Aldo
Páginas: 8 (1859 palabras)
Publicado: 9 de enero de 2013
Qué es y para qué sirve Snort es un Sistema de Detección de Intrusos (IDS) basado en red (IDSN). Dispone de un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalación y configuración.Se trata de un sistema basado en red que monitoriza todo un dominio de colisión y funciona detectando usos indebidos. Estos usos indebidos (o sospechosos) se reflejan en una base de datos formada por patrones de ataques. Dicha base de datos se puede descargar también desde la propia página web de Snort, donde además se pueden generar bases de patrones "a medida" de diferentes entornos (porejemplo, ataques contra servidores web, intentos de negaciones de servicio, exploits...).
En la página oficial de snort (http://www.snort.org) se puede comprobar que es uno de los IDS más usados y populares entre los sistemas de detección de intrusos, ya que cuenta con multitud de descargas diarias. Esta popularidad puede ser debida a que se puede adquirir mediante licencia GPL gratuita ya que escódigo abierto y funciona bajo plataformas Unix/Linux y Windows.
Es usual utilizarlo en combinación con herramientas del tipo Honeyput (tarro de miel) con el fín de monitorizar e interpretar ataques reales en un escenario controlado.
IDS
Un Sistema de Detección de Intrusos (IDS) es una herramienta de seguridad que trata de detectar y monitorizar cualquier intento de comprometer la seguridad en unsistema o una red. Se pueden definir previamente una serie de reglas que impliquen una actividad sospechosa en dicho sistema o red y generar una alerta en consecuencia.
Los IDS incrementan la seguridad de nuestro sistema o red y, aunque no están diseñados para detener un determinado ataque, si que se pueden configurar para responder activamente al mismo.
Tipos de IDS
Los IDS se pueden clasificarsegún el alcance de su protección:
* HIDS (Host IDS): Protege contra un Host (Servidor o PC). Posibilita la monitorización de gran cantidad de eventos para un posterior análisis detallado de las actividades sospechosas de manera que se determina con precisión cuan involucrados se encuentran los usuarios en una determinada acción. Todo ello ocurre en modo local, dentro del propio sistema.
*NIDS (Net IDS): Protege un sistema basado en red. Son sniffers del tráfico de red, ya que capturan los paquetes de red y los analizan, normalmente en tiempo real, según las reglas con las que ha sido configurado en busca de algún tipo de ataque.
* DIDS (Distributed IDS) Protege un sistema con una arquitectura basada en cliente-servidor formada por un conjunto de NIDS que actúan recopilandotoda la información en una base de datos central. La ventaja de este sistema es que cada NID se puede configurar con las reglas específicas de control que se aplicarán a un determinado segmento de red.
También se pueden clasificar según el tipo de respuesta que generan:
* Pasivos: En este tipo de IDS, la herramienta recopila los datos que se generan como consecuencia de las reglas que se hanconfigurado y genera las alertas pertinentes, notificando de posibles ataques al administrador de red, en su caso, pero no actúa en consecuencia para evitar el ataque por si mismo.
* Activos: Los IDS activos sí que responden a las actividades sospechosas que han sido configuradas, tratando de evitar el posible ataque, cerrando la conexión, reprogramando el cortafuegos, etc.
Comofunciona
En la versión de Windows, es necesario instalar WinPcap. Este software consiste en un driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librería que facilita a las aplicaciones acceder a la capa de enlace saltándose la pila de protocolos.
Snort puede funcionar en:
* Modo sniffer, en el que se motoriza por pantalla en tiempo real toda...
En la página oficial de snort (http://www.snort.org) se puede comprobar que es uno de los IDS más usados y populares entre los sistemas de detección de intrusos, ya que cuenta con multitud de descargas diarias. Esta popularidad puede ser debida a que se puede adquirir mediante licencia GPL gratuita ya que escódigo abierto y funciona bajo plataformas Unix/Linux y Windows.
Es usual utilizarlo en combinación con herramientas del tipo Honeyput (tarro de miel) con el fín de monitorizar e interpretar ataques reales en un escenario controlado.
IDS
Un Sistema de Detección de Intrusos (IDS) es una herramienta de seguridad que trata de detectar y monitorizar cualquier intento de comprometer la seguridad en unsistema o una red. Se pueden definir previamente una serie de reglas que impliquen una actividad sospechosa en dicho sistema o red y generar una alerta en consecuencia.
Los IDS incrementan la seguridad de nuestro sistema o red y, aunque no están diseñados para detener un determinado ataque, si que se pueden configurar para responder activamente al mismo.
Tipos de IDS
Los IDS se pueden clasificarsegún el alcance de su protección:
* HIDS (Host IDS): Protege contra un Host (Servidor o PC). Posibilita la monitorización de gran cantidad de eventos para un posterior análisis detallado de las actividades sospechosas de manera que se determina con precisión cuan involucrados se encuentran los usuarios en una determinada acción. Todo ello ocurre en modo local, dentro del propio sistema.
*NIDS (Net IDS): Protege un sistema basado en red. Son sniffers del tráfico de red, ya que capturan los paquetes de red y los analizan, normalmente en tiempo real, según las reglas con las que ha sido configurado en busca de algún tipo de ataque.
* DIDS (Distributed IDS) Protege un sistema con una arquitectura basada en cliente-servidor formada por un conjunto de NIDS que actúan recopilandotoda la información en una base de datos central. La ventaja de este sistema es que cada NID se puede configurar con las reglas específicas de control que se aplicarán a un determinado segmento de red.
También se pueden clasificar según el tipo de respuesta que generan:
* Pasivos: En este tipo de IDS, la herramienta recopila los datos que se generan como consecuencia de las reglas que se hanconfigurado y genera las alertas pertinentes, notificando de posibles ataques al administrador de red, en su caso, pero no actúa en consecuencia para evitar el ataque por si mismo.
* Activos: Los IDS activos sí que responden a las actividades sospechosas que han sido configuradas, tratando de evitar el posible ataque, cerrando la conexión, reprogramando el cortafuegos, etc.
Comofunciona
En la versión de Windows, es necesario instalar WinPcap. Este software consiste en un driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librería que facilita a las aplicaciones acceder a la capa de enlace saltándose la pila de protocolos.
Snort puede funcionar en:
* Modo sniffer, en el que se motoriza por pantalla en tiempo real toda...
Leer documento completo
Regístrate para leer el documento completo.