SNORT es un software NIDS de código abierto o, dicho en otras palabras, es un sistema para detectar la existencia de intrusos en una Red. Las reglas SNORT por lo tanto son una guía para conocer cómo funcionan y cómo podemos aplicarlas.
Su gran utilidad la convierte en la tecnología IDS/IPS que más se usa a nivel mundial, gracias a su capacidad para analizar con gran eficacia el tráfico en la Red. Esto lo hace gracias a un sensor cuya ubicación es muy importante, normalmente en el límite entre Internet y la LAN. Este lugar estratégico permite obtener y analizar los datos necesarios para detectar intrusos.
Las reglas SNORT
Las reglas SNORT no se encuentran implementadas en el software. No obstante, existen fuentes que te ayudan a encontrar e incluir reglas.
El Equipo de Investigación de Vulnerabilidad (VRT) han desarrollado lo que son las reglas oficiales de SNORT, que se proporcionan por Sourcefire y se actualizan semanalmente.
Por otro lado, nos encontramos con Emerging Threats que sirve para amenazas emergentes que actúan de forma más rápida y se actualizan varias veces en un día.
Por último, podemos encontrarnos con reglas de la comunidad o reglas caseras. Las reglas de la comunidad se actualizaron por última vez en 2007 y, a diferencia de las reglas caseras que son creadas localmente, estas son creadas por la comunidad SNORT.
Partes de una regla SNORT
Para entender mejor lo que es una regla debemos distinguir dos partes. En primer lugar, el encabezado de la regla. En esta parte encontramos información relativa a la acción y el protocolo de esta, así como direcciones IP de origen y destino, máscaras de red o información sobre puertos, tanto de origen como de destino.
En segundo lugar, nos encontramos con las opciones de la regla. Esta sección informa y alerta sobre qué partes deben ser inspeccionadas para determinar si se debe aplicar o no la regla.
Amenazas que hacen frente las reglas SNORT
Las amenazas a las que hacen frente estas reglas podrían ser divididas en tres grupos o categorías.
- Los incidentes de mayor importancia son los comprometidos, ya que incluyen hosts que contienen virus o bien son usuarios cuya finalidad es llevar a cabo acciones ilegales.
- Los violadores de políticas hacen referencia a aquellos usuarios que no cumplen con las políticas.
- En último lugar, los ataques dirigidos o exploraciones proporcionan información sobre qué actividad se está llevando a cabo en la red. No obstante, esta situación no significa necesariamente que se requiera de una acción.
Las reglas SNORT pueden ser un instrumento muy útil para detectar ataques, aunque, por otro lado, no se podrán detener si solo se utilizan las reglas de SNORT predeterminadas, sin un profesional de la ciberseguridad que las gestione.