Qué es Snort: Primeros pasos

Vivimos en una era de la información y la comunicación en la que es muy probable sufrir ataques en nuestras webs si no las tenemos lo suficientemente protegidas. Por suerte, la seguridad en torno a lo online también ha avanzado y hoy en día podemos utilizar una serie de herramientas que están a nuestro alcance y funcionan realmente bien. En este caso vamos a hablar de Snort.

Snort es un Sistema de Detección de Intrusos (IDS) basado en red (IDSN) open source . Cuenta con un lenguaje de creación de reglas en el que se pueden definir los patrones que se utilizarán a la hora de monitorizar el sistema. Además, ofrece una serie de reglas y filtros ya predefinidos que se pueden ajustar durante su instalación y configuración para que se adapte lo máximo posible a lo que deseamos.

Una de las ventajas de este sistema es que puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se loguea. Así se sabe cuándo, de dónde y cómo se produjo el ataque.

Primeros pasos con Snort

Para inicializar Snort se debe utilizar el comando snort –v –i [interfaz] . Una vez que se está ejecutando, podremos ver en la consola aquellas actividades que ocurran a nivel de red. En la siguiente imagen puede visualizarse un simple ping al host, donde se indica la dirección IP de origen y destino.

Cuando se detiene la ejecución de la aplicación, siempre muestra un resumen con toda la información relativa a los paquetes durante el período de ejecución de Snort.

Definición de reglas

Como hemos destacado antes, una de las características principales es la posibilidad de crear propias reglas ante comportamientos anómalos . En ocasiones, ante una vulnerabilidad explotable remotamente en algún equipo crítico, será necesario solventar la situación mediante la configuración de alguna regla hasta que la vulnerabilidad sea solucionada.

También es posible establecer reglas para guardar determinados paquetes en logs, así como descartar aquellos paquetes que no se desea que ingresen en la red. Además, Snort incluye algunas reglas predefinidas dentro del directorio de configuración bajo la carpeta rules que podremos utilizar o no, según nos interese.

Snort es una herramienta muy completa que permite realizar y controlar de muchas formas aquellos paquetes que son de interés para quien implemente el uso del mismo . Esto puede ser de gran importancia si se desea controlar el tráfico de red dentro de un entorno corporativo. Su última versión estable es de diciembre de 2016 (v.2.9.9.0) . Si deseas ampliar información, te invito a que visites la web de Snort en la que encontrarás mucha más información para hacerte un experto en este sistema.