Snort er en af de mest anvendte intrusionsdetekteringssystemer (IDS) og intrusionsforebyggelsessystemer (IPS) i forbindelse med Suricata i dag. Snort er et gratis og gratis netværk IDS / IPS, giver mulighed for i realtid at undersøge al netværkstrafik, uanset grænsefladen (WAN eller LAN), hvor vi placerer den, og dens mål er at opdage enhver form for ondsindet trafik og blokere det gennem firewall. Meget snart vil vi se den endelige og stabile version af Snort 3, den nyeste version, der indeholder et stort antal forbedringer i forhold til Snort 2, som i øjeblikket er den, der normalt bruges.
Snort hovedfunktioner
Snort, der er en IDS og IPS, indeholder en angrebsdetektionsmotor og port scan-detektion baseret på regler, som vi kan downloade gratis, og som opdateres med en bestemt frekvens, derudover kan vi automatisere download af nye regler. Snort giver dig mulighed for at registrere, advare og svare på alle mulige netværksangreb, som vi tidligere har defineret med de regler, vi har registreret. Vi kan selv oprette specifikke regler for Snort til at registrere og udføre sit job.
bro firewall-operativsystemer som pfSense eller OPNsense, integrer denne populære IDS / IPS sammen med Suricata, da de er de to bedste og mest anvendte i branchen. Derudover kan vi montere en komplet firewall for at beskytte vores hjem lokalt netværk Ret let.
Under installationen og konfigurationen af Snort har vi muligheden for at registrere tusindvis af filtre eller regler, men det anbefales stærkt at "træne" Snort, så det ikke opdager falske positive og derfor blokerer legitim trafik. Det har flere regler for bagdøre, DoS-angrebsdetekteringer, fingeraftryk, angreb på tjenester såsom SSH, Samba, FTP, webangreb, enhver form for scanning med Nmap og meget mere.
Snort fungerer på flere forskellige måder:
- Sniffer: den første Snort-funktion er nuværende Sniffer, det vil sige, den vil fange og undersøge al netværkstrafik, hvor vi aktiverer Snort, da vi kan aktivere den i en eller flere grænseflader, hvor vi installerer den.
- Pakkeregistrering: efter udførelse af snifferfunktionen, hvis en pakke svarer til en bestemt regel eller et mønster, som vi tidligere har registreret, registrerer den automatisk denne pakke i systemet. På denne måde vil vi vide, hvad denne post har produceret, af hvilken IP-adresse og -port, og til hvilken IP og port der er gjort et forsøg.
- Forebyggelse af indtrængen: Snort fungerer sammen med firewall, hvis snifferen fanger en pakke og matcher en regel eller et mønster, vil Snort ikke kun optage disse pakker, men kan også handle ved at blokere IP-adressen gennem firewallen.
Når vi først har vide en meget grundlæggende måde, hvad Snort er, og hvad dets vigtigste egenskaber er, vil vi forklare de nyheder, som Snort 3 inkorporerer med hensyn til Snort 2.
Forskelle mellem Snort 3 og Snort 2
Snort 3.0 er en fantastisk udvikling af den nuværende version af Snort 2.X, den nye version er mere effektiv, giver bedre ydelse, skalerbarhed, brugervenlighed og giver stor udvidbarhed. Nogle af de vigtigste forbedringer, der er inkorporeret i denne nye version, er følgende:
- Support til flere pakkebehandlingstråde, dette gør det muligt for Snort at forbruge færre ressourcer, især med hensyn til RAM.
- Adgang til mere end 200 plugins
- Support til Hyperscan, denne funktion er meget vigtig, da den fører til hurtigere mønstre, indholdsfortegnelser og PCRE-kompatible under evalueringen af de forskellige underskrifter, som vi har registreret i Snort.
- Håndteringen af TCP-transportlagsprotokollen er blevet omskrevet fuldstændigt for at have den bedst mulige ydelse.
- En ny regelseparer og en ny regelsyntax er tilføjet. Bemærkningerne i reglerne er også nye.
- Forbedrede regler for delte objekter er inkorporeret, derudover kan regler for 0-dages sårbarheder tilføjes.
- Nye ydeevne skærme, tid og rum profiler.
- Hvis din CPU har flere kerner, er muligheden for at skalere meget lettere at udnytte hardwaren bedst muligt.
- Nu giver dig mulighed for at behandle en rå nyttelast og sammenføje to stikkontakter til inspektion.
I det følgende billede kan du se en sammenligning mellem Snort 2 og Snort 3, der er taget direkte fra den officielle Snort-blog.
Vi anbefaler, at du besøger officiel Snort-blog hvor du finder alle detaljer om denne nye version.
