IDS ideal para redes de alta capacidad.

Share this…

Bro es un analizador de tráfico de red pasivo y de código abierto. Se trata principalmente de un IDS que inspecciona todo el tráfico en profundidad en busca de signos de actividad sospechosa. En términos más generales, sin embargo, es compatible con una amplia gama de tareas de análisis de tráfico, incluso fuera del dominio de seguridad, incluyendo mediciones de rendimiento y ayudar en la resolución de problemas.

bro-eyes

El beneficio más inmediato que se obtiene a partir de la implementación de Bro es un amplio conjunto de archivos de registro que almacenan la actividad de una red en términos de alto nivel. Estos registros incluyen no sólo un registro completo de todas las conexiones a nivel físico, sino también las transcripciones de la capa de aplicaciones, tales como: todas las sesiones HTTP con su URI solicitado, encabezados clave, tipos MIME y las respuestas de: servidores DNS; certificados SSL; contenido clave de las sesiones SMTP y mucho más. De forma predeterminada, escribe toda esta información en los archivos de registro separados por tabuladores, bien estructurados, adecuados para el procesamiento posterior con un software externo. Los usuarios pueden también elegir entre un conjunto de formatos de salida alternativos para interaccionar directamente como, por ejemplo, bases de datos externas

Además de los registros, Bro viene con funcionalidad integrada para una serie de tareas de análisis y detección, incluyendo: la extracción de archivos de sesiones HTTP, la detección de malware mediante la interacción con los registros externos, informes de versiones de software vulnerables vistas en la red, la identificación más populares aplicaciones de Internet, detectar ataques SSH de fuerza bruta, validación de cadenas de certificados SSL y mucho más.

Sin embargo, la clave para entender este IDS radica en darse cuenta de que representa una plataforma para el análisis de tráfico que es completamente personalizable y extensible: Bro proporciona a los usuarios un dominio específico, con scripts para la realización de tareas de análisis arbitrarias con un lenguaje de programación Turing completo. Lo que permite utilizar el IDS para tareas especificas escribiendo su propio código. De hecho, todos los análisis predeterminados de Bro, es el resultado de este tipo de scripts.

Bro no se ejecuta en un hardware especififco y por lo tanto ofrece una alternativa de bajo costo para las soluciones propietarias costosas. Va mucho más allá de las capacidades de otras herramientas de motorización de red con hardware especifico, que suelen estar limitadas a un pequeño conjunto de tareas de análisis no modificables. Destaca en particular, que no es un clásico sistema de detección de intrusos basados en firmas. A pesar de que es compatible con dicha funcionalidad estándar, tiene un espectro mucho más amplio de enfoques muy diferentes en la búsqueda de actividades maliciosas incluyendo: la detección semántica, detección de anomalías y el análisis del comportamiento.

Las principales características de Bro son:

Despliegue:

  • Se ejecuta en hardware con sistemas tipo UNIX (incluyendo Linux, FreeBSD y MacOS).
  • Realiza análisis de tráfico totalmente pasivo.
  • Usa un interfaz estándar libpcap para la captura de paquetes.
  • Permite análisis en tiempo real y fuera de línea.
  • Posibilidad de realizar cluster de soporte para despliegues a gran escala.
  • Posee un marco de gestión unificada para el funcionamiento de ambas configuraciones.
  • De código abierto bajo la licencia BSD.

Análisis:

  • Posee un registro exhaustivo de la actividad para el análisis fuera de línea y análisis forense.
  • Análisis por puerto de los protocolos de capa de aplicación.
  • Soporte para muchos protocolos de capa de aplicación (incluyendo DNS, FTP, HTTP, IRC, SMTP, SSH, SSL).
  • El análisis de contenido de los archivos intercambiados a través de protocolos de capa de aplicación, incluyendo MD5 / SHA1 para realizar fingerprinting.
  • Un amplio soporte IPv6.
  • Túnel de detección y análisis (incluyendo Ayiya, Teredo, GTPv1). Bro desencapsula los túneles y luego procede a analizar su contenido..
  • Soporte para trabajar como IDS realizando coincidencia de patrones.

Lenguaje de scripts:

  • Lenguaje Turing completo para análisis de expresión tareas arbitrarias.
  • Modelo de programación basada en eventos.
  • Permite manejar tipos de datos específicos como: las direcciones IP (manejo transparente IPv4 e IPv6), números de puertos y temporizadores.
  • Amplio soporte para realizar una linea de tiempo con el seguimiento y la gestión de estado de la red.

Interfaz de gestión:

  • Por defecto la salida de los registros es en ASCII y bien estructurados.
  • Backends alternativos para Elasticsearch y DataSeries.
  • Integración en tiempo real de los resultados de los análisis.
  • Biblioteca en lenguaje C para el intercambio de eventos con programas externos. Además de Perl, Python y Ruby.
  • Capacidad de desencadenar procesos externos usando lenguaje de script.

Bro se dirige específicamente a redes de alta velocidad y motorización de redes de alto volumen, con enlaces tipo 10GE y de gran capacidad tipo 100GE muy comunes en: universidades, laboratorios de investigación, centros de supercomputación, comunidades científicas abiertas y grandes corporaciones. Mediante el apoyo escalable del balanceo de carga ejecutando “Bro Clusters” en el que un frontend equilibrador de carga, de alta velocidad, distribuye el tráfico a través de un número apropiado de PCś de backend. Un sistema gestor central coordina el proceso de sincronización de estado, a través de los backends y la disponibilidad para los operadores. Con una interfaz de administración central para la configuración y el acceso a los registros agregados, en un marco de gestión integrada llamado BroControl.

Fuente:https://www.gurudelainformatica.es/