Snort
of 2
-
Upload
wilson-acero -
Category
Documents
-
view
33 -
download
0
Transcript of Snort
SNORT. Es un NIDS liviano, libre, fcilmente configurable y ejecutable en diversas plataformas, considerado tcnicamente superior a la mayora de NIDS comerciales. Adems de NIDS puede actuar como un simple sniffer o bitacora de paquetes con especificaciones avanzadas
Componentes de snort. Snort est dividi en multiples componentes, los cuales trabajan juntos para detectar ataques en particular y generar las correspondientes salidas que requieren los sistemas de deteccin. Decodificador de paquetes. Preprocesadores Motor de deteccin. Sistema de logs y alerta. Mdulos de salida.
Cualquier paquete que ingrese de internet ingresa al decodificador, en su camino a los modulos de salida, puede ser descartado, registrado o podra generar una alerta.
Decodificador de Paquetes. Toma los paquetes de las diferentes interfaces de red y los prepara para ser procesados. Las interfaces pueden ser Ethernet, SLIP, PPP, etc.
Preprocesadores. Son componentes o plugins que Snort puede usar para ordenar o modificar los datos de los paquetes antes de que el motor de deteccin haga alguna operacin sobre los mismos para determinar si el paquete ha sido usado por un atacante. Podran por ejemplo defragmentar un paquete, decodificar HTTP URI, reensamblar un flujo de paquetes TCP, etc. Motor de deteccin Es la parte ms importante de snort. Su responsabilidad es detectar cualquier actividad irregular en un paquete, para lo que utiliza reglas, que son a su vez archivos donde se indican los patrones a buscar en los paquetes. Si un paquete coincide con cualquier regla, se toman las acciones que la misma indique (registrar el paquete o generar una alarma), de lo contrario se descarta.
Sistema de registro y alerta. Dependiendo de lo que motor de deteccin encuentre dentro de un paquete se generaran logs o alarmas, las mismas que pueden almacenarse en texto simple, en forma de archivos tcpdump o incluso registrarse en una base de datos.
Mdulos de salida. Bsicamente controlan el tipo de salida generada por el sistema de alerta y registro. Dependiendo de la configuracin podran: Registrar el suceso en /var/log/snort/alerts. Enviar traps SNMP Enviar mensajes SYSLOG Registrar el suceso en una base de datos como MYSQL u ORACLE. Generar una salida XML. Modificar la configuracin de routers o firewalls.
