Herramientas de Redes

10. SNORT

Snort es el sistema de detección y prevención de intrusiones ((Intrusion detection system - IPS) de código abierto más importante del mundo.

Snort IPS usa una serie de reglas que ayudan a definir la actividad de red maliciosa y usa esas reglas para encontrar paquetes que coincidan con ellos y generar alertas para los usuarios.

Snort también se puede implementar en línea para detener estos paquetes. Snort tiene tres usos principales:

como rastreador de paquetes como tcpdump
como registrador de paquetes, que es útil para la depuración del tráfico de red
como un sistema completo de prevención de intrusiones en la red.

Snort se puede descargar y configurar para uso personal y comercial por igual.

Ofrece la capacidad de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas, como MySQL. Implementa un motor de detección de ataques y escaneo de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida.

Terminos:

IPS: Intrusion Prevention System (Sistema de Prevención de Intrusos)
IDS: Intrusion Detection System (Sistema de Detección de Intrusos)

Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación, provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap, entre otros.1

Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se "loguea". Así se sabe cuándo, de dónde y cómo se produjo el ataque.

Snort mantiene una base de datos de ataques que se actualiza constantemente a través de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más populares, actualizados y robustos.