SNORT è un applicativo open source con funzioni di tipo IDS distribuito con la licenza GPL.
Intrusion Detection Systems Snort.
L'IDS viene installato collegando una o più sonde configurate per analizzare ogni pacchetto che circola nella rete, garantendo un ottimo punto di osservazione su tutti i movimenti nella nostra rete:
- analizza i pacchetti che transitano in rete, confrontandoli con un database di firme di attacchi;
- impara a riconoscere nuovi attacchi, introducendo nuove firme riconosciute come attacchi;
- verifica i protocolli utilizzati dai pacchetti, in modo da riconoscere eventuali anomalie nel traffico;
- rileva l'attività dei port scan, "esplorazione" che precede generalmente un attacco;
- segnala tutte le possibili minacce identificate da queste attività di controllo.
Requisiti hardware.
Per implementare Snort in una rete e realizzare un buon sistema di intrusion detection è opportuno disporre di 2 macchine, ciascuna dotata di due schede di rete e un hub. La prima macchina funzionerà da sensore, l’altra verrà utilizzata per archiviare i log e per permettere il monitoraggio delle statistiche da remoto.
Più grande sarà la rete da monitorare, migliori dovranno essere le caratteristiche tecniche delle macchine usate. Bisognerà infatti disporre di una quantità sufficiente di memoria RAM, di un adeguato spazio per archiviare i log e di una CPU sufficientemente rapida per processare tutti i pacchetti in tempo reale.
Per poter quantificare le risorse necessarie è opportuno valutare:
- la dimensione della rete in cui sarà posto il sensore NIDS;
- la quantità di traffico normalmente vista dalla rete;
- dove e per quanto tempo saranno archiviati i log;
- quante regole saranno abilitate;
- quale forma di output sarà utilizzata;
- in che modo saranno generati gli allarmi.
Concretamente, per monitorare una rete domestica è consigliabile disporre di un processore da almeno 2Ghz per l’analisi dei pacchetti e 5Gb di spazio libero da dedicare all’archiviazione dei log.
Architettura di Snort.
Snort ha un’architettura molto complessa composta da diversi componenti:
- il packet decoder che intercetta e decodifica i pacchetti in arrivo;
- i preprocessori che analizzano i pacchetti individuando quelli potenzialmente dannosi;
- il detection engine che controlla il pattern matching dei pacchetti con le regole;
- i componenti di alerting e logging che generano gli allarmi e archiviano i log.
Installazione.
wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
wget https://www.snort.org/downloads/snort/snort-2.9.15.1.tar.gz
tar xvzf daq-2.0.6.tar.gz
cd daq-2.0.6
./configure && make && sudo make install
tar xvzf snort-2.9.15.1.tar.gz
cd snort-2.9.15.1
./configure --enable-sourcefire && make && sudo make install
Trovato questo articolo interessante? Condividilo sulla tua rete di contatti in Twitter, sulla tua bacheca su Facebook, in Linkedin, Instagram o Pinterest. Diffondere contenuti che trovi rilevanti aiuta questo blog a crescere. Grazie!