Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un
dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de
sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.
Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar
y responder ante cualquier anomala previamente definida. As mismo existen herramientas de
terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y
Preventor de Intrusos.
Este IDS implementa un lenguaje de creacin de reglas flexible, potente y sencillo. Durante su
instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques
web, CGI, Nmap.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra
red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su
posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un
paquete coincide con algn patrn establecido en las reglas deconfiguracin, se logea. As se sabe
cundo, de dnde y cmo se produjo el ataque.
An cuando tcpdump es considerada una herramienta de auditora muy til, no se considera un
verdadero IDS puesto que no analiza ni seala paquetes por anomalas. tcpdump imprime toda la
informacin de paquetes a la salida en pantalla o a un archivo de registro sin ningn tipo de
anlisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente
maliciosas y las almacena en un registro formateado, as, Snort utiliza la biblioteca estndar libcap
y tcpdump como registro de paquetes en el fondo.
Snort est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y
UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, as como
actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo
detectadas a travs de los distintos boletines de seguridad.La caracterstica ms apreciada de
Snort, adems de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una
base de datos de ataques que se est actualizando constantemente y a la cual se puede aadir o
actualizar a travs de la Internet.
Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos ataques de red y
enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de Snort se puedan
beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en uno de los IDSes basados
en red ms populares, actualizados y robustos.3. CMO FUNCIONA SNORT?
En la versin de Windows, es necesario instalar WinPcap. Este software consiste en un driver que
extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librera que
facilita a las aplicaciones acceder a la capa de enlace saltndose la pila de protocolos.
Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes
funcionalidades:
-A Configura el modo de alerta
-b Log de paquetes en formato TCPDump
-c Para usar los archivos de reglas
-C Imprime las cargas solamente de tipo archivo
-d Dump capa de aplicacin
-e Muestra la informacin de la cabecera de la segunda capa
-E Crea un log de mensajes de alerta solo para Win 32
-f Turn off fflush() Desconecta Fflush
-F Lee los filtros BPF
-h <hn> Home network = <hn>
-i Modo escucha en la interface
-I Adhiere un nombre de alerta a una interfaz
-k Modo Checksum
-l Log del directorio