Detectando intrusos en una red con Snort

No suelo escribir sobre temas relacionados con redes pero hoy haré una excepción ya que he visto un sistema (ya había oído hablar mucho de el) de detección de intrusos muy interesante y completo, por eso me gustaría dedicarle una entrada en mi blog a Snort.

Snort es un sistema para detección de amenazas para un sistema o red, es decir monitoriza distinto tráfico que puede haber desde intrusos,diferentes tipos de ataques...muy útil para auditar un sistema o mantener un control de éste. La idea no es la de proteger frente a posibles ataques sino dar información sobre estos.


Dentro las características más notables de Snort cabe destacar las siguiente:

• Tiene la función de sniffer para controlar el tráfico de un sistema,red o host.
• Detecta intrusiones.
• Da información sobre puertos con el fin de evitar agujeros de seguridad o anomalías en ellos.
• Tiene un sistema de firmas de ataques actualizable que funciona a partir de patrones de ataques reales.
• Dispositivo de almacenaje mediante logs sobre anomalías detectadas.
• Previene de ataques ddos, backdoors y otros sistemas intrusivos, incluso de escáneres como el conocido Nmap.
• Puede trabajar en distintos sistemas operativos como windows, Unix y Linux.
• Uso de filtros personalizables mediante la libreria libpcap, la misma utilizada por TCPDump.

Por otra parte, el sistema de alertas es muy completo ya que podemos elegir de que forma queremos que se nos notifique, por ejemplo que se nos envié la alerta a otra aplicación, o que el mismo Snort nos lo indique por pantalla o por ejemplo que envie la alerta a otra estación de trabajo mediante un popup.

Para más información pueden visitar la página del proyecto, es open source y cuenta con una gran comunidad de usuarios para soporte,novedades y desarrollo.

http://www.snort.org/

Posted in: Redes,Seguridad Web