Snort

Ir a la navegaciónIr a la búsqueda

Snort

www.snort.org

Información general

Desarrollador(es) Cisco Systems y Sourcefire

Última versión 2.9.12 (info)

estable 11 de octubre de 2018 (1 mes y 22 días)

Género Sistema de detección de intrusos en red

(NIDS)

Programado en C

Sistema operativo Multiplataforma

Licencia GPLv2 y comercial

[editar datos en Wikidata]

Snort es un sistema de detección de intrusos en red, libre y gratuito. Ofrece la capacidad

de almacenamiento de bitácoras en archivos de texto y en bases de datos abiertas,
como MySQL. Implementa un motor de detección de ataques y escaneo de puertos que
permite registrar, alertar y responder ante cualquier anomalía previamente definida.
 Índice

 1Historia
 2Funcionamiento
 3Véase también
 4Enlaces externos

Historia[editar]
En noviembre de 1998, Marty Roesch escribió un programa para Linux llamado APE. Sin
embargo, carecía de lo siguiente:

 Incapacidad para trabajar en múltiples sistemas operativos.

 Capacidad para trabajar con el formato hexdump.
 Mostrar todos los tipos de paquetes de la misma forma.
A partir de ello, se comenzó a desarrollar como una aplicación de libcap, que le dio
portabilidad.

Funcionamiento[editar]
Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante
su instalación, provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP,
ataques web, CGI, Nmap, entre otros.
Puede funcionar como sniffer y registro de paquetes. Cuando un paquete coincide con
algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de
dónde y cómo se produjo el ataque.
Snort tiene una base de datos de ataques que se actualiza constantemente a través
de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos
ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética
de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más
populares, actualizados y robustos.

Snort

Todo un veterano cuando se trata de análisis de paquetes. La primera versión vió la luz allá por
1998. Cabe mencionar que en aquel momento no se contempló como IDS puro, pero fue
evolucionando hasta ese punto poco a poco.
Desde entonces se ha ido convirtiendo en un estandar para sistemas de detección de
intrusiones, eventualmente IPS (Intrusion Prevention System) gracias al trabajo de la
comunidad. Sistemas como el de AlienVault lo integran para el análisis de riesgos.

Características,

Entre sus ventajas, podemos destacar varios aspectos. Uno de los más evidentes es su
longevidad y la buena salud del proyecto, algo que nos permite implementarlo sin
preocuparnos por el futuro. También destaca el gran apoyo de la comunidad Snort y por tanto
el hecho de ser una herramienta muy probada.

Como desventajas solo podemos decir que Snort no cuenta por defecto con un GUI o interfaz
gráfica de usuario por defecto, por tanto no es tan fácil de administrar como otras. Sin
embargo, existen herramientas opensource para compensarlo, como Snorby o Squil, así que
no es un problema realmente.

Suricata (software)
De Wikipedia, la enciclopedia libre

Saltar a navegaciónSaltar a búsqueda

Suricata
 Desarrollador (es) Fundación abierta de seguridad de la

información

Lanzamiento estable 4.0.5 / 18 de julio de 2018 ; hace 4

meses

Vista previa del lanzamiento 4.1beta1 / 23 de marzo de 2018 ; hace

8 meses

Escrito en do

Sistema operativo FreeBSD , Linux ,UNIX , Mac OS

X ,Microsoft Windows

 Sistema de detección de intrusos

Tipo
 Sistema de Prevención de Intrusión

Licencia Licencia pública general de GNU [1]

Sitio web suricata-ids .org

Suricata es un sistema de detección de intrusos basado en código abierto (IDS) y

un sistema de prevención de intrusos (IPS). Fue desarrollado por la Open Information
Security Foundation (OISF). Una versión beta fue lanzada en diciembre de 2009, con el
primer lanzamiento estándar en julio de 2010. [2] [3]

Contenido

 1características
 2herramientas de terceros
 3sistemas de detección de intrusión gratis
 4ver tambien
 5referencias
 6enlaces externos

Características [ editar ]
[4]

 Multihilo
 Detección automática de protocolo
 Gzip descompresión
 Biblioteca HTP independiente
 Métodos de entrada estándar
 Salida Unified2
 Variables de flujo
 Rápida coincidencia de IP
 Módulo de registro HTTP
 Aceleración de la tarjeta gráfica
 Binarios de Windows
 Lua scripting [5]
 Salida de preludio [6]
 coincidencia de archivos, registro, extracción, cálculo de suma de comprobación
md5 [6]
 Reputación de IP
 Registrador de DNS
en un lanzamiento futuro
[4]

 Variables de flujo global

Herramientas de terceros [ editar ]

Las herramientas de terceros disponibles para Snort son compatibles con Suricata,
como las siguientes:

 Snorby
 BASE
 Sguil (gratis)
 Aanval (comercial)
 Telesoft CERNE Open IDS Platform (comercial)

Suricata

Podríamos decir que la única razón para no utilizar Snort es estar utilizando Suricata. Aunque
se trata de una herramienta IDS de arquitectura distinta, se comporta de la misma manera que
Snort y usa las mismas firmas. De hecho, es capaz de funcionar sobre Snort, formando un
poderoso tándem.
A continuación enumeraré algunos de los puntos clave de este sistema de detección de
intrusiones avanzado:

 Multi-hilo: Snort se ejecuta en modo uni-hilo y por tanto solo puede aprovechar un
núcleo de la CPU al mismo tiempo. Suricata aprovecha los procesadores multi-núcleo y
multi-threading. Existen benchmarks que demuestran una considerable diferencia de
rendimiento.

 Aceleración mediante hardware: es posible utilizar tarjetas gráficas para inspecionar

tráfico de red.

 Extracción de ficheros: si alguien se descarga malware en nuestro entorno, es

posible capturarlo y estudiarlo desde Suricata.

 LuaJIT: nos proporcionará el poder que nos falta mediante scripting, pudiendo
combinar varias reglas, para buscar elementos con mayor eficiencia.

 Más que paquetes: Suricata no solo es capaz de analizar paquetes, también puede
revisar los certificados TLS/SSL, peticiones DNS, solicitudes HTTP…

Dadas sus fortalezas, no extraña que siga siendo una de las herramientas de detección de
intrusiones más populares.

Bro

A veces llamado Bro-IDS o simplemente Bro, este sistema es algo distinto de los dos
anteriores. En cierto modo, Bro es tanto un IDS basado en anomalías como en firmas. El tráfico
capturado generará una serie de eventos. Por ejemplo, un evento podría ser un inicio de
sesión de usuario a un FTP, conexión a servicio web o casi cualquier cosa.

El verdadero punto fuerte de Bro es el Intérprete de Políticas Script. Con su propio lenguaje de
adminsitración (Bro-Script) nos ofrece posibilidades muy interesantes.
Si alguna vez has querido automatizar parte de tus tareas de análisis y recolección de datos,
esta es la herramienta que buscas. Por poner un ejemplo de su versatilidad, con Bro podríamos
descargar ficheros encontrados en nuestro entorno, remitirlos para un análisis de malware,
notificar si se encuentra un problema y después introducir en la lista negra la fuente del
mismo. Como colofón, incluso podríamos apagar el equipo remoto del usuario que lo
descargó.

En caso de no ser un analista con cierta experiencia, podrías acusar una curva de aprendizaje
bastante fuerte y quizá deberías fijarte antes en otra herramienta como Suricata o Snort. Sin
embargo, en caso contrario te interesa bastante, porque además es capaz de detectar más
patrones de actividad que la mayoría de IDS.
OSSEC
De Wikipedia, la enciclopedia libre

Saltar a navegaciónSaltar a búsqueda

ocultarEste artículo tiene varios problemas. Por favor, ayude

a mejorarlo o discuta estos temas en la página de discusión . ( Aprenda
cómo y cuándo eliminar estos mensajes de plantilla )

Este artículo se basa demasiado en las referencias a fuentes

primarias . (Mayo 2012)

Este artículo incluye una lista de referencias , pero sus fuentes no están
claras porque no tiene suficientes citas en línea . (Julio 2015)

OSSEC

Desarrollador (es) Daniel B. Cid

Lanzamiento estable 2.9.3 / 23 de diciembre de 2017 ; hace 11

meses

 github .com / ossec / ossec-hids

Repositorio

Sistema operativo Multiplataforma

Tipo Seguridad / HIDS

Licencia GNU GPL v2

Sitio web www.ossec.net

OSSEC (Open Source HIDS de seguridad) es un libre , de código abierto sistema de

detección de intrusiones basado en host(HIDS). Realiza análisis de registro ,
comprobación de integridad, supervisión de registro de Windows , detección de rootkits ,
alertas basadas en el tiempo y respuesta activa. Proporciona detección de intrusiones para
la mayoría de los sistemas operativos, incluidos Linux , OpenBSD , FreeBSD , OS
X , Solaris y Windows . OSSEC tiene una arquitectura centralizada y multiplataforma que
permite que múltiples sistemas sean fácilmente monitoreados y administrados. [1]OSSEC
tiene un motor de análisis de registros que puede correlacionar y analizar registros de
múltiples dispositivos y formatos. [2]
 Contenido

 1historia
 2componentes de software
 3vea también
 4referencias
 5enlaces externos

Historia [ editar ]
En junio de 2008, Third Brigade, Inc. adquirió el proyecto OSSEC y todos los derechos de
autor propiedad de Cid, el líder del proyecto. Prometieron continuar contribuyendo a la
comunidad de código abierto y extender el soporte comercial y la capacitación al código
abierto de OSSEC. comunidad.
En mayo de 2009, Trend Micro adquirió Third Brigade y el proyecto OSSEC, con la
promesa de mantenerlo en código abierto y gratuito.
Cumple con los requisitos del Estándar de seguridad de datos de la industria de tarjetas de
pago (PCI DSS).

Componentes de software [ editar ]

OSSEC consiste en una aplicación principal, un agente y una interfaz web . [3]

 Administrador (o servidor), que se requiere para redes distribuidas

o instalaciones independientes .
 Agente , un pequeño programa instalado en los sistemas a monitorear.
 El modo sin agente , se puede usar para monitorear firewalls, enrutadores e incluso
sistemas Unix.

OSSEC

En el mundo de los sistemas de Detección de Intrusiones

basadas en Host o HIDS no existe mucha vida más allá de
OSSEC. Al menos, si buscamos un sistema “total”, probado y
con un buen soporte. Digamos que OSSEC es la referencia
absoluta en este ámbito, cuya alternativa únicamente podría
ser Tripwire OpenSource si queremos cambiar a otro sistema
con garantías.
OSSEC se ejecutará sin problemas en cualquier sistema
operativo y utiliza una arquitectura de cliente-servidor, tan
importante en un sistema tipo HIDS. ¿Por qué? Debido a que
un HIDS podría ser también afectado por un ataque (con el
consiguiente compromiso de la información forense recabada
por él) y por tanto es vital que toda la información tratada en el
sistema sea evacuada a una ubicación segura cuanto antes.
 Así, este sistema incorpora una arquitectura en la que se
envían alertas y registros a un servidor centralizado, donde se
podrá llevar a cabo el análisis de datos, incluso si el sistema es
comprometido/atacado.

Otra ventaja innegable es la de contar con un control

centralizado de los agentes desde un servidor único. Dado que
los despliegues pueden alcanzar cientos o miles de clientes,
por el bien del administrador es necesario poder hacerlo en
bloque.

OSSEC Wazzuh ha sido recientemente actualizado y es un

sistema totalmente recomendable por su potencia y elasticidad.
La instalación es extremadamente liviana (menos de 1 MB) y la
mayor parte del análisis tiene lugar en el servidor especificado,
así que la carga sobre los clientes será inapreciable.
Principales características del sistema:

 Agentes disponibles para cualquier sistema operativo

mayoritario
 Dispone de agentes compilados para Windows
 Funcionalidad muy extensa
 Instalación sencilla

OSSEC se integra de forma completa con USM, tanto para

instalar un agente en servidores, modificar políticas o investigar
las capacidades de respuesta activa del sistema HIDS. Todo se
puede hacer desde el entorno USM, y los clientes de OSSEC
están pre-integrados en los motores de Correlación y SIEM.