next up previous
Next: Conclusiones Up: Sistemas de detección de Previous: AIDE

SNORT

SNORT es un sistema de detección de intrusos en tiempo real y basado en red muy potente. Este sistema sigue el planteamiento de colocar una máquina con un interfaz promíscuo que monitorice el tráfico que circula por la red, de este modo SNORT busca patrones que hagan presagiar que se esta desencadenando un ataque sobre la red que este monitoriza.

Al igual que logcheck y siguiendo la arquitectura general, el sistema incorpora paquetes de reglas para realizar chequeos determinados sobre el tráfico de red, en este caso categorizados en diversos ( y numerosos ) grupos como smtp.rules, ddos.rules, etcétera.

Figura 4: Esquema de funcionamiento de SNORT
\includegraphics[width=10cm ]{snort.eps}

Otra de las grandes virtudes de SNORT es que incorpora un sistema bastante sencillo para escribir nuestras reglas, de modo que podemos adaptarlo a nuestros requerimientos reescribiendo las reglas para los incidentes que deseamos monitorizar.

Un ejemplo de regla de SNORT:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-ATTACKS ps command
attempt"; flags:A+; uricontent:"/bin/ps"; nocase; sid:1328; rev:1;
classtype:web-application-attack;)

Con este lenguaje se nos permite introducir no solo el protocolo o el puerto al que va destinado el paquete, también podemos indicar el contenido de este, flags determinados de los protocolos, etcétera, de modo que hace el programa extremadamente flexible.


next up previous
Next: Conclusiones Up: Sistemas de detección de Previous: AIDE
David Fernandez 2002-05-11