CAPTULO 3

Snort 1 Introduccin

El sistema que se ha elegido para el desarrollo del proyecto ha sido Snort [SNO04]. Snort (www.snort.org) es un sistema de deteccin de intrusiones basado en red (NIDS). Su funcionamiento es similar al de un sniffer ya que monitoriza todo el trfico de la red en bsqueda de cualquier tipo de intrusin. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida como patrones. Snort est disponible bajo licencia GPL, es gratuito y funciona bajo plataformas Windows, GNU/Linux y Mac OS. Es uno de los ms usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, y actualizaciones constantes. La primera versin de Snort (Snort-0.96), surgi en Diciembre de 1998. Su autor fue Marty Roesch. La primera aproximacin de Snort fue APE, un programa para Linux escrito en Noviembre de 1998, por Marty Roesch. Este programa tena carencias como la falta de capacidad para trabajar en mltiples sistemas operativos o la de mostrar todos los tipos de paquetes del mismo modo. Fue en Diciembre de 1998, cuando Marty Roesch cre la primera versin de Snort (Snort-0.96), que ya estaba desarrollada con libcap, lo que la dotaba de una gran portabilidad. Esta primera versin era slo un sniffer de paquetes y no tena las capacidades reales de un IDS/IPS. Sin embargo, a partir de aqu, se han ido sucediendo numerosas versiones de Snort que han hecho de esta herramienta una de las ms importantes en la seguridad software.

Elementos de Snort

Antes de iniciar la instalacin y configuracin de Snort es importante conocer los elementos que lo componen. Tal y como muestra la figura 3-1, los elementos que componen el esquema bsico de su arquitectura son: Mdulo de captura del trfico. Es el encargado de capturar todos los paquetes de la red utilizando la librera libpcap. Decodificador. Se encarga de formar las estructuras de datos con los paquetes capturados e identificar los protocolos de enlace, de red, etc. Preprocesadores. Permiten extender las funcionalidades preparando los datos para la deteccin. Existen diferentes tipos de preprocesadores dependiendo del trfico que queremos analizar (por ejemplo, existen los preprocesadores http, telnet) Motor de Deteccin. Analiza los paquetes en base a las reglas definidas para detectar los ataques.

42

Diseo y optimizacin de un sistema de deteccin de intrusos hbrido

Archivo de Reglas. Definen el conjunto de reglas que regirn el anlisis de los paquetedes detectados. Plugins de deteccin. Partes del software que son compilados con Snort y se usan para modificar el motor de deteccin. Plugins de salida. Permiten definir qu, cmo y dnde se guardan las alertas y los correspondientes paquetes de red que las generaron. Pueden ser archivos de texto, bases de datos, servidor syslog, etc.

Figura 3-1. Arquitectura de snort Seguidamente se describirn cada uno de los elementos que componen Snort:

2.1

Mdulo de captura de datos

El mdulo de captura de paquetes del sensor se encarga, tal y como su propio nombre indica, de realizar la captura del trfico que circula por la red, aprovechando al mximo los recursos de procesamiento y minimizando por tanto la prdida de paquetes a tasas de inyeccin elevadas. Para que los preprocesadores y posteriormente el motor de deteccin puedan conseguir paquetes se deben realizar algunas tareas previas. Snort no tiene ninguna facilidad nativa de paquetes an; por lo que requiere de una biblioteca de sniffing de paquetes externa: libpcap. Libpcap fue escogida para la captura de paquetes por su independencia de plataforma. Puede ser controlada sobre todas las combinaciones de hardware y S.O.; e incluso sobre WIN32 con winpcap. Debido a que Snort usa la biblioteca libpcap para capturar paquetes por la red, puede utilizar su transportabilidad para ser instalado en casi todas partes. La utilizacin de libpcap hace que Snort tenga un uso realmente independiente de plataforma. La responsabilidad de capturar paquetes directamente de la tarjeta de interfaz de red pertenece a libpcap. Esto hace que la facilidad de captura para paquetes raw proporcionados por el sistema operativo est disponible a otras aplicaciones.

Captulo 3. Snort

43

Un paquete raw es un paquete que se deja en su forma original, sin modificar como haba viajado a travs de la red del cliente al servidor. Un paquete raw tiene toda su informacin de cabecera de protocolo de salida intacta e inalterada por el sistema operativo. Las aplicaciones de red tpicamente no tratan paquetes raw; estos dependen del S.O. para leer la informacin del protocolo y expedir los datos de carga til correctamente. Snort es inslito en este sentido, usa la informacin de cabecera del protocolo que habra sido quitada por el sistema operativo para descubrir algunas formas de ataques. La utilizacin de libpcap no es el modo ms eficiente de adquirir paquetes raw. Ya que slo puede tratar un paquete a la vez, ocasionando un cuello de botella para anchos de banda altos (1Gbps). En el futuro, Snort probablemente pondr en prctica bibliotecas de captura de paquetes especficas para un S.O. o incluso un hardware. Hay otros mtodos adems de libpcap para capturar paquetes de una tarjeta de interfaz de red. Como el Filtro de Paquete Berkeley (BPF), el Interfaz de Proveedor de Enlace de transmisin (DLPI), y el mecanismo SOCK_PACKET en el kernel de Linux son otros instrumentos para capturar paquetes raw.

2.2

Decodificador

El motor de decodificacin est organizado alrededor de las capas de la pila de protocolos presentes en las definiciones soportadas de los protocolos de Enlace de Datos y TCP/IP. Cada subrutina en el decodificador impone orden sobre los datos del paquete, sobreponiendo estructuras de datos sobre el trfico de la red. Snort posee capacidades de decodificacin para protocolos Ethernet, SLIP y PPP. Se encarga de tomar los paquetes que recoge el libpcap y almacenarlos en una estructura de datos en la que se apoyan el resto de capas. En cuanto los paquetes han sido capturados, Snort debe descifrar los elementos de protocolo especficos para cada paquete. El decodificador de paquetes es en realidad una serie de decodificadores, de forma que cada uno descifra elementos de protocolos especficos. Funciona sobre la pila de protocoles de Red, que comienza con el nivel ms bajo: protocolos de la capa de Enlace de Datos, descifrando cada protocolo conforme asciende en la pila de protocolos de red. Un paquete sigue este flujo de datos movindose a travs del decodificador de paquetes, como se puede ver en la figura 3-2.

Figura 3-2. Flujo de Datos del Decodificador

44

Diseo y optimizacin de un sistema de deteccin de intrusos hbrido

En cuanto los paquetes de datos son almacenados en una estructura de datos estn listos para ser analizados por los preprocesadores y por el motor de deteccin.

2.3

Preprocesadores

Para comprender mejor lo que es un preprocesador en primer lugar hay que entender la forma de comunicacin de un sistema. Como se puede ver en la figura 3-3, el protocolo TCP/IP es un protocolo basado en capas. Cada capa del protocolo tiene una funcionalidad determinada y para trabajar correctamente necesita una informacin (cabecera). Por ejemplo, la capa de enlace utiliza para enviar y recibir datos las direcciones MAC de los equipos, la capa de red utiliza las direcciones IP, etc. Los datos que se transmiten por la red en paquetes de forma individual, pueden llegar a su destino de forma desordenada, siendo el receptor el encargado de ordenar los paquetes y darles sentido.

Figura 3-3. Capas TCP/IP Como Snort tiene que leer todo el trfico de la red e interpretarlo tambin tiene que llevar un control de los paquetes que se envan por la red y as poder darle forma a la informacin. Por ejemplo, escucha todo el trfico que tiene como destino una direccin y puertos determinados para ensamblar los datos y as poder interpretarlos. Los Preprocesadores son componentes de Snort que no dependen de las reglas ya que el conocimiento sobre la intrusin depende del mdulo Preprocesador. Se llaman siempre que llegue un paquete y se les puede aplicar reglas que estn cargadas en Snort. As pues, se encargan de coger la informacin que viaja por la red de una manera catica y darle forma para que pueda ser interpretada la informacin. De esta forma una vez que tenemos los datos ordenados que viajan por la red aplicaremos las reglas (rules) para buscar un determinado ataque. La arquitectura de preprocesadores de Snort consiste en pequeos programas C que toman decisiones sobre qu hacer con el paquete. Estos pequeos programas C se compilan junto a Snort en forma de librera. Estos preprocesadores son llamados justo despus que Snort realice la Decodificacin, y posteriormente se llama al Motor de Deteccin. Si el nmero de preprocesadores es muy alto el rendimiento de Snort puede caer considerablemente. Las configuraciones predeterminadas para estos subsistemas son muy generales, a medida que experimentemos con Snort, podremos ajustarlas para obtener un mejor rendimiento y resultados. A continuacin se muestra en la tabla 3-1, un resumen con una descripcin general de los preprocesadores de Snort.

Captulo 3. Snort

45

Tabla 3-1. Preprocesadores para Snort

Preprocesador
Frag3

Descripcin
El preprocesador frag3 se basa en la fragmentacin IP de los mdulos de snort. Frag3 permite una ejecucin ms rpida que frag2 y permite tcnicas de antievasin. Proporciona un flujo de ensamblado TCP y capacidades de anlisis para poder rastrear hasta 100.000 conexiones simultneas. Permite unificar el estado que mantiene los mecanismos de Snort en un nico lugar. Desde la versin 2.1.0 slo se implementaba el detector portscan, pero a largo plazo muchos subsistemas de Snort utilizan flow. Es un mdulo de reensablado que intenta suplantar a stream4 y a flow. Permite rastrear tanto comunicaciones TCP como UDP. Es un mdulo desarrollado por sourcefire para detectar el primer paso de un ataque: el escaneo de puertos. Permite normalizar mltiples registros RPC fragmentados en un nico registro. Permite medir en tiempo real el funcionamiento de Snort. El funcionamiento de ste preprocesador lo veremos ms tarde. y Es un decodificador genrico para analizar el trfico http. Permite trabajar tanto para analizar las respuestas de los clientes como de los servidores. Es un decodificador SMTP para los clientes de correo electrnico. Permite decodificar el trfico ftp y telnet para buscar cualquier actividad anormal. Se utiliza para analizar tanto las respuestas de los clientes como de los servidores. Permite analizar el trfico ssh de clientes y servidores. Analiza el trfico SMB (compartir archivos y carpetas de Windows). Permite analizar el trfico de DNS para detectar diferentes tipos de ataques.

stream4 y stream4_reasemble Flow

stream5 sfportscan rpc_decode perfomance monitor http_inspect http_inspect_server Smtp ftp/Telnet

Ssh dce/rpc dns

2.4

Reglas (Rules)

Las reglas o firmas son los patrones que se buscan dentro de los paquetes de datos. Las reglas de Snort son utilizadas por el motor de deteccin para comparar los paquetes recibidos y generar las alertas en caso de existir coincidencia entre el contenido de los paquetes y las firmas. El archivo snort.conf permite aadir o eliminar clases enteras de reglas. En la parte final del archivo se pueden ver todos los conjuntos de reglas de alertas. Se pueden desactivar toda una categora de reglas comentando la lnea de la misma. A continuacin, se vern las distintas reglas de Snort, y el formato de las mismas, para poder realizar su configuracin.

2.4.1

Categoras de reglas Snort

Hay cuatro categoras de reglas para evaluar un paquete. Estas cuatro categoras estn divididas a su vez en dos grupos, las que tienen contenido y las que no tienen contenido. Hay reglas de protocolo, reglas de contenido genricas, reglas de paquetes mal formados y reglas IP.

46

Diseo y optimizacin de un sistema de deteccin de intrusos hbrido

Reglas de Protocolo. Las reglas de protocolo son reglas las cuales son dependientes del protocolo que se est analizando, por ejemplo en el protocolo Http est la palabra reservada uricontent. Reglas de Contenido Genricas. Este tipo de reglas permite especificar patrones para buscar en el campo de datos del paquete, los patrones de bsqueda pueden ser binarios o en modo ASCII, esto es muy til para buscar exploits los cuales suelen terminar en cadenas de tipo /bin/sh. Reglas de Paquetes Malformados. Este tipo de reglas especifica caractersticas sobre los paquetes, concretamente sobre sus cabeceras las cuales indican que se est produciendo algn tipo de anomala, este tipo de reglas no miran en el contenido ya que primero se comprueban las cabeceras en busca de incoherencias u otro tipo de anomala. Reglas IP. Este tipo de reglas se aplican directamente sobre la capa IP, y son comprobadas para cada datagrama IP, si el datagrama luego es Tcp, Udp o Icmp se realizar un anlisis del datagrama con su correspondiente capa de protocolo, este tipo de reglas analiza con contenido y sin l.

2.4.2

Estructura de las reglas

En su forma bsica, una regla de Snort consta de dos partes: Encabezado Opciones

En la figura 3-4, se puede ver la estructura que presenta una regla y su cabecera.

Figura 3-4. Estructura de una Regla y su Cabecera A continuacin se muestran ms detalladamente los distintos componentes de una regla.

2.4.2.1 Cabecera de una regla

La cabecera permite establecer el origen y destino de la comunicacin, y sobre dicha informacin realizar una determinada accin. La cabecera contiene algunos criterios para unir la regla con un paquete y dictar qu accin debe tomar una regla. Su estructura es: <accin> <protocolo> <red origen> <puerto origen> <direccin> <red destino> <puerto destino> La estructura general de la cabecera de la regla es la que se puede observar en la Tabla 3-2.

Captulo 3. Snort

47

Tabla 3-2: Estructura de la Cabecera de una regla Snort Accin alert Protocolo tcp Red Origen $EXTERNAL_NET Puerto Origen any Direccin Red Destino $HOME_NET Puerto Destino 53

Y el significado de cada campo es el siguiente: Protocolo. Permite establecer el protocolo de comunicaciones que se va a utilizar. Los posibles valores son: TCP, UDP, IP e ICMP. Red de origen y red de destino. Permite establecer el origen y el destino de la comunicacin. Puerto de origen y destino. Permite establecer los puertos origen y destino de la comunicacin. Indica el nmero de puerto o el rango de puertos aplicado a la direccin de red que le precede. Direccin. Permite establecer el sentido de la comunicacin. Las posibles opciones son: ->, <- y <>. Accin. Permite indicar la accin que se debe realizar sobre dicho paquete. Los posibles valores son: o o o o o alert: Genera una alerta usando el mtodo de alerta seleccionado y posteriormente loggea el paquete. log: Comprueba el paquete. pass: Ignora el paquete. activate: Alerta y luego activa otra regla dinmica. dynamic: Permanece ocioso hasta que se active una regla, entonces actua como un inspector de reglas.

2.4.2.2 Las Opciones de las reglas

Las opciones estn separadas entre s, por (;) y las claves de las opciones estn separadas por (:). Hay cuatro tipos de opciones: Meta-data. Proporciona la informacin sobre la regla pero no tenga alguno afecta durante la deteccin. Payload. Busca patrones (firmas) dentro de la carga til del paquete. Non-Payload. Busca patrones dentro de los dems campos del paquete, que no sean carga til (por ejemplo, la cabecera). Post-detection. Permite activar reglas especficas que ocurren despus de que se ejecute una regla.

Seguidamente se describen las principales opciones de las reglas: msg. Informa al motor de alerta que mensaje debe de mostrar. Los caracteres especiales de las reglas como : y ; deben de colocarse dentro de la opcin msg con el carcter \. flow. Se usa junto con los flujos TCP, para indicar qu reglas deberan de aplicarse slo a ciertos tipos de trfico.

48

Diseo y optimizacin de un sistema de deteccin de intrusos hbrido

content. Permite que Snort realice una bsqueda sensitiva para un contenido especfico del payload del paquete. referente. Define un enlace a sistemas de identificacin de ataques externos, como bugtraq, con id 788. classtype. Indica qu tipo de ataques intent el paquete. La opcin classtype, usa las classifications definidas en el archivo de configuracin de Snort y que se encuentran en archivos como classification.config. La sintaxis del classification.config es: <nombre_clase>, <descripcin_clase >, <priorididad_por_defecto >. La prioridad es un valor entero, normalmente 1 para prioridad alta, 2 para media y 3 para baja. La opcin classification para el attempted-admin que aparece en classification.config, es la siguiente: config classification: attempted-admin,Attempted Administrator Privilege Gain,1

La opcin sid, en combinacin con la opcin rev, unicamente identifica una regla Snort, correlacionando el ID de la regla individual con la revisin de la regla.

2.5

El motor de deteccin

El motor de deteccin es la parte ms importante de Snort. Su responsabilidad es descubrir cualquier actividad de intrusin existente en un paquete. Para ello, el motor de deteccin emplea las reglas de Snort. Las reglas son ledas en estructuras de datos internas o cadenas donde son comparadas con cada paquete. Si un paquete empareja con cualquier regla, se realiza la accin apropiada. De lo contrario el paquete es descartado. Las acciones apropiadas pueden ser registrar el paquete o generar alarmas. El motor de deteccin es la parte de tiempo crtico de Snort. Los factores que influyen en el tiempo de respuesta y en la carga del motor de deteccin son los siguientes: Las caractersticas de la mquina. Las reglas definidas. Velocidad interna del bus usado en la mquina Snort. Carga en la red.

Estos factores son muy importantes ya que por ejemplo, si el trfico en la red es demasiado alto, mientras Snort est funcionando en modo NIDS, se pueden descartar paquetes y no se conseguir una respuesta en tiempo real. As pues, para el diseo del IDS habr que tener en cuenta estos factores. El motor de deteccin puede aplicar las reglas en distintas partes del paquete. Estas partes son las siguientes: La cabecera IP. Puede aplicar las reglas a las cabeceras IP del paquete.

Captulo 3. Snort

49

La cabecera de la capa de Transporte . Incluye las cabeceras TCP, UDP e ICMP. La cabecera del nivel de la capa de Aplicacin. Incluye cabeceras DNS, FTP, SNMP y SMPT. Payload del paquete. Esto significa que se puede crear una regla que el motor de deteccin use para encontrar una cadena que est presente dentro del paquete.

El motor de deteccin de Snort funciona de forma diferente en distintas versiones de Snort. A continuacin se muestra la estructura del motor de deteccin en funcin de la versin de Snort utilizada. El nuevo motor de deteccin de Snort introducido en la versin 2.0, parte con un requisito inicial, que Snort sea capaz de funcionar en redes Gigabyte, y para que esto sea posible se ha reescrito totalmente el motor de Snort para que este sea capaz de gestionar trafico a GigaBytes. Los desarrolladores de Snort realizaron un nuevo motor de deteccin usando algoritmos multipatrn de bsqueda que es el ncleo del motor y que implementa mltiples reglas, permitiendo a Snort funcionar sobre redes GigaByte. El nuevo motor de deteccin construye cuatro grupos de reglas, una para el protocolo TCP, para UDP, para ICMP y para IP. Cuando un paquete se captura mediante la librera Libpcap lo primero que se realiza es una decodificacin de ste para alinear cabeceras segn el protocolo, como se puede ver en el siguiente diagrama de la figura 3-5.

Figura 3-5. Diagrama de Decodificacin de Paquetes

50

Diseo y optimizacin de un sistema de deteccin de intrusos hbrido

En primer lugar se realiza la decodificacin de los paquetes, todo depende del protocolo analizado. Posteriormente se realizan las llamadas a los preprocesadores, por cada uno de los que estn instalados en Snort o preprocesadores propios que hayamos implementado nosotros.

2.6

Mdulos de salida

Los mdulos de salida o plugins pueden hacer diferentes operaciones dependiendo de cmo se desee guardar la salida generada por el sistema de loggin y alerta de Snort. Bsicamente estos mdulos controlan el tipo de salida generada por estos sistemas. Existen varios mdulos de salida que se pueden utilizar, dependiendo del formato en el que se deseen los datos: Syslog, Database y el nuevo mdulo denominado Unified, que es un formato binario genrico para exportar datos a otros programas. Tipos de mdulos de salidas: Syslog. Enva las alarmas al syslog Alert_Fast. El modo Alerta Rpida nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen y destino. Alert_Full. El modo de Alerta Completa nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen/destino e informacin completa de las cabeceras de los paquetes registrados. Alert_smb. Permite a Snort realizar llamadas al cliente de SMB, y enviar mensajes de alerta a hosts Windows (WinPopUp). Alert_unixsock. Manda las alertas a travs de un socket, para que las escuche otra aplicacin. Log_tcpdump. Este mdulo asocia paquetes a un archivo con formato tcpdump. Database. Snort admite directamente cuatro tipos de salida a base de datos: MySQL, PostgreSQL, Oracle y unixODBC. El mdulo de salida de base de datos requiere: parmetros y configuraciones, dentro del archivo de configuracin y en tiempo de compilacin CSV. El plugin de salida CSV permite escribir datos de alerta en un formato fcilmente importable a una base de datos. Unified. Es un formato binario bsico para registrar los datos y usarlos en el futuro. Los dos argumentos admitidos son filename y limit. Log Null. A veces es til ser capaz de crear las reglas que provocarn alertas sobre ciertos tipos de trfico, pero no causarn entradas en los archivos de log. Eventlog. Registra las alertas para visualizarse a travs del visor de sucesos de un sistema windows.

Plugins de Snort

Hay una serie de mdulos o complementos para Snort, que contribuyen a aumentar su funcionalidad. En la tabla 3-3 se muestra un resumen de algunos mdulos y complementos existentes para Snort.

Tabla 3-3. Complementos de Snort Nombre

Spade Inline Snort

Comentario
Mdulo detector de Anomalas. Sistema de

url
http://majorgeeks.com/Sam_Spade_d594.html http://snort-inline.sourceforge.net/

Captulo 3. Snort

51

BRO

SAM Snort Log Parser IDS Policy Manager

ACID

BASE

Prevencin de Intrusos. NIDS que usa una gran variedad de mdulos para el anlisis de protocolos. Monitor de Alertas de Snort. Analiza los mensajes del archivo de alertas de Snort. Facilita el manejo de los preprocesadores y de las salidas de Snort. Consola web para visualizar los registros de Snort. Evolucin de ACID.

http://www.bro-ids.org/

http://www.darkaslight.com/projects/sam http://linux-bsdcentral.com/index.php/content/view/17/28/ http://www.activeworx.org/Default.aspx?tabid=55

http://acidlab.sourceforge.net/

http://sourceforge.net/projects/secureideas/

Sistemas que utilizan Snort

Son muchas las arquitecturas que integran Snort como sistema de deteccin de intrusos un ejemplo es el propuesto en el artculo de la [CAR07]. En l se describe un SPP-NIDS, que es una arquitectura para deteccin de intrusos, que soporta las reglas Snort. Proporciona escalabilidad, flexibilidad y rendimiento. Tiene un cluster parametrizable de procesadores: un procesador controlador IDS, un coprocesador dedicado reconfigurable, un procesador host e interfaces para unirse a la red exterior y para unir la red interior. El esquema del SPP-NIDS es el que se muestra en la figura 3-6.

Figura 3-6. Sistema SPP-NIDS Otros autores, han realizado implementaciones mejoradas sobre Snort. El artculo de Ryan Proudfoot entre otros [PRO07], propone un sistema que ejecuta una versin mejorada de Snort en el software hasta conseguir el emparejamiento de formas (pattern matching) y luego descarga el procesamiento sobre una serie de FPGA. Se trata de una nueva arquitectura cohardware/software que permitir usar una solucin software flexible y probada con la velocidad y la eficacia de los dispositivos hardware FPGA.

52

Diseo y optimizacin de un sistema de deteccin de intrusos hbrido

Snort tambin se ha usado en implantacin de IDS hbridos (permite tanto la deteccin de anomalas como la de uso indebido). Ejemplo de ello se puede ver en el artculo de J.E. DazVerdejo [GAR07], que se ha comentado anteriormente, en el que se propone el uso de una versin modificada de Snort para operar como detector/clasificador hbrido. Esta versin puede ser utilizada durante la fase de entrenamiento del sistema basado en anomalas y como detector hbrido. Otras investigaciones proponen la combinacin del IDS Snort con un sistema de prevencin de Intrusos, IPS [NIC]. El prototipo de la arquitectura propuesta extiende la funcionalidad bsica de Snort, haciendo uso del preprocesado, que permite el anlisis de los protocolos de las capas superiores del TCP/UDP. El bloque de preprocesadores es muy poderoso ya que permite implementar tanto tcnicas basadas en la deteccin de intrusos como tcnicas basadas en la prevencin. Otro sistema que usa Snort es SANTA-G (Grid-enabled System Area NetworksTrace Analysis) [KEN04]. Se trata de una herramienta que monitoriza el framework que usa el RGMA (Relational Grid Monitoring Architecture). SANTA-G NetTracer se compone de tres componentes que consideran los datos de monitorizacin para tener acceso por la R-GMA: un Sensor (que es instalado sobre el nodo/s para ser monitorizado), un QueryEngine, y un Monitor GUI (como se puede ver en la figura 37). El Sensor monitoriza los archivos de alertas creados por el sensor externo Snort, y notifica al QueryEngine cuando se descubren nuevos archivos de alerta. El sensor monitoriza el archivo de alertas generado por Snort.

Figura 3-7. SANTA-G NetTracer, monitorizando SNORT A continuacin se puede ver en la tabla 3-4, un resumen de los sistemas que integran Snort como Sistema de Deteccin de Intrusos.

Captulo 3. Snort

53

Tabla 3-4. Sistemas que integran Snort Nombre

SPP-NIDS

Descripcin
Arquitectura para deteccin de intrusos, que soporta las reglas SNORT. Propone un sistema que ejecuta una versin mejorada de Snort haciendo uso de FPGAs. Implementacin de Snort como IDS hbrido (deteccin de anomalas y de uso indebido). Combinacin de Snort con un sistema de prevencin de Intrusos, IPS. Monitoriza el framework que usa el RGMA (Relational Grid Monitoring Architecture).

Referencia
[CAR07]

High Performance SoftwareHardware Network Intrusion Detection System Snort Hbrido

[PRO07]

[GAR07]

Intrusion Detection and Prevention

[NIC]

[KEN04]

SANTA-G

Adems de sistemas que usan Snort, tambin hay una versin de Snort para el anlisis de redes inalmbricas. Esta herramienta se llama AirSnort y su nico propsito es romper la encriptacin WEP (obteniendo as la contrasea de encriptacin) de todas las redes inalmbricas que se encuentren en el radio de alcance del dispositivo inalmbrico que utilice la herramienta. Esta herramienta opera bsicamente monitorizando de forma pasiva las transmisiones de las redes inalmbricas que se producen alrededor del dispositivo inalmbrico que la ejecuta capturando todos y cada unos de los paquetes que circulan entre las mquinas conectadas a dicha red. [JIM].