Ayudantes de Snort PORTADA

Snorby, Open FPC y Pulled Pork traen de vuelta a Snort

nort es viejo en la escala TI, incluso anciano. Marty Roesch comenz el desarrollo del sniffer de red [1] en 1998. Su plan original era desarrollar uno que pudiera funcionar en diversos sistemas operativos. La versin inicial, que data de 1998, contena 1200 lneas de cdigo, pero de estos humildes comienzos surgi uno de los motores de IDS de redes ms potentes. En 2001, Roesch fund Sourcefire [2], una empresa que hoy es sinnimo de potentes dispositivos de deteccin de intrusiones en redes basados en Snort, y que contina desarrollando Snort como una forma de corresponder a la comunidad de cdigo abierto. Snort es un motor que analiza y estandariza el trfico de red y luego comprueba las firmas para identificar actividades sospechosas. Snort no proporciona herramientas para la gestin de firmas, ni el almacenamiento de los

lsantilli - 123RF.com

CARNE FRESCA
Snort es el estndar de facto para la deteccin de intrusiones en redes de cdigo abierto. La comunidad de desarrolladores ha mantenido un perfil bajo durante un par de aos, pero las extensiones como Snorby, OpenFPC y Pulled Pork le han proporcionado al viejo cerdito un poco ms de vida. POR RALF SPENNEBERG
mensajes de los anlisis en una base de datos o registros forenses. En el pasado, los administradores solan utilizar herramientas como Oinkmaster [3] o BASE [4] para procesar la informacin de Snort; sin embargo, estos proyectos han quedado hurfanos o dormidos. Afortunadamente, algunos trabajos nuevos han cubierto este hueco: Snorby [5], OpenFPC [6] y Pulled Pork [7]. Este artculo muestra la ltima generacin de proyectos que dan soporte a Snort. La versin actual de Snort es la 2.9.0.3. A diferencia de la anterior, los desarrolladores simplemente han corregido algunos fallos. Antes de compilar Snort debemos asegurarnos de tener instaladas en el sistema las libreras DAQ, Dnet y PCRE. La Tabla 1 muestra las posibles modificaciones del script ./configure de Snort. Aunque podemos tener varias configuraciones de bases de datos, lo ms probable es que deseemos evitarlas; vamos a mostrar cmo utilizar Barnyard [12] como base de datos residente. El archivo con el cdigo fuente de Snort slo proporciona un script de comienzo para Red Hat y las distribuciones basadas en Fedora. Probablemente haya que modificar el script para que se ajuste a nuestras necesidades de instalacin o incluso que tengamos que escribirnos nuestro propio script. Lo importante es recordar que necesitamos ejecu-

Sniffer
Con la versin 2.9, los desarrolladores de Snort presentaron la nueva DAQ (la librera de adquisicin de datos), que reemplaza a la clsica libpcap. A partir de esta versin, Snort depende de la librera DAQ, por lo que no se podr instalar el sniffer sin ella (vase el cuadro titulado DAQ).

WWW.LINUX- MAGAZINE.ES

Nmero 72

27

PORTADA Ayudantes de Snort

tar Snort por medio de /usr/local/bin/snort-c/etc/snort/snort. conf. Antes de comenzar a utilizar Snort por primera vez, debemos copiar el contenido del directorio etc que se encuentra en el directorio del cdigo fuente a /etc/snort/ y crear un directorio /var/log/snort. El cuadro titulado snort.conf contiene la ayuda necesaria para modificar el fichero de configuracin snort.conf.

Firmas
Evidentemente, Snort necesita ahora las firmas que le proporcionarn el conocimiento para detectar las intrusiones. Existen bsicamente tres fuentes de firmas: Las reglas VRT de Sourcefire Vulnerability Research Team Las reglas Emerging Threats Las reglas GPL Estas reglas han de mantenerse actualizadas siempre en este artculo utilizaremos ms adelante Pulled Pork para las actualizaciones. Si tenemos la intencin de utilizar Snort en un entorno en produccin, es probable que deseemos utilizar las reglas VRT o

las Emerging Threats. Ambas se encuentran disponibles tanto de forma gratuita como de pago. Las reglas VRT gratuitas se diferencian de las comerciales porque se publican 30 das despus que las comerciales, pero permiten acceder al conjunto completo de reglas. La edicin comercial de las reglas Emerging Threats incluye reglas adicionales que no se suministran en la versin gratuita. Los siguientes ejemplos utilizan las reglas VRT, que se pueden descargar como parte de una suscripcin comercial o bien obtenerlas gratuitamente con un retraso de 30 das (tras registrarse). Una vez que nos hayamos subscrito o registrado, Sourcefire nos proporcionar un Oink Code que habr que incluir en la peticin de descarga:
wget http://www.snort.org/reg-rU ules/snort rules-snapshot-2903.U tar.gz/<oinkcode> -O snortrulesU -snapshot-2903.tar.gz

10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

El conjunto de reglas VRT incluye cuatro directorios: etc contiene los ficheros de configuracin que necesitan los conjuntos de reglas Snort y Barnyard, que Listado 1: Una Tabla de Atributos de un deberemos copiar Host en el directorio 01 <SNORT_ATTRIBUTES> /etc/snort. rules, 02 <ATTRIBUTE_TABLE> que contiene las 03 <HOST> reglas basadas en 04 <IP>10.1.2.3</IP> texto para Snort, 05 <OPERATING_SYSTEM> ha de copiarse en 06 <NAME> /etc/snort/rules. 07 <ATTRIBUTE_VALUE>Windows</ATTRIBUTE_VALUE> preproc_rules nos 08 </NAME> da las reglas del 09 <FRAG_POLICY>Windows</FRAG_POLICY> preprocesador
<STREAM_POLICY>Win XP</STREAM_POLICY> </OPERATING_SYSTEM> <SERVICES> <SERVICE> <PORT> <ATTRIBUTE_VALUE>80</ATTRIBUTE_VALUE> </PORT> <IPPROTO> <ATTRIBUTE_VALUE>tcp</ATTRIBUTE_VALUE> </IPPROTO> <PROTOCOL> <ATTRIBUTE_VALUE>http</ATTRIBUTE_VALUE> </PROTOCOL> </SERVICE> </SERVICES> </HOST>

slo hay que copiar el directorio en /etc/snort/preproc_rules. Por ltimo, las reglas binarias para Snort se encuentran disponibles en so_rules. Necesitamos copiar el subdirectorio de la distribucin (por ejemplo, so_rules/precompiled/Ubuntu-10-4/x86-6 4/2.9.0.3/*) en /usr/local/lib/ snort_ dynamicrules y los ficheros *.rules en el directorio /etc/snort/so_rules/. Sourcefire Vulnerability Research Team ofrece algunas reglas slo en formato binario. Existen dos razones para el uso del formato binario: por un lado, el lenguaje de reglas de Snort es un lenguaje muy potente pero no es capaz de identificar paquetes sospechosos en algunos ataques. Las libreras binarias mejoran considerablemente la tasa de deteccin. La segunda razn es que un tercero podra haber descubierto una vulnerabilidad en Sourcefire bajo un acuerdo de confidencialidad (NDA). Si el equipo de VRT distribuyese la firma en texto claro, estaran publicando detalles sin la autorizacin necesaria.

Actualizando con Pulled Pork

La mayora de los usuarios utilizan Oinkmaster para actualizar los conjuntos de reglas. Como los trabajos de desarrollo de esta herramienta se encuentran dormidos, Pulled Pork administra las tareas en diversos entornos. Pulled Pork tambin procesa las reglas binarias y organiza los elementos en los directorios adecuados. Para la instalacin slo es necesario descargarse el paquete desde Google Code. La versin actual de Pulled pork (0.5.0) requiere

Insta-Snorby
Insta-Snorby est basado en la librera TurnKey Linux Virtual Appliance [9], que proporciona mquinas virtuales para diversos propsitos. Basada en Ubuntu Linux, permite a los administradores probar varias aplicaciones sin tener que instalar nada. Insta-Snorby es una imagen ISO; la versin 0.6.0 soporta una instalacin sin complicaciones en un dispositivo. Contiene: Snort 2.9.0.3 Barnyard 2.19 Snorby 2.2.1 Open FPC Pulled Pork Para instalarla como un dispositivo virtual, necesitaremos proporcionarle a Insta-Snorby al menos 512 MB de RAM para evitar el uso de una memoria de intercambio.

26 </ATTRIBUTE_TABLE>

28

Nmero 72

WWW.LINUX- MAGAZINE.ES

Ayudantes de Snort PORTADA

config utc config daemon config logdir: /tmp config waldo_file: /var/logU /snort/waldo #output alert_fast: stdout output database: log, mysql, U user=snort password=snortpw U dbname=snortdb host=localhost

Antes de ejecutar Barnyard2, debemos crear la base de datos:

# cat << EOF | mysql -u root -p create database snortdb; grant all on snortdb.* to U snort@localhost identified U by snortpw; EOF # mysql -u snort -password=U snortpw snortdb < schemas/U create_mysql

Figura 1: El panel de control de Snorby ordena los mensajes segn su gravedad.

Perl y los mdulos Archive::Tar, Crypt::SSLeay y LWP::Simple de Perl, que se pueden instalar en la mayora de las distribuciones por medio del gestor de paquetes. Para instalar Pulled Pork, copiamos el directorio etc en /etc/pulledpork y el script de Perl pulledpork.pl en /usr/local/bin. El fichero de configuracin pulledpork. conf tambin es autoexplicativo. Las nicas tareas importantes son la modificacin de la regla de la URL con el Oink Code, las rutas para instalar las reglas y las reglas compartidas de objetos, dependiendo de la distribucin que tengamos. Pulled Pork puede modificar las reglas durante la instalacin. Para hacerlo, referencia cuatro ficheros de configuracin adicionales, que podemos activar: dropsid.conf: Pulled Pork cambia todas las reglas de este fichero para decirle a Snort que descarte los paquetes. enablesid.conf y disablesid.conf: PulledPork activa y desactiva las reglas de estos ficheros. modifysid.conf: Pulled Pork modifica las reglas en los ficheros especificados. El programa se ejecuta tecleando pulledpork.pl -c /etc/pulledpork/pulledpork. conf. Antes de descargar las reglas, Pulled Pork utiliza las sumas de comprobacin para ver si las reglas en el servidor son nuevas. El resto lo realiza un trabajo programado de forma diaria en cron.

Barnyard
Una vez que se haya instalado Snort con las especificaciones, registrar los mensajes en un fichero binario en formato Unified2, que no podremos leer directamente, de modo que ser necesario utilizar otra herramienta para almacenar los datos en una base de datos. La herramienta perfecta es Barnyard2, que adopta el papel del proceso que escribe los datos en la base de datos, reduciendo por tanto la carga del servidor. El archivo con el cdigo fuente de Barnyard se encuentra disponible en [12]; su instalacin desde el cdigo fuente no supone ningn problema. Barnyard necesita escribir ficheros en el directorio /var/log/snort y escribir el contenido del fichero en la base de datos. Snort almacena los ficheros en este directorio con el patrn merged.log.XXXXXXXX, donde XXXXXXX es la marca de tiempo que Barnyard referencia para ayudar a ignorar los ficheros antiguos. Si no se encuentra la marca de tiempo, habr que eliminar la opcin nostamp del fichero de configuracin para la salida del plugin Unified. Como el fichero de registro de Unified slo contiene informacin binaria, Barnyard tiene que acceder a otros ficheros de configuracin de Snort para poder interpretar el contenido del fichero, as que introducimos las rutas de estos ficheros en el fichero de configuracin /usr/local/etc/barnyard2.conf y modificamos el resto de los parmetros:

La siguiente lnea en el script de comienzo automatiza el proceso de arranque:

barnyard2 -d /var/log/snort/U -f merged.log -c /usr/local/U etc/barnyard2.conf -n

La -n le indica a Barnyard2 que slo procese los mensajes nuevos que se aadan al fichero de registro de Snort. Para poder ignorar los mensajes antiguos cuando se reinicie, insertar un marcador en un fichero Waldo [13].

Snorby
Snorby, que hace de interfaz de Snort, slo se encuentra oficialmente disponible por medio de su propio repositorio Git [14], pero a veces nos podemos tropezar con varios archivos comprimidos. Antes de poder instalar Snorby, necesitamos resolver algunas dependencias: Ruby (>=1.8.7), Rubygems y las siguientes Rubygems: tzinfo, builder, memcache-client, rack, rack-test, erubis mail, text-format, bundler, thor, i18n, sqlite3-ruby y rack-mount rails=3.0.0. Los requisitos de Ruby en particular implican que tenemos una distribucin reciente o que estamos preparados para instalar todos estos paquetes desde el cdigo fuente. Ubuntu a partir de Karmic y Fedora 14 incluyen la versin 1.8.7 de Ruby; ninguna de estas versiones incluyen la versin 3 de Rails.

WWW.LINUX- MAGAZINE.ES

Nmero 72

29

PORTADA Ayudantes de Snort

Tras descomprimirlo, en el directorio de Snorby tecleamos bundle install; este paso instala un par de paquetes adicionales. rake snorby:setup finalmente instala Snorby. Hay un par de ficheros de configuracin autoexplicativos snorby/config/snorby_config.yml y snorby/config/initializers/mail_config.rb que necesitamos modificar, pero luego podemos ejecutar Snorby tecleando rails -c para que aparezca la ventana de inicio de sesin. Tras iniciar la sesin, veremos el panel de control de Snorby, una GUI de ltima generacin con los mensajes entrantes (Figura 1) que permite ver cada evento en detalle (Figura 2).

Anlisis Forense
Snort slo detecta los ataques potenciales en la red y registra cualquier paquete sospechoso que haga saltar las alarmas. A menudo esto sucede demasiado tarde, ya que Snort no puede viajar hacia atrs en el tiempo y registrar los paquetes enviados previamente. Slo se pueden modificar las firmas para que registren la subsecuencia de paquetes desde la misma conexin. Esta complicacin hace que sea prcticamente imposible analizar un ataque con xito a nivel de red. El reciente proyecto OpenFPC (captura completa de paquetes) tiene como objetivo resolver este problema. OpenFPC es la rama hija de la plantilla de Sourcefire, como Pulled Pork; el nmero de versin es bastante bajo (0.4), y necesitamos instalar primero unos cuantos paquetes para cubrir las dependencias. En las distribuciones

Figura 2: En la interfaz web de Snorby, los administradores pueden clasificar los resultados, aadir comentarios y gestionar los sensores y los usuarios.

basadas en Debian como Ubuntu, la instalacin es ms fcil, ya que podemos hacer lo siguiente:
aptitude install apache2 U daemonlogger tcpdump U tshark libarchive-zip-perl U libfilesys-df-perl libapache2U -mod-php5 mysql-server php5U -mysql libdatetime-perl U libdbi-perl libdate-simple-perlU php5-mysql libterm-readkey-perlU libdate-simple-perl

lacin openfpc-install.sh install y respondemos a las preguntas (por ejemplo, el nombre de usuario y la contrasea). El fichero /etc/openfpc/ openfpc- default. conf se usa para otras configuraciones. Luego arrancamos el servidor y comprobamos la disponibilidad de los clientes:
openfpc --action start openfpc-client --action status

Tras descomprimir el cdigo fuente de OpenFPC, ejecutamos el script de insta-

Para que el programa se ejecute en el momento de arranque del ordenador, encontraremos los scripts de arranque en /etc/init.d. Para integrarlo con Snorby, necesitamos hacer un pequeo

Tabla 1: Opciones de Configuracin

Opcin Funcin Activa el soporte IPv6. Incluso si no se desea realmente usar IPv6, se debera activar esta funcin. Esta es la nica opcin para que Snort soporte el parmetro ipvar utilizado en los ficheros de configuracin 2.9. Integra una librera DAQ esttica. Esto facilita la distribucin del binario. Muchos servidores comprimen las pginas cuando las sirven. Con este parmetro, Snort podr analizar tam bin las pginas web. Sin embargo, implica la incorporacin de la librera Zlib al sistema. Activa la configuracin del preprocesador especfica de un host, tal como se describe en el artculo. Permite activar y desactivar las pruebas individuales del preprocesador. Soporta una recarga simple en el caso de que cambie la configuracin de Snort. El reiniciado siempre implica la prdida de algunos paquetes. Si falla la recarga, Snort se reinicia. Activa el cdigo normalizador en el modo en lnea. Un binario de Snort puede funcionar en el modo en lnea IPS o en modo pasivo IDS si se utiliza la librera DAQ. Permite a Snort pasar los paquetes sin comprobarlos durante la inicializacin del modo en lnea.

--enable-ipv6 --enable-static-daq --enable-zlib --enable-targetbased --enable-decoder-preprocessor-rules --enable-reload --enable-reload-error-restart --enable-normalizer --enable-inline-init-failopen

30

Nmero 72

WWW.LINUX- MAGAZINE.ES

Ayudantes de Snort PORTADA

cambio mediante la GUI web. En la interfaz administrativa, activamos el plugin OpenFPC e introducimos en OpenFPC el path:https://Open-FPC- Server_ name/ openfpc/cgi-bin/ extract.cgi. Luego podemos descargar el fichero Pcap de la conexin entera directamente desde la alerta en Snorby (Figura 3) y enviarlo a Wireshark para su anlisis.

La Seguridad Tiene Prioridad

Por razones de seguridad, no deberamos nunca ejecutar Snort con los privilegios del root; tiene mucho ms sentido crear una cuenta dedicada para Snort y aadir el nombre de la cuenta y el grupo al fichero de configuracin de Snort. Adems, podemos encerrar Snort en una jaula Chroot; el fichero snort.conf quedara de la siguiente forma:
config set_uid: snort config set_gid: snort config chroot: /chroot/snort

Evidentemente, necesitamos modificar algunos permisos y estructuras de directorios para evitar que Snort tenga problemas.

Snort tambin ofrece algunos mtodos avanzados, tales como la reconstruccin del trfico basada en el destino. Los investigadores Vern Paxson y Umesh Shankar descubrieron en 2003 que diferentes sistemas operativos manejan la desfragmentacin IP y reensamblan TCP de diferentes maneras. Esto le proporciona a un atacante la posibilidad de camuflar un ataque de modo que comprometa el objetivo pero que no sea detectado por el IDS. Para permitir que esto suceda, el atacante debera fragmentar el exploit, adems crea el fragmento con la carga atacante dos veces. Un fragmento contiene la carga y el otro contiene datos no peligrosos. Si se envan los dos en sucesin, el xito o el fracaso del ataque y la habilidad del IDS para detectarlo dependern de cmo responda el sistema objetivo. Preferir el primer o el segundo fragmento para la desfragmentacin? Estableciendo los parmetros con cuidado, el atacante podra ejecutar el exploit sin que el IDS lo detecte. Existen diferencias similares con los segmentos TCP y el solapamiento de los fragmentos y los segmentos. Para asegurarse de que Snort siempre detecte estos ata-

ques de forma correcta, necesita desfragmentar y reensamblar los paquetes de la misma forma que lo hara el sistema objetivo. Snort posee un par de trucos propios en respuesta a estos mtodos de ataque avanzado: soporta los modos de desfragmentacin de first, last, bsd, bsd-right, linux, windows y solaris, con bsd por defecto. Para mtodos de reensamblado ms complejos, vase la Tabla 2. Si slo utiliza uno o dos sistemas operativos, la configuracin es bastante simple: slo hay que editar la seccin del preprocesador de snort.conf:
preprocessor frag3_engine: U policy linux bind_to [10.1.1.U 12/32,10.1.1.13/32] U detect_anomalies preprocessor frag3_engine: U policy windows bind_to U 10.2.1.0/24 detect_anomalies

Esta configuracin est bien para las redes Windows con dos ordenadores Linux. De forma similar, habra que modificar el preprocesador Stream5. Para ms detalles, lase el fichero

DAQ snort.conf
La mayora de los parmetros de configuracin que se encuentran en el fichero snort.conf pueden quedarse tal cual, pero habr que hacer unos cuantos cambios. La configuracin DAQ utiliza la interfaz de paquetes AF y proporciona un bffer de 256 MB para utilizarlo de cach para cualquier paquete que an no haya procesado. La variable HOME_NET define la red a proteger. Las variables RULE_PATH, SO_RULE_PATH y PREPROC_RULE_PATH hacen referencia a los directorios correctos. El plugin de salida unified2 crea los ficheros de registro: config daemon config interface: eth0 config daq: afpacket config daq_mode: passive config daq_var: buffer_size_mb=256 ipvar HOME_NET 192.168.0.0/24 var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules output unified2: filename merged.log, limit 128, vlan_event_types Para utilizar reglas de preprocesamiento y reglas de objetos compartidos, deberemos quitar los signos de comentario que se encuentran al comienzo de las directivas incluidas en las correspondientes secciones. Uno de los mayores problemas a la hora de ejecutar Snort en una red rpida es su propio rendimiento. Si Snort tardara demasiado en analizar los paquetes y fallase a la hora de obtener los paquetes a la velocidad necesaria de la librera Libpcap [10], la librera descartara el paquete. Es ms, los administradores han usado dos soluciones diferentes para solucionar este problema: Phil Wood aadi un bffer de memoria en anillo a Libcap; el tamao del bffer se especificaba cuando se cargaba la librera. A partir de la versin 1.0 de Libpcap, el bffer en anillo viene implementado en la librera. Otra solucin es la librera PF_ring [11], que reemplaza a la librera libpcap. La versin 2.9 de Snort presenta DAQ (librera para la adquisicin de datos) como una alternativa nueva y mucho ms simple, que accede directamente a la tarjeta de interfaz de red sin hacer uso de Libpcap. DAQ es fcil de instalar, sin embargo, la mayora de las distribuciones no cuentan con los paquetes precompilados con los parmetros correctos. De hecho, la pgina web de Snort slo ofrece paquetes RPM. Tras descargar la ltima versin 0.5 del cdigo fuente, slo hay que seguir los pasos tpicos: ./configure,make,sudo make install. No hay muchas dependencias que resolver. Para asegurarse de que se pueden compilar los fuentes, probablemente haya que instalar el compilador de C, Flex, Bison y libpcap >= 1.0. Si no va a usar Libpcap, sino que accede a la NIC directamente por medio de la librera DAQ, puede desactivar Libpcap usando --disable-pcap-module.

WWW.LINUX- MAGAZINE.ES

Nmero 72

31

PORTADA Ayudantes de Snort

cesador para indicar la cantidad de RAM disponible. Conseguir que Snort maneje redes de 10 Gbps es todo un reto pero no imposible con una buena experiencia, el hardware adecuado y un ajuste ptimo. La respuesta que Steven Sturges de Sourcefire da cuando se le pregunta acerca de cul es el mayor desafo, es concisa: Velocidad. Y contina explicando que no es difcil analizar 500 Mbps en tiempo real; el reto est en intentar hacer lo mismo con 10 Gbps! I

RECURSOS
[1] Snort: http://www.snort.org [2] Sourcefire: http://www.sourcefire.

com
[3] Oinkmaster: http://oinkmaster.

sourceforge.net
[4] BASE: http://base.secureideas.net Figura 3: Si usamos el fichero PCAP, podremos definir con precisin qu paquetes queremos que extraiga OpenFPC. [5] Snorby: http://www.snorby.org [6] OpenFPC: http://www.openfpc.org/ [7] Pulled Pork: http://code.google.com/

README.stream5 que se encuentra en el directorio del cdigo fuente de Snort. Si tenemos muchos sistemas operativos en la LAN, esta clase de administracin es demasiado compleja. En tal caso, necesitamos una tabla de atributos de los hosts para definir la informacin en un fichero XML (Listado 1). La tabla se define en snort.conf como attribute_table filename /path/to/file. La tabla de atributos de hosts contiene informacin de cada ordenador individual. Para crear el fichero XML directa-

mente desde un anlisis de Nmap podemos utilizar Hogger [15].

p/pulledpork/
[8] Insta-Snorby del 19.01.2011 http://

Corre, Cerdito, Corre!

Tabla 2:
Mtodo first last bsd linux old-linux windows win2003 vista solaris hpux10 hpux irix macos

Con una combinacin inteligente de los componentes adecuados, podemos crear un sistema de deteccin de intrusiones en la red con Snort. Obviamente, necesitamos utilizar un buen hardware en una red rpida. Dispositivos como el que comercializa Sourcefire pueden monitorizar las redes a velocidades de hasta 10 Gbps ejecutanto Snort 2.9 en un hardware altamente especializado. Comparado con esto, el hardware Reensamblado Basado en el normal habitualObjetivo mente alcanza su Efecto lmite a 1 Gbps. Se Prefiere el primer segmento de solapamiento recomiendan tarjePrefiere el ltimo segmento de solapamiento tas interfaces de Free BSD 4.x, Net BSD 2.x, Open BSD 3.x, AIX red premium como las fabricaLinux 2.4 y 2.6 das por Napatech Linux 2.2 y anteriores [16], por ejemplo Windows 98, NT, 2000, XP una generosa Windows 2003 Server cantidad de RAM y Windows Vista una CPU rpida. Solaris 9.x Adems, los administradores que HPUX 10 buscan rendiHPUX 11 miento necesitarn IRIX 6 modificar los parMacOS >= 10.3 metros del prepro-

www.snorby.org/Insta-Snorby-0.6.0. iso [9] Librera TurnKey Linux Virtual Appliance: http://www.turnkeylinux. org [10] Librera libpcap: http://www. tcpdump.org [11] LibreraPF_ring: http://www.ntop. org/PF_RING.html [12] Barnyard2 http://www.securixlive. com/barnyard2/index.php [13] Fichero Waldo: http://en.wikipedia. org/wiki/Waldo_file [14] Repositorio Snorby Git: https:// github.com/Snorby/snorby/tarball/ master [15] Hogger: http://code.google.com/p/ hogger/ [16] Napatech: http://www.napatech. com/applications/network_security/ intrusion_detection.html Ralf Spenneberg es profesor freelance de Unix/Linux, consultor, y autor y CEO de Ralf Spenneberg Open Source Training. Ralf ha publicado varios libros sobre deteccin de intrusiones, SELinux, cortafuegos y redes privadas virtuales. La segunda edicin de su ltimo libro VPN on Linux se public hace unos meses.

32

Nmero 72

WWW.LINUX- MAGAZINE.ES

EL AUTOR