viernes, 16 de diciembre de 2016

Snort: Sistema de Detección de Intrusos



El programa Snort se trata de un sistema basado en red que monitoriza todo un dominio de colisión y funciona detectando usos indebidos.
Estos usos indebidos (o sospechosos) se reflejan en una base de datos formada por patrones de ataques. Dicha base de datos se puede descargar también desde la propia página web de Snort, donde además se pueden generar bases de patrones "a medida" de diferentes entornos.

En la versión de Windows, es necesario instalar WinPcap, este software consiste en un driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librería que facilita a las aplicaciones acceder a la capa de enlace saltándose la pila de protocolos. 

Snort puede funcionar en:
  • Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la red en que Snort es configurado.
  • Modo packet logger (registro de paquetes), en el que se almacena en un sistema de log toda la actividad de la red en que se ha configurado Snort para un posterior análisis. 
  • Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la actividad de la red a través de un fichero de configuración en el que se especifican las reglas y patrones a filtrar para estudiar los posibles ataques.  

Una vez hemos instalado correctamente el programa y lo ponemos en funcionamiento, debemos introducir en la base de patrones de ataques los que queremos utilizar para detectar actividades sospechosas contra nuestra red.

Los usuarios tienden a utilizar un elevado número patrones para protegerse, pero paradójicamente esto puede perjudicar la seguridad, ya que no todos los ataques que Snort es capaz de detectar son útiles (para el atacante) en el segmento de red que monitorizamos y en cambio corremos el riesgo de sobrecargar la herramienta, que dejará pasar todos los paquetes que no pueda analizar.
Para utilizarlo correctamente, también es necesario estudiar los patrones de tráfico que circulan por el segmento donde el sensor escucha para detectar falsos positivos y, o bien reconfigurar la base de datos, o bien eliminar los patrones que los generan.

Si tenéis interés en descargar el programa, HAZ CLICK AQUÍ
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)