Tabla de contenido:
Hay muchos casos en los que se piratean redes, se accede ilegalmente o se desactivan de manera efectiva. El ahora infame hackeo de 2006 de la red TJ Maxx ha sido bien documentado, tanto en términos de falta de debida diligencia por parte de TJ Maxx como de las ramificaciones legales sufridas por la compañía como resultado. Agregue a esto el nivel de daño causado a miles de clientes de TJ Maxx y la importancia de asignar recursos hacia la seguridad de la red rápidamente se hace evidente.
En un análisis más detallado de la piratería de TJ Maxx, es posible señalar un punto tangible en el tiempo donde el incidente finalmente se notó y se mitigó. Pero, ¿qué pasa con los incidentes de seguridad que pasan desapercibidos? ¿Qué sucede si un joven pirata informático emprendedor es lo suficientemente discreto como para extraer pequeñas cantidades de información vital de una red de una manera que no deja a los administradores del sistema más sabios? Para combatir mejor este tipo de escenario, los administradores de seguridad / sistema pueden considerar el Snort Intrusion Detection System (IDS).
Comienzos de Snort
En 1998, Snort fue lanzado por el fundador de Sourcefire, Martin Roesch. En ese momento, fue catalogado como un sistema de detección de intrusos liviano que funcionaba principalmente en sistemas operativos Unix y similares a Unix. En ese momento, el despliegue de Snort se consideraba de vanguardia, ya que rápidamente se convirtió en el estándar de facto en los sistemas de detección de intrusos en la red. Escrito en el lenguaje de programación C, Snort rápidamente ganó popularidad a medida que los analistas de seguridad gravitaban hacia la granularidad con la que se podía configurar. Snort también es completamente de código abierto, y el resultado ha sido un software muy robusto y muy popular que ha resistido una gran cantidad de escrutinio en la comunidad de código abierto.Fundamentos de Snort
En el momento de escribir este artículo, la versión de producción actual de Snort es 2.9.2. Mantiene tres modos de operación: modo Sniffer, modo logger de paquetes y modo de sistema de detección y prevención de intrusiones de red (IDS / IPS).
El modo sniffer implica poco más que capturar paquetes a medida que se cruzan con cualquier tarjeta de interfaz de red (NIC) en la que esté instalado Snort. Los administradores de seguridad pueden usar este modo para descifrar qué tipo de tráfico se detecta en la NIC y luego pueden ajustar su configuración de Snort en consecuencia. Cabe señalar que no hay registro en este modo, por lo que todos los paquetes que ingresan a la red simplemente se muestran en un flujo continuo en la consola. Fuera de la resolución de problemas y la instalación inicial, este modo particular tiene poco valor en sí mismo, ya que la mayoría de los administradores de sistemas reciben un mejor servicio al usar algo como la utilidad tcpdump o Wireshark.
El modo de registro de paquetes es muy similar al modo sniffer, pero una diferencia clave debería ser evidente en el nombre de este modo particular. El modo de registrador de paquetes permite a los administradores del sistema registrar cualquier paquete que llegue a los lugares y formatos preferidos. Por ejemplo, si un administrador del sistema desea registrar paquetes en un directorio llamado / log en un nodo específico dentro de la red, primero creará el directorio en ese nodo en particular. En la línea de comando, le indicaría a Snort que registre los paquetes en consecuencia. El valor en el modo de registrador de paquetes está en el aspecto de mantenimiento de registros inherente a su nombre, ya que permite a los analistas de seguridad examinar el historial de una red determinada.
OKAY. Es agradable saber toda esta información, pero ¿dónde está el valor agregado? ¿Por qué un administrador del sistema debería dedicar tiempo y esfuerzo a instalar y configurar Snort cuando Wireshark y Syslog pueden realizar prácticamente los mismos servicios con una interfaz mucho más bonita? La respuesta a estas preguntas muy pertinentes es el modo del sistema de detección de intrusos en la red (NIDS).
El modo sniffer y el modo logger de paquetes son peldaños en el camino hacia lo que realmente es Snort: el modo NIDS. El modo NIDS se basa principalmente en el archivo de configuración de snort (comúnmente conocido como snort.conf), que contiene todos los conjuntos de reglas que consulta una implementación típica de Snort antes de enviar alertas a los administradores del sistema. Por ejemplo, si un administrador desea activar una alerta cada vez que el tráfico FTP ingresa y / o sale de la red, simplemente se referirá al archivo de reglas apropiado dentro de snort.conf, ¡y listo! Se activará una alerta en consecuencia. Como uno puede imaginar, la configuración de snort.conf puede volverse extremadamente granular en términos de alertas, protocolos, ciertos números de puerto y cualquier otra heurística que un administrador del sistema pueda considerar relevante para su red en particular.
Donde Snort se queda corto
Poco después de que Snort comenzó a ganar popularidad, su único inconveniente fue el nivel de talento de la persona que lo configuró. Sin embargo, con el paso del tiempo, las computadoras más básicas comenzaron a admitir múltiples procesadores, y muchas redes de área local comenzaron a acercarse a velocidades de 10 Gbps. Snort ha sido constantemente calificado como "ligero" a lo largo de su historia, y este apodo es relevante hasta el día de hoy. Cuando se ejecuta en la línea de comando, la latencia de los paquetes nunca ha sido un gran obstáculo, pero en los últimos años un concepto conocido como multihilo realmente ha comenzado a afianzarse ya que muchas aplicaciones intentan aprovechar los múltiples procesadores mencionados anteriormente. A pesar de varios intentos de superar el problema de subprocesos múltiples, Roesch y el resto del equipo de Snort no han podido producir resultados tangibles. Snort 3.0 debía lanzarse en 2009, pero aún no estaba disponible al momento de la redacción. Además, Ellen Messmer de Network World sugiere que Snort se ha encontrado rápidamente en una rivalidad con el IDS del Departamento de Seguridad Nacional conocido como Suricata 1.0, cuyos proponentes sugieren que admite subprocesos múltiples. Sin embargo, debe tenerse en cuenta que estas afirmaciones han sido disputadas vehementemente por el fundador de Snort.El futuro de Snort
¿Snort sigue siendo útil? Esto depende del escenario. Los piratas informáticos que saben cómo aprovechar las deficiencias de subprocesos múltiples de Snort estarían encantados de saber que el único medio de una red determinada para detectar intrusiones es Snort 2.x. Sin embargo, Snort nunca fue la solución de seguridad para ninguna red. Snort siempre se ha considerado una herramienta pasiva que tiene un propósito particular en términos de análisis de paquetes de red y análisis forense de redes. Si los recursos son limitados, un administrador inteligente del sistema con abundante conocimiento en Linux podría considerar implementar Snort en línea con el resto de su red. Si bien puede tener sus defectos, Snort aún ofrece el mayor valor al menor costo. (acerca de las distribuciones de Linux en Linux: Bastión de la libertad).