Scribd
Cargar
149 vistas2 páginas

Suricata

Suricata es un sistema de detección de intrusiones avanzado que puede ejecutarse en múltiples hilos para aprovechar procesadores multi-núcleo, inspeccionar tráfico de red mediante tarjetas gráficas, capturar malware descargado, y analizar paquetes, certificados, peticiones DNS y solicitudes HTTP usando scripting LuaJIT. Bro también es un IDS basado en firmas y anomalías que genera eventos de tráfico de red y ofrece un potente lenguaje de scripting para automatizar tareas de análisis

Cargado por

deiberramirezgallego
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
149 vistas2 páginas

Suricata

Suricata es un sistema de detección de intrusiones avanzado que puede ejecutarse en múltiples hilos para aprovechar procesadores multi-núcleo, inspeccionar tráfico de red mediante tarjetas gráficas, capturar malware descargado, y analizar paquetes, certificados, peticiones DNS y solicitudes HTTP usando scripting LuaJIT. Bro también es un IDS basado en firmas y anomalías que genera eventos de tráfico de red y ofrece un potente lenguaje de scripting para automatizar tareas de análisis

Cargado por

deiberramirezgallego
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Suricata

Podríamos decir que la única razón para no utilizar Snort es estar utilizando Suricata. Aunque se
trata de una herramienta IDS de arquitectura distinta, se comporta de la misma manera que Snort
y usa las mismas firmas. De hecho, es capaz de funcionar sobre Snort, formando un poderoso
tándem.

suricata-ids-intrusion-detection-system

A continuación enumeraré algunos de los puntos clave de este sistema de detección de


intrusiones avanzado:

Multi-hilo: Snort se ejecuta en modo uni-hilo y por tanto solo puede aprovechar un núcleo de la
CPU al mismo tiempo. Suricata aprovecha los procesadores multi-núcleo y multi-threading. Existen
benchmarks que demuestran una considerable diferencia de rendimiento.

Aceleración mediante hardware: es posible utilizar tarjetas gráficas para inspecionar tráfico de red.

Extracción de ficheros: si alguien se descarga malware en nuestro entorno, es posible capturarlo y


estudiarlo desde Suricata.

LuaJIT: nos proporcionará el poder que nos falta mediante scripting, pudiendo combinar varias
reglas, para buscar elementos con mayor eficiencia.

Más que paquetes: Suricata no solo es capaz de analizar paquetes, también puede revisar los
certificados TLS/SSL, peticiones DNS, solicitudes HTTP…

Dadas sus fortalezas, no extraña que siga siendo una de las herramientas de detección de
intrusiones más populares.

Bro

A veces llamado Bro-IDS o simplemente Bro, este sistema es algo distinto de los dos anteriores. En
cierto modo, Bro es tanto un IDS basado en anomalías como en firmas. El tráfico capturado
generará una serie de eventos. Por ejemplo, un evento podría ser un inicio de sesión de usuario a
un FTP, conexión a servicio web o casi cualquier cosa.

El verdadero punto fuerte de Bro es el Intérprete de Políticas Script. Con su propio lenguaje de
adminsitración (Bro-Script) nos ofrece posibilidades muy interesantes.
bro-ids

Si alguna vez has querido automatizar parte de tus tareas de análisis y recolección de datos, esta
es la herramienta que buscas. Por poner un ejemplo de su versatilidad, con Bro podríamos
descargar ficheros encontrados en nuestro entorno, remitirlos para un análisis de malware,
notificar si se encuentra un problema y después introducir en la lista negra la fuente del mismo.
Como colofón, incluso podríamos apagar el equipo remoto del usuario que lo descargó.

En caso de no ser un analista con cierta experiencia, podrías acusar una curva de aprendizaje
bastante fuerte y quizá deberías fijarte antes en otra herramienta como Suricata o Snort. Sin
embargo, en caso contrario te interesa bastante, porque además es capaz de detectar más
patrones de actividad que la mayoría de IDS.

También podría gustarte