Snort
 | |
| מפתח | מרטין ראש (Martin Roesch) וחברת סיסקו (Cisco) |
|---|---|
| גרסה אחרונה | 3.0 |
| מערכת הפעלה | חוצה פלטפורמות |
| סוג רישיון | הרישיון הציבורי הכללי של גנו |
| קטגוריה | מערכת למניעת חדירות |
| www.snort.org | |
סנורט (אנגלית: Snort, "נְחִירָה") היא מערכת למניעת חדירות (Intrusion Prevention System בקיצור: IPS) המנתחת תעבורה בזמן אמת ומדווחת על פעולות חשודות. המערכת מבוססת קוד פתוח, נכתבה בשפת C ופותחה על ידי מרטין ראש (Martin Roesch) בשנת 1998.
כיום, תחזוקת המערכת נעשית על ידי חברת Sourcefire אשר בבעלות סיסקו מערכות (Cisco) מאז שנת 2013.
לסנורט מעל ל-4 מיליון הורדות וכ-500,000 משתמשים רשומים ונחשבת למערכת למניעת חדירה מהנפוצות בעולם.
בשנת 2009 נכנסה סנורט להיכל התהילה של מגזין InfoWorld כשנבחרה לאחת מתוך 36 תוכנות קוד פתוח הגדולות ביותר בכל הזמנים.
שימוש
סנורט היא מערכת קלת משקל ורבת עוצמה המבוססת על ספריות libcap, היא מבצעת ניתוח תעבורה בזמן אמת ובכך מסוגלת לזהות חדירות ואיומים פוטנציאלים.
ניתוח תעבורת הרשת מתבצע בשלשה שלבים שונים:
- ניתוח הפרוטוקול.
- ניתוח התוכן.
- השוואת התוכן.
למערכת 3 מצבים עיקריים:
- מצב רחרחן מנות (Sniffer) - האזנה אחר תעבורת הרשת.
- יומן מנות (Packet Logger) - תיעוד תעבורת הרשת לזיהוי וטיפול בבעיות שונות.
- מערכת לאיתור חדירות רשת (Network Intrusion Detection System) - המערכת תעקוב אחר תעבורת הרשת, תנתח אותה ותבצע פעולות לפי הכללים שהוגדרו על ידי מנהל המערכת. המערכת יכולה לזהות גם התקפות שונות, מערכות הפעלה, גלישת חוצץ, סריקת פורטים ועוד.
הפקת דוחו"ת תבוצע על פי בחירה לפי הפורמטים הבאים:
- תבנית אחידה של סנורט.
- XML
- tcpdump / libcap
- ASCII
- Winpopup.
- יומן מערכת.
- פורמט המתאים למסדי נתונים כגון: MySQL, Oracle, PostgreSQL.
הרחבות
ניתן להרחיב את המערכת בעזרת מספר הרחבות, חלקן רשמיות וחלקן פותחו על ידי גורם שלישי. הרחבות אלה פותחו כדי להעניק למשתמש אפשרויות נוספות. להלן מספר הרחבות:
- Sguil (תוכנה חופשית)
- Snorby (תוכנה חופשית)
- Aanval (תוכנה מסחרית)
- Threatstack (תוכנה מסחרית)
ראו גם
קישורים חיצוניים
- 36 תוכנות הקוד הפתוח הגדולות ביותר בכל הזמנים, 17 באוגוסט, 2009, אתר InfoWorld (באנגלית)