IDS – software Snort

IDS – software Snort

Introducción.

El origen de Snort, fue desarrollado en 1998 bajo el nombre de APE. Su desarrollador, Marty Roesch, trataba de implementar un sniffer multiplataforma que contara con diferentes opciones de clasificación y visualización de los paquetes capturados. Marty Roesch implementó Snort como una aplicación basada en la librería libcap (para el desarrollo de la captura de paquetes) lo cual garantizaba una gran portabilidad, tanto en la captura como en el formato del tráfico recogido. Snort empezó a distribuirse a través del sitio web Packet Storm el 22 de diciembre de 1998, contando únicamente con mil seiscientas líneas de código y un total de dos ficheros fuente. Snort continúa siendo código libre y promete seguir siéndolo para siempre. La última versión disponible de Snort es la 2.8.3.1, la cual se presenta con más de setenta y cinco mil líneas de código y una restructuración total en cuanto al diseño original de su arquitectura inicial.

Snort

1.1 Uso de Snort

Es una completa herramienta de seguridad que brinda el servicio de Control de Acceso, basada en código abierto para la creación de sistemas de detección de intrusos en entornos de red. Gracias a su capacidad para la captura y registro de paquetes en redes TCP/IP, Snort puede ser utilizado para implementar desde un simple sniffer de paquetes para la monitorización del tráfico de una pequeña red, hasta un completo sistema de detección de intrusos en tiempo real. Mediante un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece un amplio abanico de posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas. Snort se comporta como una auténtica aspiradora (de ahí su nombre) de datagramas IP, ofreciendo diferentes posibilidad en cuanto a su tratamiento. Desde actuar como un simple monitor de red pasivo que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico capturado.

Aparte de unas estupendas características como sniffer de paquetes y generador de alertas e informes, Snort tiene muchas otras características que le han permitido convertirse en una de las soluciones software más completas para la construcción de sistemas de detección en entornos de red basados en reconocimiento de patrones. Es un IDS, su diseño e implementación le permite poder funcionar bajo diferentes sistemas operativos y que sus funciones como mecanismo de detección podrán formar parte en distintos productos de seguridad.

Pero su naturaleza como producto de código abierto no le limita a estar disponible únicamente bajo este tipo de sistemas operativos. Snort puede funcionar bajo soluciones comerciales como, por ejemplo, Solaris, HP-UX, IRIX e incluso sistemas Microsoft Windows.

1.2 Arquitectura de Snort

Snort proporciona un conjunto de características que lo hacen una herramienta de seguridad muy potente, entre las que destacan la captura del tráfico de red, el análisis y registro de los paquetes capturados y la detección de tráfico malicioso o deshonesto. Antes de nombrar con mayor detalle las características de Snort, es importante conocer y comprender su arquitectura. Snort está formado por un conjunto de componentes, la mayoría de los cuales son plug-ins que permiten la personalización de Snort. Entre estos componentes destacan los preprocesadores, que permiten que Snort manipule de forma más eficiente el contenido de los paquetes antes de pasarlos al elemento de detección, y su sistema de notificaciones y alertas basados en plug-ins, que permiten que la información reportada pueda ser enviada y almacenada en distintos formatos y siguiendo distintos métodos.

La arquitectura central de Snort se basa en los siguientes cuatro componentes:

● Decodificador de paquetes o Sniffer: En el caso de redes TCP/IP, este tráfico

...