Escolar Documentos
Profissional Documentos
Cultura Documentos
2. Materiales y recursos.
3. Contenidos.
3.1. Conceptos generales.
3.1.1. Protocolos.
3.1.2. Direcciones IP.
3.1.3. Máscara IP.
3.3.4. Shocket.
3.3.5. DHCP.
3.3.6. Dominios y sistemas de nombres de dominio.
3.2. Puertos de comunicación.
3.2.1. Clasificación de los puertos.
3.2.2. Detección del estado de los puertos.
3.2.2.1. Detección usando el sistema operativo.
3.2.2.2. Detección mediante un escaneado on-line.
3.2.2.3. Detección mediante herramientas específicas.
3.3. Ataques a la conexión y a los puertos de comunicación.
3.3.1. Escaneo de puertos.
3.3.1.1. Fundamentos de comunicación entre dos
ordenadores.
3.3.1.2. Tipos de escaneo de puertos.
3.3.1.3. Técnicas de escaneo de puertos según el protocolo
empleado.
3.3.2. Ataques por intercepción de paquetes y sobre protocolos.
3.3.3. Denegación de servicio.
3.3.4. Denegación de servicio distribuido.
3.3.4.1. Herramientas utilizadas para ataques DDoS.
3.3.4.2. Ejemplo de ataque DDoS.
3.3.4.3. Defensas contra ataques DoS/DDoS.
3.4. Cortafuegos.
3.4.1. Clasificación de los cortafuegos.
3.4.2. Cortafuegos comerciales.
3.4.2.1. Cortafuegos para Windows.
3.4.3. Outpost Personal Firewall Pro
3.4.3.1. Características generales.
3.4.3.2. Trabajando con Outpost Personal Firewall Pro.
3.4.3.3. Comparativas de Outposte Personal Firewall Pro con
otros cortafuegos.
3.5. Sistemas de detección de intrusos.
3.5.1. Componentes de un IDS.
3.5.2. Tipos de IDS.
3.5.3. Colocación de los IDS.
3.5.4. Snort.
3.5.5. GFI Languard Security Event Log Monitor (S.E.L.M.).
4. Resumen.
SEGURIDAD EN LOS PUERTOS Unidad 3
¬ Saber qué función desempeñan los protocolos, direcciones IP, DNS y los
puertos de comunicación.
¬ Conocer los grupos de puertos y los ataques que pueden ir dirigidos a
ellos.
¬ Saber identificar los tipos de ataques contra la conexión y los protocolos.
¬ Conocer y manejar las herramientas de detección de escaneo de
puertos.
¬ Conocer qué es un cortafuegos, los tipos existentes y la instalación y
manejo de uno de ellos.
¬ Conocer en qué consiste un sistema de detección de intrusos y los tipos
más importantes.
Los protocolos de comunicación son conjuntos de reglas que deben cumplir los
dispositivos que desean establecer comunicación entre sí. Los protocolos de
De 224.0.0.0 a 4
D
239.255.255.255
De 240.0.0.0 a 5
E
247.255.255.255
Para que las máquinas bajo TCP/IP sepan cómo y por dónde enviar un
mensaje se utiliza la máscara que no es más que una serie de 4 números,
similar al formato de una dirección IP, que ejecutado bit a bit con una dirección
IP, le indica al sistema si esta dirección IP pertenece a la subred local - y por
tanto es alcanzable mediante broadcast - o no pertenece a la subred local, y
por tanto el mensaje TCP, hay que enviarlo al gateway o puerta de enlace de
nuestra red. Si la máscara está mal en algunos de los equipos, pueden suceder
problemas de todo tipo.
Por ejemplo, cuando se visualiza una página web, los datos que vemos en la
pantalla de nuestro ordenador han viajado a través del socket que se ha
establecido entre la máquina origen (la dirección IP de www.mentor.mec.es por
ejemplo) y el puerto 80 (que es el puerto utilizado para comunicar con los
servidores web), y la dirección IP de la máquina destino (nuestra IP) y un puerto
cualquiera que el navegador ha seleccionado en ese momento del rango de los
puertos libres en nuestra máquina.
Existen dos tipos de dominios de nivel más alto: dominios de tipo organización
y dominios de tipo geográfico.
Dentro del dominio hay que distinguir el dominio de nivel más alto, org, que
indica que el servidor pertenece a una organización sin ánimo de lucro y el
subdominio, host55, que indica el nombre específico del ordenador que utiliza
ese usuario.
Ar Argentina Mx México
Br Brasil Ca Canadá
Cu Cuba Es España
No Noruega De Alemania
It Italia Ch Chile
Los (Domain Name Server) son grandes ordenadores distribuidos por toda
la web, que comprueban el nombre de dominio y lo convierten a una dirección
IP. De esta forma el usuario solo debe recordar nombres y no números.
Para poder visualizar todos estos parámetros hay que ejecutar el comando
IPCONFIG que, con el parámetro /all permite obtener los resultados mostrados
en la figura 3.2.
Cuando cualquier ordenador establece una conexión con Internet pasa a formar
parte de la inmensa red de ordenadores y se diferencia del resto por su
dirección (Internet Protocole) un número formado por cuatro grupos de
cuatro cifras del estilo xxx.xxx.xxx.xxx.
Ahora bien; dependiendo del servicio elegido (web, e-mail, FTP, etc.) la
comunicación con el servidor se realiza abriendo un puerto de comunicación
diferente en cada caso. Así por ejemplo, cuando se abre una página web, el
servidor que contiene dicha página atiende la petición abriendo el puerto 80;
cuando se establece conexión con un servidor de FTP, éste lo hace a través del
puerto 21.
En una (Universal Resource Locator) los puertos se identifican con los dos
puntos ':' a continuación del nombre de la máquina, por ejemplo:
http://www.detodounpoco.es:80/agenda.html significa que el documento
agenda.html es solicitado mediante el servicio http conectándose al puerto 80
de este servidor. Como 80 es el puerto por defecto utilizado para http puede
omitirse sin problemas.
Tener un puerto abierto siempre es un peligro ya que los puertos son puntos de
acceso a aplicaciones que pueden tener vulnerabilidades que pueden ser
aprovechadas por otros usuarios. Por tanto, para tener un cierto nivel de
seguridad hay que tener en cuenta el siguiente par de recomendaciones:
Ahora hay que ir comprobando todas las conexiones que tenemos, qué están
haciendo y qué puerto están utilizando (se identifican porque van después del
signo : ). En el momento que identifiquemos un puerto de troyanos (consultar el
listado de puertos de troyanos) cuyo estado sea ESTABLISHED sabremos con
toda seguridad que estamos siendo víctimas de la actividad de de algún
troyano.
pcSuper Scanner
SuperScan
Sin duda alguna, esta herramienta, disponible de forma gratuita en Internet (Ver
dirección en el apartado de materiales de la mesa de trabajo) es bastante completa
ya que además de chequear los puertos del ordenador, permite realizar pings,
efectuar traceroutes o utilizar whois para averiguar el nombre de host de una
determinada dirección IP.
No obstante no hay que ser alarmistas y tener algunas cosas bien claras:
‚ Hay puertos abiertos que son totalmente inofensivos pero hay otros que
pueden permitir el control total de nuestro ordenador. Cuantos menos
tengamos abiertos, mejor.
‚ Si nuestro ordenador forma parte de una red de Windows y tenemos NT,
2000 o XP, mejor que 95-98, debemos poner contraseñas a nuestros
recursos y no dejar nada sin proteger, pensando en todo momento como
si no estuviéramos solos en la red.
‚ Escaneo de puertos.
‚ Ataques por intercepción de paquetes y sobre protocolos.
‚ Ataques de denegación de servicio.
Por lo general, nadie en su sano juicio usaría telnet para realizar un escaneo de
puertos masivo contra un sistema o contra toda una red. Para este cometido
existen multitud de herramientas muy conocidas en ambientes hackers que
pueden realizar esta tarea de una forma más o menos cómoda y automatizable.
El servidor que escucha todo lo que llega a sus puertos se identifica por medio
de su dirección IP y de un puerto determinado. El cliente establece la conexión
con el servidor a través de dicho puerto, que deberá estar abierto y disponible.
Una vez finalizada la transferencia se realiza otra operación en tres pasos pero
con paquetes FYN en vez de SYN.
8. . Lo que varia
significativamente de esta técnica con respecto a las otras es que se
utiliza el protocolo UDP (Universal Data Packect) que, a pesar de ser
más simple que el TCP, al escanear se vuelve sumamente complejo.
Esto se debe a que si un puerto está abierto no tiene porqué enviar un
paquete de respuesta y si está cerrado tampoco tiene porqué enviar un
paquete de error. Afortunadamente, la mayoría de los host suelen enviar
un paquete de error ICMP_PORT_UNREACH cuando un puerto UDP
esta cerrado. Esta técnica suele resultar desesperadamente lenta.
Una vez instalado aparece una ventana donde puede observarse una
barra de menús, una barra de iconos (inactivos en un principio) y una
casilla de introducción de filtros. Pulsando el primer icono situado más a
la izquierda, el programa detecta los interfaces de los que puede
capturar información (normalmente son las tarjetas de red a las que
puede acceder). Tras seleccionar una de ellas hay que hacer clic sobre
el botón Capture o sobre el botón Prepare (permite seleccionar algunos
parámetros de la captura) y pulsar sobre el botón Start.
Los ataques más importantes que utilizan esta técnica son los siguientes:
El ataque snork consiste en cruzar ambos servicios enviando una petición falsa
al servicio CHARGEN (que retorna una secuencia de caracteres pseudo-
aleatoria) falseando la dirección de origen dando como puerto de respuesta el
puerto ECHO (que responde a cualquier petición) de la máquina a atacar. De
esta forma, se inicia un juego de ping-pong infinito entre el PC atacado y la
máquina lanzadera (ver figura 3.13).
Este tipo de ataque puede considerarse una generalización del ataque ECHO-
CHARGEN y su nombre proviene de los dos conocidos juegos de ordenador
que pueden ser compartidos en línea.
Este tipo de ataque se basa en falsear la dirección y puerto origen para que
sean las mismas que la del destino. De esta forma, se envían al ordenador
atacado peticiones de conexión desde él mismo hasta él mismo (ver figura
3.15).
Para poder enviar un paquete de más de 65535 bytes, este se fragmenta (como
se ha visto en el ataque teardrop) y se reconstruye en el destino utilizando un
mecanismo de posición y desplazamiento relativo.
Puesto que el tamaño es inferior a 65535 bytes, los datos a enviar pueden
almacenarse en un único paquete IP fragmentado en n trozos, cada uno
perteneciente al mismo datagrama IP.
TRINOO
STACHELDRAHT
SHAFT
Este tipo de modelo tiene varios inconvenientes, entre ellos que se necesita
obtener el control de todas las máquinas implicadas en el proceso
(masters/slaves) lo que implica la obtención de un ataque exitoso para cada
máquina bajo control y que la presencia del hacker no sea detectada por el
administrador de red.
La justificación del porqué este ataque se pone como ejemplo, viene dada por
dos factores:
‚ Los ataques DDOS suelen ser una generalización de los ataques DOS,
con lo que un ejemplo de ataque distribuido es suficientemente complejo
como para obtener una idea de cómo funcionan realmente.
2. Inicio del ataque DDOS consistente en enviar desde los esclavos miles de
peticiones “correctas” de conexión TCP al puerto 179 a diferentes ISP. Se
falsea la dirección de origen de la petición y el puerto, colocando la dirección IP
de la víctima.
Una vez conocida la arquitectura del ataque, comenta Steve Gibson que tardó
más de tres horas en conseguir que su propio ISP bloqueara todos los
paquetes de conexiones que provenían del puerto 179/TCP.
Una vez conseguido el bloqueo del tráfico procedente del puerto 179/TCP, el
servidor web continuó sin estar operativo debido a otros ataques de inundación
de paquetes (TCP/UDP Flood) a los puertos 22/TCP (SSH), 23/TCP
(TELNET), 53/UDP (DNS), 80/TCP (WWW), 4001/TCP (Proxy), 6668/UDP
(IRC).
Las dos próximas secciones están dedicadas al estudio de los dos sistemas de
protección contra los ataques vistos con anterioridad: los cortafuegos o firewalls
y los sistemas de detección de intrusos o (Intrussion Detection System).
Para colmo de males, un alto porcentaje de quienes sí han oído hablar de estas
dos herramientas tienen la certeza de que sirven para protegerse de los virus y
de los hackers.
Sobra decir que, a no ser que se trate de usuarios informados y conscientes del
peligro que corre un ordenador al conectarse a Internet, todavía existe un
porcentaje significativo que desconoce que este tipo de software ayuda a estar
al corriente de lo que pasa en nuestro PC y a ser nosotros mismos quienes
controlemos la seguridad del sistema.
¿Ti e n e s i n st a l a d o e n t u PC u n co r t a f u e g o s o f i r e w a l l ?
Vo t o s t o t a l e s: 7 2 2
Una primera clasificación de los cortafuegos es la que tiene que ver con el tipo
de dispositivo empleado. De acuerdo con ésta, se clasifican en tres tipos:
‚ Stateful
Application Inspection firewalls). Se conocen familiarmente como
firewalls a nivel de red ya que trabajan en multitud de capas del modelo
‚ (Application
Gateway Firewall). Conocidos también como firewalls a nivel de
aplicación, se caracterizan porque, como su nombre indica, trabajan
principalmente en todos los niveles de la capa de aplicación, si bien
también pueden hacerlo en las capas de transporte, de red y de enlace a
datos. Basan su trabajo en reconocer y filtrar el tráfico que es solicitado
por aplicaciones (como un navegador web) o protocolos (FTP, HTTP...),
así como reconocer las sesiones y la autenticación de usuarios.
Constituyen los firewalls de más alto nivel, pero también son los más
lentos en cuanto a consumo de recursos del sistema y pueden provocar
problemas de incompatibilidad con ciertos protocolos con los que tengan
imposibilidad de trabajar.
‚ Versión gratuita.
‚ Versión comercial con importantes prestaciones
adicionales, incluyendo compatiblidad con Windows XP SP2.
‚ Controlar toda la actividad que tiene lugar en la red de área local a la que
está conectado nuestro ordenador.
‚ Proteger a menores del acceso a sitios de Internet ilegales o
inapropiados.
‚ Permitir el acceso total y minucioso al historial de conexiones efectuadas
en nuestro ordenador.
Las opciones que pueden ser activadas del menú Ver permiten modificar la
apariencia, visibilidad y algunos otros parámetros (Configuración avanzada)
como los mostrados en la figura 3.30. Lo mejor es dejarlas como están.
Así, por ejemplo, la figura 3.31 muestra la solicitud de una conexión saliente (a
Internet) por parte de un proceso (el navegador Firefox) que el cortafuegos
detecta como sospechoso. Las opciones posibles son permitir o bloquear el
acceso.
No hay que olvidar pulsar sobre el botón Aplicar antes de cerrar la ventana
Sistema para que los cambios sean efectivos.
La barra de iconos está compuesta por siete iconos, cada uno de los cuales
activa opciones incluidas en los diferentes menús de la barra de menús. Así por
ejemplo, si se activa el primer icono (un interrogante) puede seleccionarse
cualquiera de las cinco políticas mostradas en la figura 3.37, obtenidas
mediante la pestaña Política del menú Opciones.
De especial relevancia son los iconos Filtrar por intervalo de tiempo y el Visor
de registros (presente en el menú Herramientas). Ambos están relacionados ya
que el visor de registros mostrará los eventos que se produzcan en el intervalo
de tiempo establecido por el icono del filtrado: sesión actual, hoy o todo.
‚ Alertas visuales.
‚ Los seis tipos de complementos de Outpost Firewall Pro.
‚ Conexiones bloqueadas.
‚ Conexiones Permitidas.
‚ Control de componentes.
‚ Registro de sistema.
Los contenidos de los registros son archivos log (archivos que registran todo lo
que detecta y responde el cortafuegos). Las siguientes figuras ilustran los
contenidos de algunos de estos registros.
El impide que
aplicaciones legítimas ejecuten programas
desconocidos que pudieran poner en peligro
nuestro sistema.
La siguiente tabla muestra los resultados de las pruebas realizadas con ocho
de los cortafuegos más utilizados.
Zone
Outpost Outpost Kerio Sygate McAfee Zone
Producto Alarm Sygate
Pro Free PF Pro PF Alarm
PRO
Versión 2.0.212.2918 1.0.1817 2.1.4 3.7.159 5.0 5.0 4.1 3.7.159
Tamaño de la descarga
antes de la instalación, en 5.17 2.72 2.05 3.9 5.2 5.04 2.02 3.57
MB
Gratuito
Cantidad de análisis de
fuga bloqueados (Leak
Test)
Filtrado de aplicaciones
por nivel
Filtrado de paquetes por
nivel
Detección de ataques de
Internet
Protocolo para el filtrado
dinámico de paquetes
(Stateful Inspection)
Invisible a intrusos
Cuarentena para adjuntos
de correo (gusanos)
Bloqueo de referencias
de navegación
(referrers)
Bloqueo de animaciones
Flash
Bloqueo de publicidad
Bloqueo de ventanas
emergentes
Filtrado de código
ejecutable (ActiveX) en
sitios de Internet
Filtrado de código
ejecutable (ActiveX en
correo electrónico
Filtrado de Cookies en
sitios de Internet
Filtrado de Cookies en
correo electrónico
Filtrado de guiones
activos en sitios de
Internet
Filtrado de guiones
activos en correo
electrónico
Detección automática de
aplicaciones durante la
instalación
Detección automática de
parámetros de red
durante la instalación
Niveles predefinidos de
acceso para aplicaciones
Niveles predefinidos de
acceso al sistema
Actualización automática
Cambio simple de
configuraciones de
usuario
Grupo de direcciones
confiables
Visualización de
conexiones activas
Visualización de puertos
abiertos
Visualización del histórico
de conexiones
Filtrado del histórico de
conexiones
Protección de
configuración por
contraseña
Permitir / detener todo el
tráfico de Internet
Control paternal de
acceso
Visualización de traza
Mensajes de alerta
Operación en modo
silencioso
Disminución del tiempo
de conexión
Puntuación 37 26 19 28 20 20 12 14
‚ Invisible a intrusos
Normalmente, cuando su ordenador recibe una solicitud de conexión desde
un equipo remoto a un puerto cerrado, éste envía una respuesta al ordenador
solicitante indicando justamente, que dicho puerto está cerrado.
En modo invisible, el ordenador no responderá a dicha petición,
comportándose como si estuviera apagado o desconectado de Internet.
‚ Bloqueo de publicidad
La capacidad del cortafuegos para bloquear animaciones y publicidad no
solicitada, disminuye el uso del ancho de banda e incrementa la velocidad de
acceso a las páginas de Internet así como la satisfacción del usuario al
navegar.
‚ Visualización de traza
Utilidad específica que permite rastrear y obtener el origen de un ataque a su
ordenador.
‚ Mensajes de alerta
Los mensajes emergentes de alerta permiten advertir al usuario sobre
actividades potencialmente peligrosas que pudieran requerir su inmediata
atención.
‚ Puntuación
Cada característica marcada con un SI suma un punto. La puntuación es el
resultado de la suma de todos los Sí.
Destacar que el simple uso de un firewall puede crear una falsa sensación de
seguridad que de nada sirve si no son configurados y “mantenidos al día”
(aplicación de los parches/patches del fabricante, supervisión y adaptación al
tráfico de la red...).
Cada vez es más común que los fireawalls incluyan funcionalidades de IDS,
como ya hacen Agnitum Outpost Firewall, Kerio Personal Firewall, BlackICE PC
Protection... y bastantes otros. Aún así, las características IDS que incluye un
firewall son bastante limitadas, siendo preferible el uso de software IDS
especializado, como SNORT, CIDS (Cerberus Intrusión Detection System) y
MIDAS (Monitoring Intrusion Detection Administration System).
La combinación más usual suele ser un buen IDS (Snort suele ser la opción
elegida) con un sistema de base de datos (normalmente mySQL), generación
web con estadísticas (PHP), herramienta de control por consola (ACID,
Analysis Console for Intrusion Databases) y servidor web (Apache). El IDS
supone el núcleo central, la base de datos controla tanto la programación del
IDS como el registro de logs, PHP genera webs que Apache sirve y que
podemos consultar en tiempo real mediante cualquier navegador. ACID ayuda
a la programación y orquestación de todos los elementos. La única desventaja
es que la instalación y correcta configuración de Snort + mySQL + PHP + ACID
+ Apache es bastante tediosa y compleja.
Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en
cada host o en cada tramo de red, lo cual tendría cierta lógica en el caso de
grandes redes, aunque lo que realmente se prefiere es instalar el IDS en un
dispositivo por donde pase todo el tráfico de red que nos interese.
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas
Windows y UNIX/Linux. (Ver dirección en el apartado de materiales de la mesa de
trabajo). Es uno de los más usados y dispone de una gran cantidad de filtros o
patrones ya predefinidos, así como actualizaciones constantes ante casos de
ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de
los distintos boletines de seguridad.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué
ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite
guardar en un archivo los logs para su posterior análisis, un análisis off-line) o
como un IDS normal (en este caso NIDS).
C:\Snort20\bin>snort
-*> Snort! <*-
Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72)
By Martin Roesch (roesch@sourcefire.com, www.snort.org)
1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)
1.8 - 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)
USAGE: snort [-options] <filter options>
snort /SERVICE /INSTALL [-options] <filter options>
snort /SERVICE /UNINSTALL
snort /SERVICE /SHOW
Options:
-A Set alert mode: fast, full, console, or none (alert file alerts only)
-b Log packets in tcpdump format (much faster!)
-c <rules> Use Rules File <rules>
-C Print out payloads with character data only (no hex)
-d Dump the Application Layer
-e Display the second layer header info
-E Log alert messages to NT Eventlog. (Win32 only)
-f Turn off fflush() calls after binary log writes
-F <bpf> Read BPF filters from file <bpf>
-h <hn> Home network = <hn>
-i <if> Listen on interface <if>
-I Add Interface name to alert output
-k <mode> Checksum mode (all,noip,notcp,noudp,noicmp,none)
-l <ld> Log to directory <ld>
-L <file> Log to this tcpdump file
-n <cnt> Exit after receiving <cnt> packets
-N Turn off logging (alerts still work)
-o Change the rule testing order to Pass|Alert|Log
-O Obfuscate the logged IP addresses
-p Disable promiscuous mode sniffing
-P <snap> Set explicit snaplen of packet (default: 1514)
-q Quiet. Don't show banner and status report
-r <tf> Read and process tcpdump file <tf>
-R <id> Include 'id' in snort_intf<id>.pid file name
-s Log alert messages to syslog
-S <n=v> Set rules file variable n equal to value v
-T Test and report on the current Snort configuration
-U Use UTC for timestamps
-v Be verbose
-V Show version number
-W Lists available interfaces. (Win32 only)
-w Dump 802.11 management and control frames
-X Dump the raw packet data starting at the link layer
-y Include year in timestamp in the alert and log files
-z Set assurance mode, match on established sesions (for TCP)
-? Show this information
<Filter Options> are standard BPF options, as seen in TCPDump
C:\Snort20\bin>snort -v
Running in packet dump mode
Log directory = log
C:\Snort20\bin>snort -vd
Running in packet dump mode
Log directory = log
Initializing Network Interface \Device\NPF_{604C8AE3-5FAC-45A5-BFAA-81175A8C32BF}
.....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Con estas opciones y dependiendo del tráfico de la red, se puede visualizar por
pantalla bastante información que sería interesante registrar, guardando los
datos en el disco duro para su posterior estudio. El modo de trabajo de Snort
sería entonces como packet logger o registro de paquetes.
C:\Snort20\bin>snort -l ./log -b
Running in packet logging mode
Log directory = ./log
El archivo generado por snort en modo binario también podemos leerlo con
este usando la opción nombrearchivo.log.
C:\Snort20\bin>snort -vde -i 1
C:\Snort20\bin>snort -W
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Con al opción indicará a Snort que corra como un servicio. Esto es sólo
válido para las versiones Linux/UNIX.
3. Socket. Manda las alertas a través de un socket, para que las escuche otra
aplicación. Está opción es para Linux/UNIX.
# snort -A unsock -c snort.conf
Una versión completa de esta utilidad, válida por 30 días se puede descargar
desde Internet. (Ver dirección en el apartado de materiales de la mesa de trabajo).
En la misma dirección desde donde está la descarga, también se encuentran
disponibles dos archivos .pdf (en inglés) con las Instrucciones de instalación y
Manual de usuario.