Tener un sistema de detección y prevención de intrusiones en una pequeña y mediana oficina es algo fundamental para garantizar una mayor seguridad. Gracias a los software IDS/IPS, podremos analizar todo el tráfico de red basándose en diferentes reglas y firmas, para poder bloquear posibles ataques que nos estén realizando. Los IPS (Sistema de Prevención de Intrusiones) son tan importante que incluso fabricantes como ASUS, en sus routers domésticos, han incorporado esta funcionalidad de manera básica. Snort es uno de los mejores IDS/IPS que tenemos actualmente, ahora se ha lanzado la versión Snort 3 con una gran cantidad de novedades muy importantes. ¿Quieres conocer todos los detalles de la nueva versión?
Principales características de Snort 3
Snort 3 ya está disponible, una gran noticia para aquellos usuarios que no sabían si seguir utilizando Snort, o pasarse a Suricata, otro de los mejores sistemas de detección y prevención de intrusiones que tenemos actualmente. La última versión de Snort es la 3.1.0.0, y ha sido realmente muy esperada por los usuarios por todas las novedades y mejoras en el rendimiento que incorpora. Debemos recordar que Snort es un sistema de detección y prevención de intrusiones de código abierto, capaz de realizar análisis de tráfico en una o varias interfaces de red de forma simultánea y en tiempo real, registrando todos los paquetes y comparándolo con diferentes reglas y firmas que podemos configurar o descargar de Internet desde las fuentes oficiales.
Snort 3 se ha diseñado para conservar lo mejor de la versión anterior, pero le han añadido características muy interesantes, ahora podremos proteger las redes de los usuarios de tráfico no deseado, de software malicioso e incluso de spam y phishing. El equipo de desarrollo de Snort 3 ha empezado desde cero para el lanzamiento de esta versión, de hecho, según el comunicado oficial han estado 7 años desarrollándolo, porque querían hacer el mejor IDS/IPS y uno de los más eficaces y eficientes. Gracias a esta nueva versión, las reglas son más rápidas y eficientes, lo que se traduce en un menor consumo de CPU y RAM, y un mayor ancho de banda para los usuarios, sin que tengamos cuello de botella en el firewall.
Snort es compatible con diferentes sistemas operativos, entre los que se incluye FreeBSD y también Linux. Es muy posible que próximamente, el equipo de desarrollo de pfSense y OPNsense, dos distribuciones orientadas específicamente a firewalls, integren por defecto o como extensión esta nueva versión de Snort, ya que supone una mejora muy importante. No obstante, esto podría tardar meses hasta que los equipos de desarrollo de pfSense y OPNsense prueben a fondo este nuevo IDS/IPS que es muy diferente de Snort 2.
Algunas de las características nuevas de Snort 3, son las siguientes:
- Soporte para procesar los paquetes con múltiples hilos de procesamiento, hasta el momento, Snort solamente podría analizar el tráfico con un hilo. Esto permitirá aumentar el rendimiento exponencialmente gracias a que los procesadores hoy en día tienen 8 núcleos e incluso más.
- Configuración compartida y tabla de atributos
- La programación de las reglas es mucho más fácil que antes
- Detecta servicios automáticamente, sin tener que configurar puertos específicamente
- Permite autogenerar documentación de referencia
- Mejor soporte para multiplataforma en los diferentes sistemas operativos.
Desde hace varios meses teníamos la «Release Candidate», es muy importante que actualices a la última versión porque se han realizado muchas correcciones gracias al reporte de los usuarios. Algunas mejoras que se han realizado desde la última versión, son que incorpora mejoras para recargar la configuración, se ha mejorado la inspección de HTTP/2 con corrección de errores, las IPS variables se han movido a tablas específicas, se ha mejorado el descubrimiento de redes y corrección de errores.
El equipo de desarrollo de Snort recomienda pasarse a Snort 3 desde Snort 2 cuanto antes, sin embargo, en los principales sistemas operativos orientados a firewall como pfSense, aún no lo tenemos disponible como actualización. Nosotros tenemos actualmente instalada la versión 2.9.16.1 que es una de las últimas versiones actualmente.
En ocasiones, el equipo de desarrollo de pfSense pone las nuevas versiones como un paquete disponible adicional, para elegir entre la versión «antigua» o la nueva versión. Sin embargo, en la última versión stable de pfSense no lo tenemos disponible:
Es muy posible que en la próxima versión pfSense 2.5.0 incorporen esta nueva versión de Snort 3, junto a la nueva VPN WireGuard, que es una característica ya confirmada por el equipo de desarrollo de pfSense.
Os recomendamos visitar el comunicado oficial de Snort 3 donde encontraréis todos los detalles de esta nueva versión.