Lösungen für das Erkennen von Einbruchsversuchen im Netz, neudeutsch Intrusion Detection Systems (IDS), gehören in Unternehmen fast schon zur Grundausstattung. Das Open-Source-Produkt Snort beweist, dass ein solcher Schutz nicht teuer sein muss.

Das Tool läuft auf x86-Systemen unter anderem unter den Betriebssystemen Linux, Windows, FreeBSD, OpenBSD, NetBSD, PA-Risc HP-UX und Sparc Solaris. Die Installation ist relativ einfach: Hierzu müssen die neueste Version von Snort und die entsprechende Library zur Paketüberwachung, "libcap" für Linux und Unix-Systeme und "winpcap" für Windows-Systeme, im Internet heruntergeladen und installiert werden. Da die Datenmengen während des Betriebs sehr umfangreich ausfallen können, sollte ausreichend Platz auf der Festplatte vorhanden sein. Auch die Netzwerkkarte (NIC) muss leistungsfähig sein, damit alle Daten korrekt eingesammelt werden können. Als Faustregel gilt: Für ein Netzwerk mit 100 Mbit/s Datendurchsatz sollte die Netzwerkkarte ebenfalls dieses Tempo unterstützen.

Leistungsstarke Netzwerkkarte erforderlich

Der Netzwerkadapter muss in den promiskuren Betriebsmodus versetzt werden, da er sonst nur Pakete akzeptiert, die an ihn gerichtet sind, und alle anderen ignoriert. Wäre dies der Fall, könnte das IDS nur Angriffe erkennen, die sich speziell gegen den Host richten, auf dem es installiert ist. Im promiskuren Modus dagegen werden alle Pakete verarbeitet. Zur Fernwartung des Systems sind unter Linux und Unix die Secure Shell (SHH), bei Apache Secure Sockets Layer (SSL) und bei Windows die Terminal Services erforderlich. Darüber hinaus ist eine zweite Ethernet-Schnittstelle sinnvoll. So lässt sich ein Interface für die Netzwerk-Connectivity nutzen, während das andere für das eigentliche Sniffing zuständig ist.