Diferencias entre Snort 2 y Snort 3: el popular IDS y IPS se actualiza Redes Zone : Portal sobre telecomunicaciones y redes

Principales características de Snort

Snort, al ser un IDS y IPS, incorpora un motor de detección de ataques y detección de escaneo de puertos basadas en reglas que nos podremos descargar de manera gratuita, y que se actualizan con cierta frecuencia, además, podremos automatizar la descarga de las nuevas reglas. Snort permite registrar, alertas y responder ante cualquier posible ataque de red que previamente hayamos definido con las reglas que tengamos dadas de alta. Nosotros mismos podremos crear reglas específicas para que Snort las detecta y haga su trabajo.

La mayoría de sistemas operativos de firewalls como pfSense o OPNsense, incorporan este popular IDS/IPS junto a Suricata, ya que son los dos mejores y más utilizados en la industria. Además, podemos montarnos un completo firewall para proteger nuestra red local doméstica de manera bastante fácil.

Durante la instalación y configuración de Snort, tenemos la posibilidad de dar de alta miles de filtros o reglas, no obstante, es muy recomendable «entrenar» a Snort para que no detecte falsos positivos, y, por tanto, bloquee tráfico legítimo. Dispone de múltiples reglas para backdoors, detecciones de ataques DoS, fingerprint, ataques a servicios como SSH, Samba, FTP, ataques web, cualquier tipo de escaneo con Nmap y mucho más.

Snort funciona de varias maneras distintas:

  1. Sniffer: la primera función de Snort es actual de Sniffer, es decir, va a capturar y examinar todo el tráfico de red donde nosotros activemos Snort, ya que podremos activarla en una o varias interfaces donde lo instalemos.
  2. Registro de paquetes: después de hacer la función de sniffer, si un paquete se corresponde con una determinada regla o con un patrón que previamente hemos dado de alta, automáticamente registrará ese paquete en el sistema. De esta forma, sabremos qué ha producido ese registro, de qué dirección IP y puerto, y hacia qué IP y puerto se ha intentado realizar.
  3. Prevención de intrusiones: Snort trabaja conjuntamente con el firewall, si el sniffer captura un paquete y se corresponde con una regla o un patrón, Snort no solamente va a registrar estos paquetes, sino que también puede actuar bloqueando la dirección IP a través del firewall.

Una vez que sabemos de manera muy básica qué es Snort y cuáles son sus principales características, os vamos a explicar las novedades que incorpora Snort 3 respecto a Snort 2.

Diferencias entre Snort 3 y Snort 2

Snort 3.0 es una gran evolución de la actual versión de Snort 2.X, la nueva versión es más eficiente, proporciona un mayor rendimiento, escalabilidad, usabilidad y permite una gran extensibilidad. Algunas de las principales mejoras incorporadas en esta nueva versión son las siguientes:

  • Soporte para múltiples subprocesos de procesamiento de paquetes, esto permite que Snort consuma menos recursos, sobre todo en cuanto a RAM se refiere.
  • Acceso a más de 200 plugins
  • Soporte para Hyperscan, esta característica es muy importante ya que conduce a patrones más rápidos, literales de contenido y PCRE compatible durante la evaluación de las diferentes firmas que hayamos dado de alta en Snort.
  • El manejo del protocolo de la capa de transporte TCP se ha reescrito por completo, con el objetivo de tener el mejor rendimiento posible.
  • Se ha añadido un nuevo analizador de reglas y nueva sintaxis en las mismas. Además, los comentarios en las reglas también son nuevos.
  • Se ha incorporado reglas mejoradas de objetos compartidos, además, se pueden añadir reglas para vulnerabilidades 0day.
  • Nuevo monitos de rendimiento, perfiles de tiempo y espacio.
  • Si tu CPU tiene múltiples núcleos, la capacidad de escalar es mucho más simple para aprovechar el hardware lo mejor posible.
  • Ahora permite procesar una carga útil sin procesar, y unir dos sockets para realizar la inspección.

En la siguiente imagen podéis ver una comparativa entre Snort 2 y Snort 3 que está sacada directamente desde el blog oficial de Snort.

Os recomendamos visitar el blog oficial de Snort donde encontraréis todos los detalles sobre esta nueva versión.

Fuente obtenida de: https://www.redeszone.net/noticias/seguridad/snort-2-vs-snort-3-diferencias-ids-ips/

Compartelo en las redes sociales

Compartir en facebook Compartir en google+ Compartir en twitter Compartir en pinterest Compartir en likedin Compartir en WhatsApp

Sobre Kamal Majaiti 1537 artículos
Administrador de sistemas e informático por vocación.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.