Blog de Informática y tecnología.

INFORMÁTICA POR KAMAL MAJAITI.

Diferencias entre Snort 2 y Snort 3: el popular IDS y IPS se actualiza Redes Zone : Portal sobre telecomunicaciones y redes

Tabla de contenido

Principales características de Snort

Snort, al ser un IDS y IPS, incorpora un motor de detección de ataques y detección de escaneo de puertos basadas en reglas que nos podremos descargar de manera gratuita, y que se actualizan con cierta frecuencia, además, podremos automatizar la descarga de las nuevas reglas. Snort permite registrar, alertas y responder ante cualquier posible ataque de red que previamente hayamos definido con las reglas que tengamos dadas de alta. Nosotros mismos podremos crear reglas específicas para que Snort las detecta y haga su trabajo.

La mayoría de sistemas operativos de firewalls como pfSense o OPNsense, incorporan este popular IDS/IPS junto a Suricata, ya que son los dos mejores y más utilizados en la industria. Además, podemos montarnos un completo firewall para proteger nuestra red local doméstica de manera bastante fácil.

Durante la instalación y configuración de Snort, tenemos la posibilidad de dar de alta miles de filtros o reglas, no obstante, es muy recomendable «entrenar» a Snort para que no detecte falsos positivos, y, por tanto, bloquee tráfico legítimo. Dispone de múltiples reglas para backdoors, detecciones de ataques DoS, fingerprint, ataques a servicios como SSH, Samba, FTP, ataques web, cualquier tipo de escaneo con Nmap y mucho más.

Snort funciona de varias maneras distintas:

  1. Sniffer: la primera función de Snort es actual de Sniffer, es decir, va a capturar y examinar todo el tráfico de red donde nosotros activemos Snort, ya que podremos activarla en una o varias interfaces donde lo instalemos.
  2. Registro de paquetes: después de hacer la función de sniffer, si un paquete se corresponde con una determinada regla o con un patrón que previamente hemos dado de alta, automáticamente registrará ese paquete en el sistema. De esta forma, sabremos qué ha producido ese registro, de qué dirección IP y puerto, y hacia qué IP y puerto se ha intentado realizar.
  3. Prevención de intrusiones: Snort trabaja conjuntamente con el firewall, si el sniffer captura un paquete y se corresponde con una regla o un patrón, Snort no solamente va a registrar estos paquetes, sino que también puede actuar bloqueando la dirección IP a través del firewall.

Una vez que sabemos de manera muy básica qué es Snort y cuáles son sus principales características, os vamos a explicar las novedades que incorpora Snort 3 respecto a Snort 2.

Diferencias entre Snort 3 y Snort 2

Snort 3.0 es una gran evolución de la actual versión de Snort 2.X, la nueva versión es más eficiente, proporciona un mayor rendimiento, escalabilidad, usabilidad y permite una gran extensibilidad. Algunas de las principales mejoras incorporadas en esta nueva versión son las siguientes:

  • Soporte para múltiples subprocesos de procesamiento de paquetes, esto permite que Snort consuma menos recursos, sobre todo en cuanto a RAM se refiere.
  • Acceso a más de 200 plugins
  • Soporte para Hyperscan, esta característica es muy importante ya que conduce a patrones más rápidos, literales de contenido y PCRE compatible durante la evaluación de las diferentes firmas que hayamos dado de alta en Snort.
  • El manejo del protocolo de la capa de transporte TCP se ha reescrito por completo, con el objetivo de tener el mejor rendimiento posible.
  • Se ha añadido un nuevo analizador de reglas y nueva sintaxis en las mismas. Además, los comentarios en las reglas también son nuevos.
  • Se ha incorporado reglas mejoradas de objetos compartidos, además, se pueden añadir reglas para vulnerabilidades 0day.
  • Nuevo monitos de rendimiento, perfiles de tiempo y espacio.
  • Si tu CPU tiene múltiples núcleos, la capacidad de escalar es mucho más simple para aprovechar el hardware lo mejor posible.
  • Ahora permite procesar una carga útil sin procesar, y unir dos sockets para realizar la inspección.

En la siguiente imagen podéis ver una comparativa entre Snort 2 y Snort 3 que está sacada directamente desde el blog oficial de Snort.

Os recomendamos visitar el blog oficial de Snort donde encontraréis todos los detalles sobre esta nueva versión.

Fuente obtenida de: https://www.redeszone.net/noticias/seguridad/snort-2-vs-snort-3-diferencias-ids-ips/

INFORMACION DEL PUBLICADOR
Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
BUSCADOR
COMPARTELO EN REDES
NUBE DE ETIQUETAS
zlabs zentyal windows10 Windows Server windows defender windows admin center windows 2019 Windows wi-fi WhatsApp
COMENTARIOS RECIENTES
Trouble @ Cuánto cuesta el WiFi en el avión y qué limitaciones tiene Redes Zone : Portal sobre telecomunicaciones y redes
mayo 3, 2023 at 11:47 pm
¡Gracias por la información! Es interesante conocer los precios y limitaciones del WiFi en los…
Maria ruiz @ Crypto.com retira USDT de su plataforma para usuarios canadienses tras la prohibición de la OSC Noticias en Cointelegraph.com
enero 14, 2023 at 11:20 am
Que vienen las CBDC uy uy
Ruben @ La CNMV avisa que el caso de FTX es un ejemplo a la falta de regulación y hace un llamado a la precaución con la información de las redes sociales Noticias en Cointelegraph.com
enero 14, 2023 at 11:05 am
Que les jodan.
Juanes @ EE.UU. retrasa las normas de declaración de impuestos sobre las criptomonedas porque aún no puede definir qué es un «bróker» Noticias en Cointelegraph.com
diciembre 25, 2022 at 12:03 am
Quieren trozo del pastel y no van a renunciar.
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Todos los derechos reservados Kamal Majaiti

Encuéntrame en redes:

Linkedin Github Twitter