En Esgeeks ya hemos abordado el concepto de IPS (Sistema de Prevención de Intrusiones) y también de IDS (Sistema de Detección de Intrusión). La plataforma Snort es un 2 en 1, ya que puede funcionar como IDS e IPS. Conoce mejor esta poderosa plataforma gratuita.
Qué es Snort.org
Snort es una de las principales plataformas de código abierto que puede funcionar como IDS e IPS. Es ampliamente utilizado para monitorizar, detectar y prevenir actividades maliciosas en redes de comunicaciones.
Funciones principales de Snort
- Analizador de paquetes: Captura y presenta el tráfico de red en tiempo real, permitiendo analizar lo que está “pasando” en la red.
- Registrador de paquetes: Graba el tráfico de red para análisis posterior, siendo útil para depuración e investigación forense.
- Sistema de Prevención de Intrusiones (IPS): Puede operar en modo “inline”, consiguiendo identificar paquetes maliciosos con base en reglas predefinidas y bloquearlos.
Snort utiliza un conjunto de reglas que definen patrones de comportamiento malicioso, como intentos de ataques, explotaciones de vulnerabilidades u otros tipos de tráfico sospechoso.
Tipos de ataques detectados
Snort puede identificar diversos tipos de ataques y comportamientos maliciosos, incluyendo:
- Ataques de denegación de servicio (DoS/DDoS).
- Exploits de vulnerabilidades (ataques que intentan explotar fallas de seguridad conocidas en sistemas).
- Escaneos de puertos lógicos (intentos de descubrimiento de servicios o fallas de seguridad).
- Intentos de malware (ej: virus, gusanos, troyanos).
- Ataques de inyección (como SQL injection y cross-site scripting).
- Comportamientos anómalos (tráfico inesperado que puede indicar un compromiso de la red).
Snort puede ser integrado con otras herramientas de seguridad, como Suricata, un IDS/IPS de código abierto que puede usar reglas de Snort; Barnyard2, una herramienta que puede gestionar las alertas de Snort y almacenarlas en bases de datos; y con SIEMs, como Splunk o Elastic Stack, para análisis avanzado de logs e integración con monitorización centralizada.
Snort 3 es la versión más reciente de esta herramienta.