Snort es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red. Cuenta con una gran popularidad entre la comunidad de administradores de redes y servicios. Gracias a su capacidad para la captura y registro de paquetes en redes TCP/IP, Snort puede ser utilizado para implementar desde un simple sniffer de paquetes para la monitorización del tráfico de una pequeña red, hasta un completo sistema de detección de intrusos en tiempo real.
Mediante un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece un amplio abanico de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.
Tal y como indica el autor de la aplicación, como monitor de red, Snort se comporta como una auténtica aspiradora (de ahí su nombre) de datagramas IP, ofreciendo diferentes posibilidad en cuanto a su tratamiento. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.
Pero, aparte de unas estupendas características como sniffer de paquetes y generador de alertas e informes, Snort tiene muchas otras características que le han permitido convertirse en una de las soluciones software más completas para la construcci´on de sistemas de detección en entornos de red basados en reconocimiento de patrones. Snort debería considerarse como un NIDS ligero*. Este calificativo de ligero significa que, como IDS, su diseño e implementación le permite poder funcionar bajo diferentes sistemas operativos y que sus funciones como mecanismo de detección podrán formar parte en distintos productos de seguridad (incluso comerciales).
La popularidad de Snort se ha incrementado estos últimos años en paralelo al incremento de popularidad de sistemas operativos de código abierto como puede ser el sistema operativo GNU/Linux o la familia de sistemas operativos de BSD (NetBSD, OpenBSD y FreeBSD).
Pero su naturaleza como producto de código abierto no le limita a estar disponible únicamente bajo este tipo de sistemas operativos. Snort puede funcionar bajo soluciones comerciales como, por ejemplo, Solaris, HP-UX, IRIX e incluso sistemas Microsoft Windows.
Desde el punto de vista del motor de detección, Snort estaría incluido en la categoría de detección basada en usos indebidos. Mediante un reconocimiento de firmas, Snort contrastar´a todo el tráfico capturado en sus reglas de detección.
Una regla de detección no es más que un conjunto de requisitos que le permitirán, en caso de cumplirse, activar una alarma. Por ejemplo, una regla de Snort que permitiría verificar el uso de aplicaciones peer-to-peer para el intercambio de ficheros a través de Internet verificaría el uso de la cadena GET en servicios diferentes al puerto tradicional del protocolo HTTP. Si un paquete capturado por Snort coincide con esta sencilla regla, su sistema de notificación lanzará una alerta indicando lo sucedido. Una vez que la alerta sea lanzada, puede ser almacenada de distintas maneras y con distintos formatos como, por ejemplo, un simple fichero de registro del sistema, una entrada en una base de datos de alertas, un evento SNMP, etc.
Fuente:
A1 – Exploraciones de red con Nmap y Nessus
Joaquín García Alfaro
UOC
Si quieres conocer otros artículos parecidos a Snort puedes visitar la categoría SEGURIDAD INFORMATICA.
Deja una respuesta