Post214 nn

En la actualidad es importante tener nuestras redes protegidas, existen diversos métodos y equipos de hardware diseñados para tal protección. Es constante creer que se requieren grandes sumas de dinero para proteger una organización de intrusos que ingresan en la red, ataques cibernéticos, robo de datos, sustracción de información de vital importancia para la organización entre otros.

 

¿Cómo corregirlo? existen diversas aplicaciones gratuitas o de código abierto que pueden ayudar con la aplicación de sentido común a fin de mitigar al máximo los riesgos digitales que se presentan en una organización. Por ello el dia de hoy estaremos hablando de SNORT, un sistema de detección de intrusos en la red, libre y gratuito que puede ofrecer capacidades de almacenamiento de bitácoras en archivos de texto y bases de datos abiertas, como puede ser MySQL.

 

 

¿Qué es SNORT?

 Snort es un Sistema de Detección de Intruso (IDS) basado en red (IDSN) open source, un IDS o Sistema de Detección de Intrusiones es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema, los IDS buscan patrones previamente definidos capaces de implicar alguna actividad sospechosa o maliciosa sobre nuestra red o host.

Snort cuenta con un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a la hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalación y configuración para que se adapte lo máximo posible a lo que deseamos.

La ventaja principal de utilizar este sistema es que se puede utilizar como sniffer (se puede ver en consola y en tiempo real lo qué ocurre en nuestra red, así como también nuestro tráfico).

 

Instalación de Snort

Estaremos instalando nuestro snort en la plataforma Kali Linux, para ello ejecutaremos los comandos con privilegios de súper usuario (root #) y conexión a internet.

apt-get update

apt-get install snort

Posteriormente se abrirá una ventana similar a la siguiente:

 

 

En la configuración de paquetes se debe indicar el intervalo de direcciones para la red local en nuestro caso utilizaremos la dirección de red 192.168.0.0 con mascara /16

 

Configurando nuestro Snort

Iniciamos el servicio con el comando

/etc/init.d/snort start

Configuramos la dirección ip editando el archivo snort.conf con el siguiente comando

vi /etc/snort/snort.conf

 

 

Para obtener nuestra dirección ip, solo tenemos que teclear el comando ipconfig desde la consola y nos permitirá verla.

 

Se debe realizar un reinicio del servicio:

/etc/init.d/snort restart

 

Utilizando Snort, para utilizar snort comenzaremos con lo básico el modo sniffer, un sniffer no es más que un programa que es capaz de capturar las tramas de una red de computadoras.

 

Comandos modo sniffer:

snort -v

Permite ver los encabezados de IP y TCP /UDP/ICMP:

snort -vd

Permite ver lo anterior integrando la aplicación en transito:

snort -vde

Permite ver una pantalla más descriptiva, mostrando los encabezados de cpaa de enlace de datos.

 

Con snort se puede tener en tiempo real la información de lo que sucede en la red, como viajan los paquetes, aplicar reglas específicas para backdoor, DDoS, FTP, ataques web, CGI, NMAP, etc.

funcionando de manera correcta como sniffer y aplicando un registro de paquetes es capaz de determinar si algún patrón coincide con las reglas de configuración, de ser así este se loguea permitiendo saber, cuando de donde y como se produjo el ataque.

 

Snort se actualiza constantemente desde internet ya que cuenta con una base de datos de ataques, los usuarios pueden crear firmas características de los ataques recibidos y enviarlas a las listas de correos de snort, esta técnica de colaboración en comunidad ha convertido a snort en uno de los IDS en red más populares, actualizadas y fuertes, de código abierto.

 

Para obtener más información visite https://www.snort.org/documents



Artículos que te pueden interesar