Cuestionario 2

Anexo 2
1) Qu es Snort? Sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. 2) Bajo que plataforma trabaja Funciona bajo plataformas Windows y UNIX/Linux. 3) Cules son sus componentes? Mdulo de captura del trfico. Es el encargado de capturar todos los paquetes de la red utilizando la librera libpcap. Decodificador. Se encarga de formar las estructuras de datos con los paquetes capturados e identificar los protocolos de enlace, de red, etc. Preprocesadores. Permiten extender las funcionalidades preparando los datos para la deteccin. Existen diferentes tipos de preprocesadores dependiendo del trfico que queremos analizar (por ejemplo, existen los preprocesadores http, telnet) Motor de Deteccin. Analiza los paquetes en base a las reglas definidas para detectar los ataques. Archivo de Reglas. Definen el conjunto de reglas que regirn el anlisis de los paquetes detectados. Plugins de deteccin. Partes del software que son compilados con Snort y se usan para modificar el motor de deteccin. Plugins de salida. Permiten definir qu, cmo y dnde se guardan las alertas y los correspondientes paquetes de red que las generaron. Pueden ser archivos de texto, bases de datos, servidor syslog, etc. 4) Cul es el manejador de base de datos que usa? SQL (MySQL, PostgreSQL o Oracle), guardando en ella toda la informacin de las alertas detectadas. BASE (Basic Analysis and Security Engine), es una aplicacin Web para la monitorizacin de Snort. Necesitaremos instalar un servidor apache con soporte PHP y SQL. La configuracin es tan sencilla como indicar que Base de Datos utiliza snort.

5) Cuales son sus reglas bsicas de Snort? Las reglas Snort las podemos dividir en dos secciones lgicas, a saber: La cabecera contiene la accin de la regla en s, protocolo, IPs, mscaras de red, puertos origen y destino y destino del paquete o direccin de la operacin. La seccin opciones contiene los mensajes y la informacin necesaria para la decisin a tomar por parte de la alerta en forma de opciones.

6) Menciona 3 funciones que realice? La funcin principal de SNORT es la de detectar intrusos en la red privada, presentando distintos tipos de alertas de seguridad, tanto al syslog como a puertos especficos de otras mquinas o mediante un cliente Samba.