SNORT

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un
dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de
sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.
Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar
y responder ante cualquier anomala previamente definida. As mismo existen herramientas de
terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y
Preventor de Intrusos.
Este IDS implementa un lenguaje de creacin de reglas flexible, potente y sencillo. Durante su
instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques
web, CGI, Nmap.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra
red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su
posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un
paquete coincide con algn patrn establecido en las reglas deconfiguracin, se logea. As se sabe
cundo, de dnde y cmo se produjo el ataque.
An cuando tcpdump es considerada una herramienta de auditora muy til, no se considera un
verdadero IDS puesto que no analiza ni seala paquetes por anomalas. tcpdump imprime toda la
informacin de paquetes a la salida en pantalla o a un archivo de registro sin ningn tipo de
anlisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente
maliciosas y las almacena en un registro formateado, as, Snort utiliza la biblioteca estndar libcap
y tcpdump como registro de paquetes en el fondo.
Snort est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y
UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, as como
actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo
detectadas a travs de los distintos boletines de seguridad.La caracterstica ms apreciada de
Snort, adems de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una
base de datos de ataques que se est actualizando constantemente y a la cual se puede aadir o
actualizar a travs de la Internet.
Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos ataques de red y
enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de Snort se puedan
beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en uno de los IDSes basados
en red ms populares, actualizados y robustos.3. CMO FUNCIONA SNORT?
En la versin de Windows, es necesario instalar WinPcap. Este software consiste en un driver que
extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librera que
facilita a las aplicaciones acceder a la capa de enlace saltndose la pila de protocolos.

Snort puede funcionar en:

Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la red en
que Snort es configurado.
Modo packet logger (registro de paquetes), en el que se almacena en un sistema de log toda la
actividad de la red en que se ha configurado Snort para un posterior anlisis.
Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la actividad de
la red a travs de un fichero de configuracin en el que se especifican las reglas y patrones a filtrar
para estudiar los posibles ataques.
Una vez hemos instalado correctamente el programa y lo ponemos en funcionamiento, debemos
introducir en la base de patrones de ataques los que queremos utilizar para detectar actividades
sospechosas contra nuestra red.
Intuitivamente, el usuario tiende a utilizar un elevado nmero patrones para protegerse, pero
paradjicamente esto puede perjudicar la seguridad, ya que no todos los ataques que Snort es
capaz de detectar son tiles (para el atacante) en el segmento de red que monitorizamos y en
cambio corremos el riesgo de sobrecargar la herramienta, que dejar pasar todos los paquetes
que no pueda analizar.
Para utilizarlo correctamente, tambin es necesario estudiar los patrones de trfico que circulan
por el segmento donde el sensor escucha para detectar falsos positivos y, o bien reconfigurar la
base de datos, o bien eliminar los patrones que los generan.
En definitiva, pese a todas las facilidades y automatizaciones y como casi todas las herramientas
de seguridad, es un apoyo que no puede sustituir la tarea del responsable de seguridad que es
quien debe analizar toda la informacin de forma minuciosa y continuada.Funcionamiento del
motor de Snort
El motor de Snort se divide en los siguientes componentes:
Decodificador del paquete.
Preprocesadores.
Motor de deteccin (Comparacin contra firmas).
Loggin y sistema de alerta.
Plugins de salida.
El decodificador de paquete, toma los paquetes de diferentes tipos de interfaces de red, y
prepara el paquete para ser preprocesado o enviado al motor de deteccin.
Los preprocesadores son componentes o plugins que pueden ser usados con Snort para arreglar,
rearmar o modificar datos, antes que el motor de deteccin haga alguna operacin para encontrar
si el paquete esta siendo enviado por un intruso. Algunos preprocesadores realizan deteccin
buscando anomalas en las cabeceras de los paquetes y generando alertas. Son muy importantes
porque preparan los datos para ser analizados contra reglas en el motor de deteccin.

El motor de deteccin es la responsable de detectar si alguna actividad de intrusin existe en un

paquete. El motor utiliza las reglas que han sido definidas para este propsito. Las reglas (o
cadenas) son macheadas contra todos los paquetes. Si un paquete machea una regla, la accin
configurada en la misma es ejecutada.
Dependiendo que detecte el motor dentro de un paquete, el logging y sistema de alerta, se
encarga de loguear o generar una alerta. Los logs son almacenados en archivos de texto, archivos
con formato tcpdump u otro formato.
Los plugins de salida toman la salida del sistema de alerta y permiten almacenarlas en distintos
formatos o reaccionar antes el mismo. Por ejemplo: enviar emails, traps SNMP, syslog, insertar en
una base de datos, etc. Plugins de salida: Bases de datos (MySql, Postgres, etc)
Syslog
XML
Traps SNMP
Mensajes SMB4. COMANDOS DE SNORT

Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes
funcionalidades:
-A Configura el modo de alerta
-b Log de paquetes en formato TCPDump
-c Para usar los archivos de reglas
-C Imprime las cargas solamente de tipo archivo
-d Dump capa de aplicacin
-e Muestra la informacin de la cabecera de la segunda capa
-E Crea un log de mensajes de alerta solo para Win 32
-f Turn off fflush() Desconecta Fflush
-F Lee los filtros BPF
-h <hn> Home network = <hn>
-i Modo escucha en la interface
-I Adhiere un nombre de alerta a una interfaz
-k Modo Checksum
-l Log del directorio

 -L Log de un archive TCDump

-n Salida despues de recivir un paquete
-N Apaga o desconecta los Logs
-o Cambia el orden de las alertas
-O Ofusca el inicio de session
-p Desactiva el modo promiscuo
-P configure un especifico tipo de paquete
-q Modo tranquilo no muestra el banner ni el reporte de estado.
-r Lee procesos de archivos TcpDump
-R un ID en los archivos de las interfaces de Snort
-s Crea un log de mensajes de alerta del sistema
-T Prueba y hace un reporte de la actual configuracin de Snort
-v Muestra el detalle de las acciones
-V Muestra el nmero de la versin
-W Lista las interfaces disponibles