Vier Tipps zu Bezugsquellen von Snort-Regeln

Wir zeigen Ihnen, auf welchen Webseiten Sie gute Snort-Regeln finden. Dabei gibt es offiziell zertifizierte und Beta-Regeln.

Sobald Sie Snort installiert und konfiguriert sowie erste Schritte damit unternommen haben, müssen Sie sich im nächsten Schritt Gedanken über IDS-Regeln machen. Diese Snort-Regeln definieren die Suchmuster und Kriterien, mit denen man nach potenziell böswilligem Traffic im Netzwerk sucht. Ohne diese IDS-Regeln (Intrusion Detection System) ist Snort lediglich ein weiterer Sniffer. Um Ihnen den Einstieg zu erleichtern, zeigen wir Ihnen vier Optionen, mit denen Sie an die gewünschten Snort-Regeln kommen.

1. Offizielle Regeln von Snort.org herunterladen

Die offiziellen Regeln werden unter Snort.org als Tarball-Snapshots zur Verfügung gestellt. Mit Beginn des 7. Mai 2005 hat Sourcefire die Lizenzen und die Verteilung der Snort-Regeln geändert. Unter anderem hat Sourcefire die VRT Certified Rules ins Leben gerufen, die vom Sourcefire Vulnerability Research Team getestet und zertifiziert werden. 

Für den Anfang können Sie diese und die Community-Regeln verwenden. Weiterhin schadet auch ein Blick in die FAQ unter Snort.org nicht. Laden Sie einfach die gewünschten Regeln von Snort.org herunter und wählen Sie den korrekten Snapshot für die Snort Engine, die Sie im Einsatz haben. Eine entsprechende Erklärung findet sich auf der Download-Seite. Diese IDS-Regeln funktionieren garantiert. Laden Sie die falschen Regeln herunter, startet Snort wahrscheinlich nicht. In diesem Fall sollten Sie die Snort-Version verifizieren, die Sie verwenden. Am besten setzen Sie immer die aktuellste ein. Es empfiehlt sich, dass Sie mit den VRT Rules anfangen und von diesen lernen.

2. Die Bleeding Snort Rules einsetzen

Wenn Sie gerne aktuellste Technologien einsetzen, dann schlagen Sie mit den Bleeding Snort Rules zwei Fliegen mit einer Klappe – eigentlich sogar drei, wenn Sie das Nutzen aktuellster Varianten miteinbeziehen. Zunächst ist die Website eine Drehscheibe für aktuelle und experimentelle Regeln, sowie für neue Ideen. Diese Regeln sind möglicherweise für so genannte False Positives (falsche positive Ergebnisse) anfällig und funktionieren manchmal nicht wie erwartet. 

Diese Regeln werden aber immerhin häufig aktualisiert. Das ultimative Ziel ist es, viele und exakte Regeln zu generieren. Diese sollen auf lange Frist wertvoll sein und irgendwann als offizieller Regelsatz bei der Community von Snort.org landen. Bleeding Snort Rules sind eigentlich Test- oder Beta-Regeln. Sie eignen sich besser für Anwender mit Testumgebungen und für Nutzer, die das Neueste vom Neuen in Sachen IDS-Regeln haben wollen.

3. Abonnieren Sie die Snort-Sigs-Mailing-Listen

Die offizielle Snort-Sigs-Mailing-Liste konzentriert sich auf die Diskussion und Entwicklung von Snort-Regeln. Informationen zum Abonnement und ein Web-Archiv finden Sie unter Snort.org. Seit den oben erwähnten Änderungen werden die meisten neuen Regeln von der Snort Community nun via Bleeding Snort behandelt.

4. Modifizieren und teilen Sie Ihre Regeln

Vermissen Sie irgendwas, dann zögern Sie nicht, eine eigene Regel zu schreiben. Sie können das relativ schnell und einfach realisieren. Weitere Informationen dazu finden Sie im Artikel So modifiziert und schreibt man Snort IDS-Regeln. Vergessen Sie außerdem nicht, die Regel über die Bleeding Snort Rules wieder an die Community zurückzugeben. Möglicherweise helfen Sie damit jemandem, der sich mit einem ähnlichen Problem plagt.

Seien Sie vorsichtig, von wo Sie Snort-Regeln herunterladen

Es ist natürlich auch möglich, Snort-Regeln von anderen Stellen im Internet zu beziehen. Allerdings ist es ratsam, diese Quellen zu meiden. Die einzige Ausnahme wäre, dass Sie wirklich verstehen, was Sie tun. Die Regeln, die Sie auf einer zufälligen Webseite finden, funktionieren vielleicht, vielleicht aber auch nicht. Um auf Nummer sicher zu gehen, sollten Sie also lieber die Finger davon lassen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close