SNORT es una completa herramienta de seguridad basada en código abierto para la creación de sistemas de detección de

intrusos en entornos de red.

A través de un mecanismo adicional de alertas y generación de ficheros de registro, Snort ofrece una buena cantidad de
posibilidades para la recepción de alertas en tiempo real acerca de los ataques y las intrusiones detectadas.

Snort se comporta como “una auténtica aspiradora de datagramas IP”. Desde actuar como un simple monitor de red pasivo
que se encarga de detectar el tráfico maligno que circula por la red, hasta la posibilidad de enviar a servidores de ficheros de
registro o servidores de base de datos todo el tráfico capturado.
Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran
cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o
vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.

Actualmente, Snort cuenta un gran repertorio de accesorios que permiten reportar sus alertas y notificaciones en diferentes
gestores de base de datos (como MySQL y Postgrest) y un gran número de preprocesadores de trafico que permiten poder
analizar llamadas RPC y escaneo de puertos antes de que estos sean contrastados con el conjunto de reglas asociado en
busca de alertas.
 La arquitectura central de Snort se basa en los siguientes cuatro componentes:

• Decodificador de paquetes o Sniffer

• Preprocesador
• Motor de detección
• Sistema de Alertas e Informes

Snort permitirá la captura y el preprocesador del tráfico de la red a través de los dos primeros componentes (decodificador
de paquetes y preprocesador), realizando posteriormente un chequeo contra ellos mediante el motor de detección (según el
conjunto de reglas activadas) y generando, por parte del ultimo de los componentes, las alertas y los informes necesarios.
Snort es un sistema de detección de intrusos(IDS) basado en red

Cuenta con un lenguaje de creación de reglas en el que se

pueden definir los patrones que se utilizarán a las horas de
monitorizar el sistema

Además ofrece una serie de reglas y filtros ya predefinidos que

se pueden ajustar durante su instalación y configuración para
que se adapte lo máximo posible a lo que deseamos

Modo IDS

Modo sniffer Modo packet logger En el que se motoriza por

En el que se almacena en un
En el que se motoriza por
sistema de log toda la
pantalla en tiempo real toda
actividad de la red en que se
la actividad en la red en qué
ha configurado Snort para un
Snort es configurado
posterior análisis
pantalla o en un sistema
basado en log, toda la
actividad de la red a través de
un fichero de configuración en
el que se especifican las reglas
y patrones a filtrar para
estudiar los posibles ataques
 FUNCIONAMIENTO SNORT

Debemos introducir en la base de patrones de ataques los que queremos utilizar para
Instalacion del
detectar actividades sospechosas contra nuestra red
Programa

Es necesario estudiar los patrones de tráfico que circulan por el segmento donde
Utilizacion el sensor escucha para detectar falsos positivos y, o bien configurar la base de
correcta datos, o bien eliminar los patrones que los generan

Pese a todas las facilidades Y automatizaciones y cómo casi todas las

herramientas de seguridad, es un apoyo que no puede sustituir la tarea del
En definitiva
responsable de seguridad que es quién debe analizar toda la información de
forma minuciosa y continuada
Un sistema de detección de intrusos (IDS) Es
una herramienta de seguridad que trata de
detectar y monitorizar cualquier intento de
comprometer la seguridad en un sistema o
una red
Se pueden definir previamente una serie de
reglas que impliquen una actividad
sospechosa en dicho Sistema o red y
generar una alerta en consecuencia

(IDS) Sistema De
Detección De Intrusos

Los IDS incrementan la seguridad de
nuestro sistema o red y, aunque no están
diseñados para detener un determinado
ataque, si que se pueden configurar para
responder activamente al mismo
El
El funcionamiento de un sistema de
detección de intrusos se basa en el análisis
pormenorizado del tráfico de red o el uso de
los dispositivos. Para la evaluación se
compara la situación con firmas de ataques
conocidos, o comportamientos sospechosos