Unerwünschte Gäste mit Snort 3 ausmachen
Spürnase
Nach vielen Jahren Stille meldet sich das Snort-Entwicklerteam mit einem komplett renovierten Paket zurück. Snort 3 bietet eine überarbeitete Architektur und eine einfachere Konfiguration. iX zeigt, was sich unter der Haube getan hat.
Neben Suricata ist Snort das bekannteste Open Source Network Intrusion Detection/Prevention System (NIDS/NIPS). Schon lange arbeitet das Snort-Team an einer vollständig neuen, nun in C++ statt in C geschriebenen Version (siehe Kasten „Ein bisschen Historie“). Die erste Version veröffentlichten die Entwickler bereits 2008 als Beta (Snort Security Platform). Dabei portierten sie einzelne Features auch zu Snort 2 zurück. Nach weiteren 13 Jahren Entwicklung ist die Version 3 nun fertig.
Allerdings ist Snort nach wie vor lediglich die IDS/IPS-Engine. Für eine funktionsfähige Infrastruktur benötigen Nutzer auch Signaturen der Angriffe, eine Auswertung der Ergebnisse mit sinnvoller Darstellung und eine Verwaltungsoberfläche. Diese Komponenten sind nicht Bestandteil von Snort, sondern der wesentliche Mehrwert fertiger IDS/IPS-Pakete wie der Firepower-Produkte Ciscos. Allerdings existieren auch Open-Source-Lösungen, die bisher jedoch den Funktionsumfang der kommerziellen Pendants nicht erreichen. Die prominentesten Beispiele sind Security Onion, pfSense und OPNsense, Prelude-IDS und OSSIM.