PDF de programación - Snort - Qué es y para qué sirve

Herramientas para para detección de intrusos

Qué es y para qué sirve



Snort es un Sistema de Detección de Intrusos (IDS) basado en red (IDSN). Dispone de un
lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a
hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya
predefinidos que se pueden ajustar durante su instalación y configuración.

Se trata de un sistema basado en red que monitoriza todo un dominio de colisión y
funciona detectando usos indebidos. Estos usos indebidos (o sospechosos) se reflejan en
una base de datos formada por patrones de ataques. Dicha base de datos se puede
descargar también desde la propia página web de Snort, donde además se pueden
generar bases de patrones "a medida" de diferentes entornos (por ejemplo, ataques
contra servidores web, intentos de negaciones de servicio, exploits...).

En la página oficial de snort (http://www.snort.org) se puede comprobar que es uno de los
IDS más usados y populares entre los sistemas de detección de intrusos, ya que cuenta
con multitud de descargas diarias. Esta popularidad puede ser debida a que se puede
adquirir mediante licencia GPL gratuita ya que es código abierto y funciona bajo
plataformas Unix/Linux y Windows.

Es usual utilizarlo en combinación con herramientas del tipo Honeyput (tarro de miel) con
el fín de monitorizar e interpretar ataques reales en un escenario controlado.

IDS

Un Sistema de Detección de Intrusos (IDS) es una herramienta de seguridad que trata de
detectar y monitorizar cualquier intento de comprometer la seguridad en un sistema o una
red. Se pueden definir previamente una serie dereglas que impliquen una actividad
sospechosa en dicho sistema o red y generar una alerta en consecuencia.

Los IDS incrementan la seguridad de nuestro sistema o red y, aunque no están diseñados
para detener un determinado ataque, si que se pueden configurar para responder
activamente al mismo.

Tipos de IDS

Los IDS se pueden clasificar según el alcance de su protección:

HIDS (Host IDS): Protege contra un Host (Servidor o PC). Posibilita la monitorización de
gran cantidad de eventos para un posterior análisis detallado de las actividades
sospechosas de manera que se determina con precisión cuan involucrados se encuentran
los usuarios en una determinada acción. Todo ello ocurre en modo local, dentro del propio
sistema.

NIDS (Net IDS): Protege un sistema basado en red. Son sniffers del tráfico de red, ya que
capturan los paquetes de red y los analizan, normalmente en tiempo real, según las reglas
con las que ha sido configurado en busca de algún tipo de ataque.

DIDS (Distributed IDS) Protege un sistema con una arquitectura basada en cliente-
servidor formada por un conjunto de NIDS que actúan recopilando toda la información en
una base de datos central. La ventaja de este sistema es que cada NID se puede
configurar con las reglas específicas de control que se aplicarán a un determinado
segmento de red.

También se pueden clasificar según el tipo de respuesta que generan:

Pasivos: En este tipo de IDS, la herramienta recopila los datos que se generan como
consecuencia de las reglas que se han configurado y genera las alertas pertinentes,
notificando de posibles ataques al administrador de red, en su caso, pero no actúa en
consecuencia para evitar el ataque por si mismo.

Activos: Los IDS activos sí que responden a las actividades sospechosas que han sido
configuradas, tratando de evitar el posible ataque, cerrando la conexión, reprogramando
el cortafuegos, etc.

Como funciona

En la versión de Windows, es necesario instalar WinPcap. Este software consiste en un
driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y
una librería que facilita a las aplicaciones acceder a la capa de enlace saltándose la pila
de protocolos.

Snort puede funcionar en:

Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la red
en que Snort es configurado.

Modo packet logger (registro de paquetes), en el que se almacena en un sistema de log
toda la actividad de la red en que se ha configurado Snort para un posterior análisis.

Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la
actividad de la red a través de un fichero de configuración en el que se especifican las
reglas y patrones a filtrar para estudiar los posibles ataques.





¿Qué es Nmap?

Nmap es una herramienta de código abierto para exploración de red y auditoría de seguridad. Se
diseñó para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos
individuales. Nmap utiliza paquetes IP "crudos" («raw», N. del T.) en formas originales para
determinar qué equipos se encuentran disponibles en una red, qué servicios (nombre y versión de
la aplicación) ofrecen, qué sistemas operativos (y sus versiones) ejecutan, qué tipo de filtros de
paquetes o cortafuegos se están utilizando así como docenas de otras características. Aunque
generalmente se utiliza Nmap en auditorías de seguridad, muchos administradores de redes y
sistemas lo encuentran útil para realizar tareas rutinarias, como puede ser el inventariado de la red,
la planificación de actualización de servicios y la monitorización del tiempo que los equipos o
servicios se mantiene activos.



¿Qué es Nessus?

¿Qué es Nessus?

Nessus es un programa de escaneo de vulnerabilidades. Consiste en dos partes nessusd, el daemon Nessus,

que es el encargado de realizar el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o

gráfico) que muestra el avance y resultados de los escaneos.

Desde la consola nessus puede ser programado con cron para hacer escaneos o actualizar la base de datos

de plugins.

En operación normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de

puertos, para buscar puertos abiertos y después intentara usar varios exploits para atacarlo.

Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus

Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), un lenguaje

scripting optimizado para interacciones personalizadas en redes.

Adicionalmente, Nessus es capaz de exportar los resultados del escaneo en varios formatos, como texto

plano, XML, HTML, y LaTeX. Los resultados también pueden ser guardados en una base de datos como

referencia en futuros escaneos de vulnerabilidades.

OJO!

Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos

se corrompan y caigan.

Podéis evitar esto desactivando “unsafe test” (pruebas no seguras) antes de escanear.



http://books.google.com.mx/books?id=dG4lAwAAQBAJ&pg=PA170&lpg=PA170&dq=herramientas+para+la+s

eguridad+politicas+de+seguridad&source=bl&ots=N46TxSN4B8&sig=mkJ3A64tCANXoCNZS1lypLdApy8&hl=

es&sa=X&ei=51hgU66vIILE2wX3poDYDg&ved=0CHAQ6AEwCQ#v=onepage&q=herramientas%20para%20la

%20seguridad%20politicas%20de%20seguridad&f=false