Snort 2.9.0.2, sortie de la nouvelle version du NIDS

0
75

Snort est un système de détection d’intrusion libre (ou NIDS). À l’origine écrit par Martin Roesch, il appartient actuellement à Sourcefire. Des versions commerciales intégrant du matériel et des services de supports sont vendus par Sourcefire.

Snort est un des NIDS Open Source les plus actifs et possède une communauté importante contribuant à son succès.

Snort est capable d’effectuer aussi en temps réel des analyses de trafic et de logger les paquets sur un réseau IP. Il peut effectuer des analyses de protocole, recherche/correspondance de contenu et peut être utilisé pour détecter une grande variété d’attaques et de sondes comme des dépassements de buffers, scans, attaques sur des CGI, sondes SMB, essai d’OS fingerprintings et bien plus.

Snort pour effectuer ces analyses se fonde sur des règles. Celles-ci sont écrites par Sourcefire ou bien fournies par la communauté. Snort est fourni avec certaines règles de base mais cependant, comme tout logiciel, Snort n’est pas infaillible et demande donc une mise à jour régulière.

Snort peut également être utilisé avec d’autres projets open sources tels que SnortSnarf, ACID, sguil et BASE (qui utilise ACID) afin de fournir une représentation visuelle des données concernant les éventuelles intrusions.

Aujourd’hui, la version 2.9.0.2 vient de sortir. Elle corrige de nombreux bugs :

  • The HTTP Inspect “server_flow_depth” option is now applied once per HTTP session, instead of once per packet. This will improve performance by inspecting fewer packets.

  • Fixed an issue with the handling of TCP urgent data.

  • Fixed an issue with using file_data:mime within shared library rules.

  • Fixed an issue with TCP reassembly of single packets

  • Fixed an issue with DAQ building when using “–disable-bundled-modules” combined with other enables.

Vous pouvez télécharger cette dernière version de Snort sur le site officiel.