Diferencias entre Snort 2 y Snort 3: el popular IDS y IPS se actualiza

Diferencias entre Snort 2 y Snort 3: el popular IDS y IPS se actualiza

Sergio De Luz

Snort es uno de los sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) más utilizados actualmente junto con Suricata. Snort es un IDS/IPS en red que es libre y gratis, ofrece la capacidad de examinar en tiempo real todo el tráfico de red, independiente de la interfaz (WAN o LAN) donde lo pongamos, y su objetivo es detectar cualquier tipo de tráfico malicioso y bloquearlo a través del firewall. Muy pronto veremos la versión final y estable de Snort 3, la última versión que incorpora una gran cantidad de mejoras respecto a Snort 2 que es actualmente la que se suele utilizar.

Principales características de Snort

Snort, al ser un IDS y IPS, incorpora un motor de detección de ataques y detección de escaneo de puertos basadas en reglas que nos podremos descargar de manera gratuita, y que se actualizan con cierta frecuencia, además, podremos automatizar la descarga de las nuevas reglas. Snort permite registrar, alertas y responder ante cualquier posible ataque de red que previamente hayamos definido con las reglas que tengamos dadas de alta. Nosotros mismos podremos crear reglas específicas para que Snort las detecta y haga su trabajo.

La mayoría de sistemas operativos de firewalls como pfSense o OPNsense, incorporan este popular IDS/IPS junto a Suricata, ya que son los dos mejores y más utilizados en la industria. Además, podemos montarnos un completo firewall para proteger nuestra red local doméstica de manera bastante fácil.

Durante la instalación y configuración de Snort, tenemos la posibilidad de dar de alta miles de filtros o reglas, no obstante, es muy recomendable «entrenar» a Snort para que no detecte falsos positivos, y, por tanto, bloquee tráfico legítimo. Dispone de múltiples reglas para backdoors, detecciones de ataques DoS, fingerprint, ataques a servicios como SSH, Samba, FTP, ataques web, cualquier tipo de escaneo con Nmap y mucho más.

Snort funciona de varias maneras distintas:

  1. Sniffer: la primera función de Snort es actual de Sniffer, es decir, va a capturar y examinar todo el tráfico de red donde nosotros activemos Snort, ya que podremos activarla en una o varias interfaces donde lo instalemos.
  2. Registro de paquetes: después de hacer la función de sniffer, si un paquete se corresponde con una determinada regla o con un patrón que previamente hemos dado de alta, automáticamente registrará ese paquete en el sistema. De esta forma, sabremos qué ha producido ese registro, de qué dirección IP y puerto, y hacia qué IP y puerto se ha intentado realizar.
  3. Prevención de intrusiones: Snort trabaja conjuntamente con el firewall, si el sniffer captura un paquete y se corresponde con una regla o un patrón, Snort no solamente va a registrar estos paquetes, sino que también puede actuar bloqueando la dirección IP a través del firewall.

Una vez que sabemos de manera muy básica qué es Snort y cuáles son sus principales características, os vamos a explicar las novedades que incorpora Snort 3 respecto a Snort 2.

Diferencias entre Snort 3 y Snort 2

Snort 3.0 es una gran evolución de la actual versión de Snort 2.X, la nueva versión es más eficiente, proporciona un mayor rendimiento, escalabilidad, usabilidad y permite una gran extensibilidad. Algunas de las principales mejoras incorporadas en esta nueva versión son las siguientes:

  • Soporte para múltiples subprocesos de procesamiento de paquetes, esto permite que Snort consuma menos recursos, sobre todo en cuanto a RAM se refiere.
  • Acceso a más de 200 plugins
  • Soporte para Hyperscan, esta característica es muy importante ya que conduce a patrones más rápidos, literales de contenido y PCRE compatible durante la evaluación de las diferentes firmas que hayamos dado de alta en Snort.
  • El manejo del protocolo de la capa de transporte TCP se ha reescrito por completo, con el objetivo de tener el mejor rendimiento posible.
  • Se ha añadido un nuevo analizador de reglas y nueva sintaxis en las mismas. Además, los comentarios en las reglas también son nuevos.
  • Se ha incorporado reglas mejoradas de objetos compartidos, además, se pueden añadir reglas para vulnerabilidades 0day.
  • Nuevo monitos de rendimiento, perfiles de tiempo y espacio.
  • Si tu CPU tiene múltiples núcleos, la capacidad de escalar es mucho más simple para aprovechar el hardware lo mejor posible.
  • Ahora permite procesar una carga útil sin procesar, y unir dos sockets para realizar la inspección.

En la siguiente imagen podéis ver una comparativa entre Snort 2 y Snort 3 que está sacada directamente desde el blog oficial de Snort.

Os recomendamos visitar el blog oficial de Snort donde encontraréis todos los detalles sobre esta nueva versión.