die DAQ wurde von dem Snort 3.0 Projekt übernommen. Hiermit ist es möglich ein kompiliertes Snort-Binary ohne eine erneute Kompilierung als IDS passiv oder IPS inline zu betreiben. Die DAQ-API erlaubt nun die Verwendung externer Module und Bibliotheken für die Bereitstellung der zu analysierenden Pakete. Speziell ist es damit auch möglich ein Inline-IDS ohne IPtables aufzubauen. Hierzu wird das AFPACKET Daq verwendet. Dies verspricht auch eine bessere Performanz. Dies wird sich aber noch in Test bewahrheiten müssen.

Für die Verwendung im Inline-Mode reicht nun ein:

ifconfig eth0 promisc up
ifconfig eth1 promisc up
snort --daq afpacket -i eth0:eth1 -Q -c snort.conf

Post to Twitter Post to Yahoo Buzz Post to Delicious Post to Digg Post to Facebook Post to Ping.fm Post to Reddit

Tags: | | |

Schreibe einen Kommentar

Fühle dich ermuntert einen Kommentar, Anmerkungen, Hinweise oder deine Ideen zum Thema zu hinterlassen. Wir freuen uns über deine Rückmeldung.