Diferencias entre Snort 2 y Snort 3: el popular IDS y IPS se actualiza

Snort es uno de los sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) más utilizados actualmente junto con Suricata. Snort es un IDS/IPS en red que es libre y gratis, ofrece la capacidad de examinar en tiempo real todo el tráfico de red, independiente de la interfaz (WAN o LAN) donde lo pongamos, y su objetivo es detectar cualquier tipo de tráfico malicioso y bloquearlo a través del firewall. Muy pronto veremos la versión final y estable de Snort 3, la última versión que incorpora una gran cantidad de mejoras respecto a Snort 2 que es actualmente la que se suele utilizar.

Principales características de Snort

Snort, al ser un IDS y IPS, incorpora un motor de detección de ataques y detección de escaneo de puertos basadas en reglas que nos podremos descargar de manera gratuita, y que se actualizan con cierta frecuencia, además, podremos automatizar la descarga de las nuevas reglas. Snort permite registrar, alertas y responder ante cualquier posible ataque de red que previamente hayamos definido con las reglas que tengamos dadas de alta. Nosotros mismos podremos crear reglas específicas para que Snort las detecta y haga su trabajo.

La mayoría de sistemas operativos de firewalls como pfSense o OPNsense, incorporan este popular IDS/IPS junto a Suricata, ya que son los dos mejores y más utilizados en la industria.

Durante la instalación y configuración de Snort, tenemos la posibilidad de dar de alta miles de filtros o reglas, no obstante, es muy recomendable «entrenar» a Snort para que no detecte falsos positivos, y, por tanto, bloquee tráfico legítimo. Dispone de múltiples reglas para backdoors, detecciones de ataques DoS, fingerprint, ataques a servicios como SSH, Samba, FTP, ataques web, cualquier tipo de escaneo con Nmap y mucho más.

Snort funciona de varias maneras distintas:

  1. Sniffer: la primera función de Snort es actual de Sniffer, es decir, va a capturar y examinar todo el tráfico de red donde nosotros activemos Snort, ya que podremos activarla en una o varias interfaces donde lo instalemos.
  2. Registro de paquetes: después de hacer la función de sniffer, si un paquete se corresponde con una determinada regla o con un patrón que previamente hemos dado de alta, automáticamente registrará ese paquete en el sistema. De esta forma, sabremos qué ha producido ese registro, de qué dirección IP y puerto, y hacia qué IP y puerto se ha intentado realizar.
  3. Prevención de intrusiones: Snort trabaja conjuntamente con el firewall, si el sniffer captura un paquete y se corresponde con una regla o un patrón, Snort no solamente va a registrar estos paquetes, sino que también puede actuar bloqueando la dirección IP a través del firewall.

Una vez que sabemos de manera muy básica qué es Snort y cuáles son sus principales características, os vamos a explicar las novedades que incorpora Snort 3 respecto a Snort 2.

Diferencias entre Snort 3 y Snort 2

Snort 3.0 es una gran evolución de la actual versión de Snort 2.X, la nueva versión es más eficiente, proporciona un mayor rendimiento, escalabilidad, usabilidad y permite una gran extensibilidad. Algunas de las principales mejoras incorporadas en esta nueva versión son las siguientes:

  • Soporte para múltiples subprocesos de procesamiento de paquetes, esto permite que Snort consuma menos recursos, sobre todo en cuanto a RAM se refiere.
  • Acceso a más de 200 plugins
  • Soporte para Hyperscan, esta característica es muy importante ya que conduce a patrones más rápidos, literales de contenido y PCRE compatible durante la evaluación de las diferentes firmas que hayamos dado de alta en Snort.
  • El manejo del protocolo de la capa de transporte TCP se ha reescrito por completo, con el objetivo de tener el mejor rendimiento posible.
  • Se ha añadido un nuevo analizador de reglas y nueva sintaxis en las mismas. Además, los comentarios en las reglas también son nuevos.
  • Se ha incorporado reglas mejoradas de objetos compartidos, además, se pueden añadir reglas para vulnerabilidades 0day.
  • Nuevo monitos de rendimiento, perfiles de tiempo y espacio.
  • Si tu CPU tiene múltiples núcleos, la capacidad de escalar es mucho más simple para aprovechar el hardware lo mejor posible.
  • Ahora permite procesar una carga útil sin procesar, y unir dos sockets para realizar la inspección.

En la siguiente imagen podéis ver una comparativa entre Snort 2 y Snort 3 que está sacada directamente desde el blog oficial de Snort.

Os recomendamos visitar el blog oficial de Snort donde encontraréis todos los detalles sobre esta nueva versión.

¡Sé el primero en comentar!