Snort

L’IDS Opensource de référence

SNORT est un NIDS (Network Intrusion Detection System) qui couvre principalement les fonctions d’IDS (Intrusion Detection System). SNORT appartient à Sourcefire qui commercialise des versions intégrant matériels et support.

DEFINITION

SNORT est un système de détection de détection d’intrusion. Il peut effectuer en temps réel des analyses de trafic et de logger les paquets. Il peut effectuer des analyses sur :

  • analyses de protocole
  • recherche/correspondance de contenu
  • dépassements de buffers
  • scans
  • attaques sur des CGI
  • sondes SMB
  • OS fingerprintings
  • etc ...

EN PRATIQUE

SNORT est disponible en tant que paquet sur la plupart des distributions Linux (Fedora, Centos, etc ...) ainsi que sur FreeBSD et Windows.

Il peut être couplé avec d’autres projets comme :

  • SnortSnarf
  • Acid
  • Sguil
  • Base

SNORT est également présent dans plusieurs distributions spécialisées dans la sécurité (PF Sense, IPCop, ...).

CE QUE NOUS AVONS NOTE

SNORT est un moteur basé sur des règles qui sont fournies soit par Sourcefire, soit par la communauté et vous pouvez implémenter les vôtres.

Les dictionnaires de règles sont divisés en trois :

  • les règles de la communauté (gratuites et libres d’accès)
  • les règles "registered" auxquelles vous aurez accès après avoir créé un compte
  • les règles "subscriber" qui sont payantes

SNORT est distribué sous la licence GNU GPL..

NOTRE CONCLUSION

Snort est un bel outil. Suricata en est la génération suivante. Présente dans notre distribution préférée de sécurité (OPN Sense), Suricata est devenu un outil quotidien.

Les alternatives

Catégories

Disponible sous :

• Windows
• Linux
• Autre

Difficulté

• Expert

Status pour nous

• En production

Maturité

• Mature

Appréciation

• Excellent

Tweets