Herramientas para afinar y complementar IDS Snort.
|
El IDS Snort es de los mas populares, debido a ser multiplataforma y estar bajo una licencia GPL. También dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad. Otro de sus puntos fuertes es su flexibilidad, que puede afinarse y complementarse con herramientas como: IDS Policy Manager (Configuración remota de políticas), SAM (Monitorización en tiempo real), Scanmap3d (visualización en 3D del trafico), Cyberprobe (Herramienta de motorización de redes contra ciberataques) y Nebula (Herramienta de creación automática de firmas).
IDS Policy Manager, puede configurar las políticas de Snort de forma remota y con un intuitivo interfaz grafico. Esta herramienta facilita mucho la configuración de Snort. Además IDS Policy Manager permite realizar cambios rápidos en la configuración del IDS para darle más eficacia al sistema, en caso de incidencias puntuales.
Entre sus funciones destaca:
- Combina las nuevas reglas con reglas existentes.
- Actualización de reglas vía Internet.
- Permite cargar los archivos vía: SFTP, ftp o compilándolos directamente.
- Reinicia los sensores del Snort después de modificar las reglas.
- Permite realizar hacer copias de seguridad de las políticas.
- Soporta Snort® 2.8.
Es una herramienta ideal para administradores de sistemas, porque gracias a esta herramienta se pueden tener varias configuraciones de Snort para cada situación. Además simplifica mucho la configuración de políticas.
Más información y descarga de IDS Policy Manager:
http://ccm.net/download/download-5936-ids-policy-manager
SAM (Snort Alert Monitor), permite realizar una monitorización real de Snort. SAM ofrece muchas alternativas para indicar una intrusión detectada por Snort, además de mostrar gráficos muy representativos sobre la actividad del ids.
SAM posee alarmas visuales y sonoras para indicar una intrusión, también puede programársele para enviar alertas al email, aunque esta función ya es propia de snort. Al estar programado en Java puede ser utilizado desde cualquier plataforma, pero SAM tiene que estar instalado en un servidor Web Apache con MySQL o JDBC.
Más información y descarga de SAM:
http://sourceforge.net/projects/snortalertmon/
Scanmap3d, es un programa escrito en Java como una demostración de concepto para la visualización de información de detección de intrusiones en la red. El programa lee la información que genera el IDS Snort en una una base de datos MySQL y produce un mapa 3D de tráfico de la red ayudándose de un tcpdump.
Más información y descarga de Scanmap3d:
http://scanmap3d.sourceforge.net/
Cyberprobe, es una arquitectura de software distribuido para la monitorización de redes contra ciberataques. Se puede integrar con el IDS Snort, de manera que los datos capturados de un ataque, se contrasta la dirección IP con los datos recogidos por Snort.
El proyecto Cyberprobe es un código abierto distribuido arquitectura para la monitorización en tiempo real de las redes de contra ataque. El software consta de dos componentes:
- Cyberprobe, una sonda que recoge los paquetes de datos y lo reenvía a través de una red en protocolos de transmisión estándar.
- Cybermon, un monitor que recibe los paquetes de streaming, decodifica los protocolos e interpreta la información.
Estos componentes se pueden utilizar juntos o por separado. Para una configuración sencilla, se pueden ejecutar en el mismo host, para los entornos más complejos una serie de sondas puede alimentar a un solo monitor.
La sonda, cyberprobe tiene las siguientes características:
- Puede recoger los paquetes de una interfaz y remitirlos a una lista de direcciones IP configurable.
- Permite configurarse para recibir alertas de Snort. En esta configuración, cuando se recibe una alerta de Snort, la dirección IP de origen asociado con la alerta está dirigida de forma dinámica por un período de tiempo. En esta configuración, el sistema recogerá datos de cualquier host de la red que desencadena una regla de Snort y por lo tanto se identifica como un potencial atacante.
- La sonda puede opcionalmente ejecutar una interfaz de gestión que permite la interrogación remota del estado y la alteración de la configuración. Esto permite que la alteración dinámica del mapa focalización y la integración con otros sistemas.
- La sonda se puede configurar para entregar datos en dos protocolos de transmisión estándar.
La herramienta de seguimiento, cybermon tiene las siguientes características:
- Recoge los paquetes entregados en los protocolos de streaming.
- Decodifica protocolos y plantea eventos en tiempo real.
- El usuario define mediante configuración cómo se maneja la información decodificada. Mediante un lenguaje de configuración sencilla (LUA) y con configuraciones de ejemplo que se proporcionan para controlar: los volúmenes de datos, hexdumps de datos de visualización y exportar los datos en archivos.
- Técnicas de falsificación de paquetes, que permiten restablecer conexiones TCP y falsificar respuestas DNS. Con el fin de luchar contra los ataques a la red.
- Soporta los protocolos IP, TCP, UDP, ICMP, HTTP y DNS.
El código de esta herramienta está destinado para la plataforma Linux, aunque es lo suficientemente genérico como para ser aplicable a otras plataformas.
Más información y descarga de Cyberprobe:
http://sourceforge.net/projects/cyberprobe/?source=directory
Nebula, una herramienta de creación automática de firmas para Snort. Su funcionamiento consiste en ejecutarse como demonio y recibir ataques a través de un honeypot, inmediatamente Nebula genera una firma de ese ataque en lenguaje Snort. Nebula está diseñado para trabajar con los honeypot: Honeytrap y Argos.
Puede ayudar a asegurar una red automáticamente derivando e instalando reglas para filtrar ataques en el IDS Snort. También sirve para crear reglas de una forma rápida y fácil o para aprender a crear reglas de determinados ataques simulados previamente.
Más información y descarga de Nebula:
http://nebula.carnivore.it/
Más información y descarga de honeypot Argos:
http://www.few.vu.nl/argos/
Más información y descarga de honeypot Honeytrap:
http://sourceforge.net/projects/honeytrap/