Snort: Sistema de detección de intrusos en red y más.
Snort es un programa creado por Martin Roesch, que es ampliamente utilizado como Intrusion Prevention System (IPS) e Intrusion Detection System (IDS) en la red. Se divide en cinco mecanismos importantes: motor de detección, sistema de registro y alerta, decodificador de paquetes y módulos de salida. El programa es bastante famoso para llevar análisis de tráfico en tiempo real, también para detectar consultas o ataques, registro de paquetes en redes de Protocolo de Internet, detectar actividad maliciosa, ataques de denegación de servicio y escaneo de puertos al monitorear tráfico de red, desbordamientos de búfer, servidor sondas de bloques de mensajes y escaneo de puertos sigilosos.
Snort tiene una base de datos de ataques que se actualiza constantemente a través de internet. Los usuarios pueden crear firmas basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, esta ética de comunidad y compartir ha convertido a Snort en uno de los IDS basados en red más populares, actualizados y robustos. Sin embargo, snort ofrecen capacitación impartida con un instructor virtual.
Snort se puede configurar en tres modos principales:
- Modo Sniffer: observará los paquetes de red y los presentará en la consola.
- Modo de registrador de paquetes: registrará los paquetes en el disco.
- Modo de detección de intrusos: el programa monitorear el tráfico de la red y lo analizará contra un conjunto de reglas definido por el usuario.
Instalar en debian:
$ sudo apt update
$ sudo apt install snort
Configuración como root:
/etc/init.d/snort start
nano /etc/snort/snort.conf
Debemos agregar nuestra ip, la podemos encontrar con el comando ifconfig. "Recuerden guardar el archivo". |
/etc/init.d/snort restart
snort -A console -i enp2s0 -c /etc/snort/snort.conf
Instalar en archLinux:
$ sudo pacman -S snort
Algunos comandos en modo Sniffer:
Comencemos con lo básico! Si sólo desea capturar los encabezados de paquetes TCP/IP en la pantalla.
$ sudo snort -v
Este comando solo mostrará los encabezados de IP y TCP / UDP / ICMP.
$ sudo snort -vd
"Snort funciona con Oinkcodes. Que son claves únicas asociadas a su cuenta de usuario. También actúa como una clave de API para descargar paquetes de reglas".
Para mayor información y suscripción puedes encontrarlo en pagina oficial https://www.snort.org/
Esperamos que esta publicación haya sido de utilidad, cualquier
inquietud o sugerencia dejarla en los comentarios o bien, en los medios
que indicamos a continuación.
Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram.
Síguenos en Facebook, Twitter, unete a nuestra charla en Riot, únete a IRC o únete a Telegram.
0 comentarios:
Publicar un comentario