PDF de programación - A5 – Detección de ataques en red con Snort

A5 – Detección de
ataques en red con
Snort

Joaquín García Alfaro

c

FUOC

Índice

A5 – Detecci ón de ataques en red con Snort

5.1. Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.1. Origen de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.2. Arquitectura de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.3. Consideraciones de seguridad con Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.1.4. Utilización de ACID como interfaz gráfica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3
4
6
12
13

Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

22

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

23



c

FUOC

5.1. Snort
.

3

A5 – Detección de ataques en red con Snort

Snort es una completa herramienta de seguridad basada en código abierto para la creación
de sistemas de detección de intrusos en entornos de red. Cuenta con una gran popularidad
entre la comunidad de administradores de redes y servicios. Gracias a su capacidad para la
captura y registro de paquetes en redes TCP/IP, Snort puede ser utilizado para implementar
desde un simple sniffer de paquetes para la monitorización del tráfico de una pequeña red,
hasta un completo sistema de detección de intrusos en tiempo real.

Mediante un mecanismo adicional de alertas y generación de ficheros de registro, Snort
ofrece un amplio abanico de posibilidades para la recepción de alertas en tiempo real acerca
de los ataques y las intrusiones detectadas.

Tal y como indica el autor de la aplicación, como monitor de red, Snort se comporta
como una auténtica aspiradora (de ahí su nombre) de datagramas IP, ofreciendo diferentes
posibilidad en cuanto a su tratamiento. Desde actuar como un simple monitor de red pasivo
que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de
enviar a servidores de ficheros de registro o servidores de base de datos todo el tráfico
capturado.

Pero, aparte de unas estupendas características como sniffer de paquetes y generador de
alertas e informes, Snort tiene muchas otras características que le han permitido conver-
tirse en una de las soluciones software más completas para la construcción de sistemas
de detección en entornos de red basados en reconocimiento de patrones. Snort debería
considerarse como un NIDS ligero*. Este calificativo de ligero significa que, como IDS,
su diseño e implementación le permite poder funcionar bajo diferentes sistemas operati-
vos y que sus funciones como mecanismo de detección podrán formar parte en distintos
productos de seguridad (incluso comerciales).

La popularidad de Snort se ha incrementado estos últimos años en paralelo al incremen-
to de popularidad de sistemas operativos de código abierto como puede ser el sistema
operativo GNU/Linux o la familia de sistemas operativos de BSD (NetBSD, OpenBSD y
FreeBSD).

Pero su naturaleza como producto de código abierto no le limita a estar disponible únicamente
bajo este tipo de sistemas operativos. Snort puede funcionar bajo soluciones comerciales
como, por ejemplo, Solaris, HP-UX, IRIX e incluso sistemas Microsoft Windows.

Desde el punto de vista del motor de detección, Snort estaría incluido en la categoría
de detección basada en usos indebidos. Mediante un reconocimiento de firmas, Snort
contrastará todo el tráfico capturado en sus reglas de detección.

* En ingl és, lightweight NIDS
(Network Intrusion Detection
System).



c

FUOC

4

A5 – Detección de ataques en red con Snort

Una regla de detección no es más que un conjunto de requisitos que le permitirán, en
caso de cumplirse, activar una alarma. Por ejemplo, una regla de Snort que permitiría
verificar el uso de aplicaciones peer-to-peer para el intercambio de ficheros a través de
Internet verificaría el uso de la cadena GET en servicios diferentes al puerto tradicional
del protocolo HTTP. Si un paquete capturado por Snort coincide con esta sencilla regla, su
sistema de notificación lanzará una alerta indicando lo sucedido. Una vez que la alerta sea
lanzada, puede ser almacenada de distintas maneras y con distintos formatos como, por
ejemplo, un simple fichero de registro del sistema, una entrada en una base de datos de
alertas, un evento SNMP, etc.

A continuación veremos los orígenes de Snort, así como un análisis de su arquitectura
y algunas de sus características más destacables. Veremos también algunos problemas de
seguridad que existen tras la utilización de Snort y la forma de solventarlos.

5.1.1. Origen de Snort

De forma muy resumida, podemos definir Snort como un sniffer de paquetes con
funcionalidades adicionales para el registro de éstos, generación de alertas y un
motor de detección basado en usos indebidos.

Snort fue desarrollado en 1998 bajo el nombre de APE. Su desarrollador, Marty Roesch,
trataba de implementar un sniffer multiplataforma (aunque su desarrollo inicial se hizo
para el sistema operativo GNU/Linux) que contara con diferentes opciones de clasificación
y visualización de los paquetes capturados. Marty Roesch implementó Snort como una
aplicación basada en la librería libcap (para el desarrollo de la captura de paquetes) lo
cual garantizaba una gran portabilidad, tanto en la captura como en el formato del tráfico
recogido.

Snort empezó a distribuirse a través del sitio web Packet Storm (http://www.packet-
stormsecurity.com) el 22 de diciembre de 1998, contando únicamente con mil seis-
cientas líneas de código y un total de dos ficheros fuente. Por aquella época, el uso princi-
pal que le dio su autor era como analizador de sus conexiones de red a través de un cable
módem y como debugger de las aplicaciones de red que estaba implementado.

El primer analizador de firmas desarrollado para Snort (también conocido como analizador
de reglas por la comunidad de desarrollo de Snort) se añadió como nueva funcionalidad de
la aplicación en enero de 1999. Esta nueva funcionalidad permitió que Snort comenzase a
ser utilizado como detector de intrusiones.

Versi ón comercial de Snort

Aunque Snort está disponible
bajo licencia GPL (GNU
Public License), existen
productos comerciales
basados directamente en
Snort y distribuidos por la
empresa Sourcefire, fundada
por el creador de Snort,
Marty Roesch. El análisis de
estas versiones comerciales
quedan fuera del propósito
de este material. Para más
información, visitad
www.sourcefire.com.

Algo m ás que un sniffer ...

El autor de Snort trataba de
indicar con este nombre que
su aplicación era algo más
que un sniffer. La palabra
Snort significa en ingl és una
acción de inhalar o esnifar de
forma más obsesiva y
violenta. Además, Marty dijo
en su momento que ya tenía
demasiadas aplicaciones que
se llamaran a.out y que
todos los nombres populares
para sniffers, llamados
TCP-something ya estaban
cogidos.



c

FUOC

5

A5 – Detección de ataques en red con Snort

* En www.sourcefire.com
encontrareis más
información.

En diciembre de 1999 apareció la versión 1.5 de Snort. En esta versión su autor decidió
una nueva arquitectura basada en plug-ins que aún se conserva en las versiones actuales. A
partir de esta versión, Marty Roesch abandonó la compañía donde trabajaba y se empezó a
dedicar a tiempo completo a añadir nuevas funcionalidades para mejorar las capacidades de
configuración y facilitar su uso en entornos más profesionales. Gracias a la gran aceptación
que su IDS estaba obteniendo entre la comunidad de administradores, Marty pensó que
era un buen momento para ofrecer su producto con un soporte para empresas, y obtuvo la
financiación necesaria para fundar Sourcefire*.

Sin embargo, Snort continúa siendo código libre y promete seguir siéndolo para siempre.
La última versión disponible de Snort es la 2.1, la cual se presenta con más de setenta y
cinco mil líneas de código y una restructuración total en cuanto al diseño original de su
arquitectura inicial.

Aunque el soporte y desarrollo actual de Snort se hace desde Sourcefire de forma comerci-
al, existe la versión libre bajo licencia GNU. Esta versión puede ser descargada libremente
desde www.snort.org, permitiendo que cualquier usuario pueda disponer de sopor-
te para las últimas versiones disponibles y las últimas actualizaciones de los ficheros de
reglas para dichas versiones.

Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus aler-
tas y notificaciones en diferentes gestores de base de datos (como MySQL y Postgres) y un
gran número de preprocesadores de tráfico que permiten poder analizar llamadas RPC y
escaneo de puertos antes de que éstos sean contrastados con el conjunto de reglas asociado
en busca de alertas.

Los conjuntos de reglas de Snort también han ido evolucionando a medida que la aplica-
ción lo iba haciendo. El tamaño de los últimos conjuntos de reglas para la última versión
Snort disponibles para descargar incrementa de forma similar a la velocidad de aparición
de nuevos exploits. Estos ficheros de reglas se encuentran actualmente clasificados en
distintas categorías como, por ejemplo, P2P, ataques de denegación de servicio, ataques
contra servicios web, virus, tráfico pornográfico, etc.

Cada una de estas reglas están asociadas a un identificador único (sensor ID, SID), que
permite reconocer y encontrar información acerca del ataque o mal uso detectado. Por
ejemplo, el SID para el ataque SSH banner attack es el 1838. Además, gracias al
uso mayoritario de Snort entre la comunidad de administradores de