Escolar Documentos
Profissional Documentos
Cultura Documentos
Ir a la navegaciónIr a la búsqueda
Snort
www.snort.org
Información general
Programado en C
1Historia
2Funcionamiento
3Véase también
4Enlaces externos
Historia[editar]
En noviembre de 1998, Marty Roesch escribió un programa para Linux llamado APE. Sin
embargo, carecía de lo siguiente:
Funcionamiento[editar]
Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante
su instalación, provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP,
ataques web, CGI, Nmap, entre otros.
Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con
algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de
dónde y cómo se produjo el ataque.
Snort tiene una base de datos de ataques que se actualiza constantemente a través
de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos
ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética
de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más
populares, actualizados y robustos.
Snort
Todo un veterano cuando se trata de análisis de paquetes. La primera versión vió la luz allá por
1998. Cabe mencionar que en aquel momento no se contempló como IDS puro, pero fue
evolucionando hasta ese punto poco a poco.
Desde entonces se ha ido convirtiendo en un estandar para sistemas de detección de
intrusiones, eventualmente IPS (Intrusion Prevention System) gracias al trabajo de la
comunidad. Sistemas como el de AlienVault lo integran para el análisis de riesgos.
Características,
Entre sus ventajas, podemos destacar varios aspectos. Uno de los más evidentes es su
longevidad y la buena salud del proyecto, algo que nos permite implementarlo sin
preocuparnos por el futuro. También destaca el gran apoyo de la comunidad Snort y por tanto
el hecho de ser una herramienta muy probada.
Como desventajas solo podemos decir que Snort no cuenta por defecto con un GUI o interfaz
gráfica de usuario por defecto, por tanto no es tan fácil de administrar como otras. Sin
embargo, existen herramientas opensource para compensarlo, como Snorby o Squil, así que
no es un problema realmente.
Suricata (software)
De Wikipedia, la enciclopedia libre
Suricata
Desarrollador (es) Fundación abierta de seguridad de la
información
meses
8 meses
Escrito en do
X ,Microsoft Windows
Contenido
1características
2herramientas de terceros
3sistemas de detección de intrusión gratis
4ver tambien
5referencias
6enlaces externos
Características [ editar ]
[4]
Multihilo
Detección automática de protocolo
Gzip descompresión
Biblioteca HTP independiente
Métodos de entrada estándar
Salida Unified2
Variables de flujo
Rápida coincidencia de IP
Módulo de registro HTTP
Aceleración de la tarjeta gráfica
Binarios de Windows
Lua scripting [5]
Salida de preludio [6]
coincidencia de archivos, registro, extracción, cálculo de suma de comprobación
md5 [6]
Reputación de IP
Registrador de DNS
en un lanzamiento futuro
[4]
Snorby
BASE
Sguil (gratis)
Aanval (comercial)
Telesoft CERNE Open IDS Platform (comercial)
Suricata
Podríamos decir que la única razón para no utilizar Snort es estar utilizando Suricata. Aunque
se trata de una herramienta IDS de arquitectura distinta, se comporta de la misma manera que
Snort y usa las mismas firmas. De hecho, es capaz de funcionar sobre Snort, formando un
poderoso tándem.
A continuación enumeraré algunos de los puntos clave de este sistema de detección de
intrusiones avanzado:
Multi-hilo: Snort se ejecuta en modo uni-hilo y por tanto solo puede aprovechar un
núcleo de la CPU al mismo tiempo. Suricata aprovecha los procesadores multi-núcleo y
multi-threading. Existen benchmarks que demuestran una considerable diferencia de
rendimiento.
LuaJIT: nos proporcionará el poder que nos falta mediante scripting, pudiendo
combinar varias reglas, para buscar elementos con mayor eficiencia.
Más que paquetes: Suricata no solo es capaz de analizar paquetes, también puede
revisar los certificados TLS/SSL, peticiones DNS, solicitudes HTTP…
Dadas sus fortalezas, no extraña que siga siendo una de las herramientas de detección de
intrusiones más populares.
Bro
A veces llamado Bro-IDS o simplemente Bro, este sistema es algo distinto de los dos
anteriores. En cierto modo, Bro es tanto un IDS basado en anomalías como en firmas. El tráfico
capturado generará una serie de eventos. Por ejemplo, un evento podría ser un inicio de
sesión de usuario a un FTP, conexión a servicio web o casi cualquier cosa.
El verdadero punto fuerte de Bro es el Intérprete de Políticas Script. Con su propio lenguaje de
adminsitración (Bro-Script) nos ofrece posibilidades muy interesantes.
Si alguna vez has querido automatizar parte de tus tareas de análisis y recolección de datos,
esta es la herramienta que buscas. Por poner un ejemplo de su versatilidad, con Bro podríamos
descargar ficheros encontrados en nuestro entorno, remitirlos para un análisis de malware,
notificar si se encuentra un problema y después introducir en la lista negra la fuente del
mismo. Como colofón, incluso podríamos apagar el equipo remoto del usuario que lo
descargó.
En caso de no ser un analista con cierta experiencia, podrías acusar una curva de aprendizaje
bastante fuerte y quizá deberías fijarte antes en otra herramienta como Suricata o Snort. Sin
embargo, en caso contrario te interesa bastante, porque además es capaz de detectar más
patrones de actividad que la mayoría de IDS.
OSSEC
De Wikipedia, la enciclopedia libre
Este artículo incluye una lista de referencias , pero sus fuentes no están
claras porque no tiene suficientes citas en línea . (Julio 2015)
OSSEC
meses
1historia
2componentes de software
3vea también
4referencias
5enlaces externos
Historia [ editar ]
En junio de 2008, Third Brigade, Inc. adquirió el proyecto OSSEC y todos los derechos de
autor propiedad de Cid, el líder del proyecto. Prometieron continuar contribuyendo a la
comunidad de código abierto y extender el soporte comercial y la capacitación al código
abierto de OSSEC. comunidad.
En mayo de 2009, Trend Micro adquirió Third Brigade y el proyecto OSSEC, con la
promesa de mantenerlo en código abierto y gratuito.
Cumple con los requisitos del Estándar de seguridad de datos de la industria de tarjetas de
pago (PCI DSS).
OSSEC