Principales características de Snort
Snort, al ser un IDS y IPS, incorpora un motor de detección de ataques y detección de escaneo de puertos basadas en reglas que nos podremos descargar de manera gratuita, y que se actualizan con cierta frecuencia, además, podremos automatizar la descarga de las nuevas reglas. Snort permite registrar, alertas y responder ante cualquier posible ataque de red que previamente hayamos definido con las reglas que tengamos dadas de alta. Nosotros mismos podremos crear reglas específicas para que Snort las detecta y haga su trabajo.
La mayoría de sistemas operativos de firewalls como pfSense o OPNsense, incorporan este popular IDS/IPS junto a Suricata, ya que son los dos mejores y más utilizados en la industria. Además, podemos montarnos un completo firewall para proteger nuestra red local doméstica de manera bastante fácil.
Durante la instalación y configuración de Snort, tenemos la posibilidad de dar de alta miles de filtros o reglas, no obstante, es muy recomendable «entrenar» a Snort para que no detecte falsos positivos, y, por tanto, bloquee tráfico legítimo. Dispone de múltiples reglas para backdoors, detecciones de ataques DoS, fingerprint, ataques a servicios como SSH, Samba, FTP, ataques web, cualquier tipo de escaneo con Nmap y mucho más.
Snort funciona de varias maneras distintas:
- Sniffer: la primera función de Snort es actual de Sniffer, es decir, va a capturar y examinar todo el tráfico de red donde nosotros activemos Snort, ya que podremos activarla en una o varias interfaces donde lo instalemos.
- Registro de paquetes: después de hacer la función de sniffer, si un paquete se corresponde con una determinada regla o con un patrón que previamente hemos dado de alta, automáticamente registrará ese paquete en el sistema. De esta forma, sabremos qué ha producido ese registro, de qué dirección IP y puerto, y hacia qué IP y puerto se ha intentado realizar.
- Prevención de intrusiones: Snort trabaja conjuntamente con el firewall, si el sniffer captura un paquete y se corresponde con una regla o un patrón, Snort no solamente va a registrar estos paquetes, sino que también puede actuar bloqueando la dirección IP a través del firewall.
Una vez que sabemos de manera muy básica qué es Snort y cuáles son sus principales características, os vamos a explicar las novedades que incorpora Snort 3 respecto a Snort 2.
Diferencias entre Snort 3 y Snort 2
Snort 3.0 es una gran evolución de la actual versión de Snort 2.X, la nueva versión es más eficiente, proporciona un mayor rendimiento, escalabilidad, usabilidad y permite una gran extensibilidad. Algunas de las principales mejoras incorporadas en esta nueva versión son las siguientes:
- Soporte para múltiples subprocesos de procesamiento de paquetes, esto permite que Snort consuma menos recursos, sobre todo en cuanto a RAM se refiere.
- Acceso a más de 200 plugins
- Soporte para Hyperscan, esta característica es muy importante ya que conduce a patrones más rápidos, literales de contenido y PCRE compatible durante la evaluación de las diferentes firmas que hayamos dado de alta en Snort.
- El manejo del protocolo de la capa de transporte TCP se ha reescrito por completo, con el objetivo de tener el mejor rendimiento posible.
- Se ha añadido un nuevo analizador de reglas y nueva sintaxis en las mismas. Además, los comentarios en las reglas también son nuevos.
- Se ha incorporado reglas mejoradas de objetos compartidos, además, se pueden añadir reglas para vulnerabilidades 0day.
- Nuevo monitos de rendimiento, perfiles de tiempo y espacio.
- Si tu CPU tiene múltiples núcleos, la capacidad de escalar es mucho más simple para aprovechar el hardware lo mejor posible.
- Ahora permite procesar una carga útil sin procesar, y unir dos sockets para realizar la inspección.
En la siguiente imagen podéis ver una comparativa entre Snort 2 y Snort 3 que está sacada directamente desde el blog oficial de Snort.
Os recomendamos visitar el blog oficial de Snort donde encontraréis todos los detalles sobre esta nueva versión.
Fuente obtenida de: https://www.redeszone.net/noticias/seguridad/snort-2-vs-snort-3-diferencias-ids-ips/