Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - IDS - Seguridad - ID- Seguridad
Se pueden monitorizar Servidores de Bases de datos (SQL, MySQL, ORACLE...) Servidores DNS, Servidores Mail, Servidores de administración remoto (VNC, TS, Citrix, PcAnywhere...)
Podemos configurar snort en tres modos básicos: Sniffer, como un simple analizador de protocolos Packet logger, como un capturador y grabador de paquetes
Snort, El espía que me amó.... El creador de Snort fue Marty Roesch y en un principio lo llamó Lightweight Intrusión Detection System , (Sistema ligero de detección de intrusos), sin embargo, snort es todo menos ligero . Snort es capaz de analizar en tiempo real el tráfico de paquetes en un equipo o en una red corporativa y además mantener un registro de logs e identificar ataques concretos en función de su huella dactilar . Snort puede ejecutarse en multitud de Sistemas Operativos, es una distribución Open Source y bastante común entre los administradores de sistemas. Si lo deseamos snort puede ser un simple esnifer, es decir, podemos configurar snort sin reglas de procesamiento y análisis de tráfico. Aunque lo normal es que no sea así, una de las más poderosas características se snort es la de utilizar registro de sucesos, y métodos de alertas volcando sus resultados en servidores Syslog ya sea en texto plano, archivos XML o incluso enviar mensajes del tipo WinPopup a clientes Windows. Según las definiciones que hemos ido dando anteriormente, snort es una vacuna para los paquetes de datos que circulan por la red, es un sistema de Rayos X que inspecciona estos paquetes, los captura (sniffer) los coloca en un contenedor o registro (packet logger) y/o los examina en busca de patrones, ataques y análisis forense (NIDS) Snort es un sistema NIDS, puede analizar tráfico IP en busca de huellas comunes de un ataque, analiza los protocolos individualmente, como ejemplo puede detectar ataques del tipo Buffer overflow, ataques CGI, SMB, RPC o un escaneo de puertos. Página 32
NIDS, como un sistema de detección de intrusos en red Lógicamente, configurar snort como un NIDS es la forma más compleja y flexible de usarlo. Snort se basa en firmas IDS y usa reglas para comprobar los paquetes que viajan por la red y genera alertas enviándolas a una Base de datos, un archivo de sucesos o mensajes SNMP. Originalmente fue concebido como un esnifer, Martín Roesch lo escribió para LiNUX y para su propio uso, apenas si contaba con 1.600 líneas de código distribuidas en dos ficheros., tras el éxito obtenido y las sucesivas revisiones del producto, hoy en día se puede implementar en varios sistemas operativos y su código asciende a más de 75.000 líneas., hasta dispone de plug-ins para bases de datos como MySQL o Postgres, para RPC, etc.. hasta plugins gráficos para una administración mas sencilla . Igualmente existen plug-ins para protocolos específicos, como HTTP, 802.11 (wireless) ARP, etc... Las reglas de snort incluyen diversos tipos de servicios, P2P, Backdoors, troyanos y/o puertas traseras, Denegación de Servicios DoS y DDoS, ataques Web, e incluso algunos virus conocidos.
!
Si eres un nuevo lector...
Si eres un nuevo lector de PC PASO A PASO, seguro que te desespera leer cosas como MySQL, Postgres, RPC, HTTP, 802.11, ARP, P2P, Backdoors, DDoS, DoS. No dejes que te atemoricen!!! La mayoría han sido explicados ya en anteriores números, de todas maneras ya verás que podrás seguir este artículo sin necesidad de ellos :) PC PASO A PASO Nº 19