Molti fornitori forniscono IDS come snort e ciascuno di questi sistemi ha i suoi punti di forza e di debolezza. La scelta del sistema migliore ids per un determinato ambiente dipende da molti fattori, tra cui l’ambiente di rete, il livello di sicurezza richiesto, i limiti di budget e il livello di abilità della persona che lavorerà direttamente con l’IDS.

Snort

Snort è forse l’ID open source più noto disponibile. È un’implementazione software installata su un server per monitorare il traffico in entrata. Funziona in genere con un firewall basato su host in un sistema in cui sia il software firewall che Snort funzionano sulla stessa macchina. Snort è disponibile per UNIX, Linux, Free BSD e Windows. Il software è scaricabile gratuitamente e la documentazione è disponibile sul sito Web: www.snort.org. Snort funziona in una delle tre modalità: sniffer, logger di pacchetti e rilevamento delle intrusioni di rete.

Sniffer

In modalità sniffer snort di pacchetti, la console (shell o prompt dei comandi) visualizza un flusso continuo del contenuto di tutti i pacchetti che attraversano quella macchina. Questo può essere uno strumento molto utile per un amministratore di rete. Scoprire quale traffico sta attraversando una rete può essere il modo migliore per determinare dove si trovano potenziali problemi. È anche un buon modo per verificare se le trasmissioni sono crittografate.

Logger pacchetti

La modalità di registrazione dei pacchetti di snort è simile alla modalità sniffer. La differenza è che il contenuto del pacchetto viene scritto in un registro di file di testo anziché visualizzato nella console. Ciò può essere più utile per gli amministratori che eseguono la scansione di un numero elevato di pacchetti per elementi specifici. Una volta che i dati si trovano in un file di testo, gli utenti possono eseguire la scansione di informazioni specifiche utilizzando specifici programmi esempio wireshark.

 Rilevamento intrusioni di rete

Nella modalità di rilevamento delle intrusioni di rete, Snort utilizza un approccio euristico per rilevare il traffico anomalo. Ciò significa che è basato su regole e impara dall’esperienza. Una serie di regole governa inizialmente un processo. Nel tempo, Snort combina ciò che trova con le impostazioni per ottimizzare le prestazioni. Quindi registra quel traffico e può avvisare l’amministratore di rete. Questa modalità richiede la massima configurazione poiché l’utente può determinare le regole che desidera implementare per la scansione dei pacchetti. Snort funziona principalmente dalla riga di comando (Shell in Unix / Linux, prompt dei comandi in Windows).

Configurare Snort è principalmente una questione di conoscere i comandi corretti per entrare e comprenderne l’output. Chiunque abbia un’esperienza anche moderata con i comandi della shell Linux o i comandi DOS può padroneggiare rapidamente i comandi di configurazione di Snort. Snort è un buon strumento se utilizzato in combinazione con firewall basati su host o come IDS su ciascun server per fornire ulteriore sicurezza.