Zeek (anteriormente Bro) [2] es un marco de análisis de redes de software de código abierto y gratuito ; que fue desarrollado por primera vez en 1994 por Vern Paxson y fue nombrado originalmente en referencia a George Orwell 's Gran Hermano de su novela Mil novecientos ochenta y cuatro . Puede utilizarse como un sistema de detección de intrusiones en la red (NIDS) pero con un análisis adicional en vivo de los eventos de la red. [3] Se publica bajo la licencia BSD .
Autor (es) original (es) | Vern Paxson |
---|---|
Lanzamiento estable | 4.0.1 [1] / 21 de abril de 2021 |
Repositorio | |
Escrito en | C ++ |
Sistema operativo | Linux , FreeBSD , macOS |
Tipo | Sistema de detección de intrusiones en la red |
Licencia | Licencia BSD |
Sitio web | zeek |
Arquitectura de aplicaciones de Zeek
Los paquetes IP capturados con pcap se transfieren a un motor de eventos que los acepta o rechaza. Los paquetes aceptados se envían al intérprete de secuencia de comandos de políticas.
El motor de eventos analiza el tráfico de red en vivo o grabado o los archivos de seguimiento para generar eventos neutrales. Genera eventos cuando sucede "algo". Esto puede ser provocado por el proceso de Zeek, como justo después de la inicialización o justo antes de la terminación del proceso de Zeek, así como por algo que está ocurriendo en la red (o archivo de seguimiento) que se está analizando, como que Zeek sea testigo de una solicitud HTTP o un nueva conexión TCP. Zeek utiliza puertos comunes y detección de protocolos dinámicos (que involucran firmas y análisis de comportamiento) para hacer una mejor conjetura en la interpretación de protocolos de red. Los eventos son neutrales desde el punto de vista de la política en el sentido de que no son buenos ni malos, sino que simplemente son señales de que algo sucedió.
Los eventos son manejados por scripts de políticas, que analizan eventos para crear políticas de acción. Los scripts están escritos en el lenguaje de scripting Zeek completo de Turing . Por defecto, Zeek simplemente registra información sobre eventos en archivos (Zeek también admite el registro de eventos en salida binaria); sin embargo, se puede configurar para realizar otras acciones como enviar un correo electrónico, generar una alerta, ejecutar un comando del sistema, actualizar una métrica interna e incluso llamar a otro script Zeek. El comportamiento predeterminado produce una salida similar a NetFlow (registro de conexión), así como información de eventos de la aplicación. Los scripts de Zeek pueden leer datos de archivos externos, como listas negras, para su uso dentro de los scripts de políticas de Zeek.
Analizadores Zeek
La mayoría de los analizadores de Zeek se encuentran en el motor de eventos de Zeek con un script de política adjunto. El usuario puede personalizar el script de política. Los analizadores realizan decodificación de la capa de aplicación, detección de anomalías, coincidencia de firmas y análisis de conexiones. [4] Zeek ha sido diseñado para incorporar fácilmente analizadores adicionales. Algunos analizadores de capa de aplicación incluidos con Zeek son HTTP, FTP, SMTP y DNS, entre otros. Otros analizadores de capa que no son de aplicación incluyen analizadores que detectan escaneos de puertos o hosts, hosts intermediarios e inundaciones de sincronización . Zeek también incluye detección de firmas y permite la importación de firmas Snort.
Referencias
- ^ "Versión 4.0.1" . 21 de abril de 2021 . Consultado el 22 de abril de 2021 .
- ^ Paxson, Vern (11 de octubre de 2018). "Renombrar el proyecto Bro" .
- ^ McCarty, Ronald. "Bro IDS» Revista ADMIN " . Revista ADMIN . Consultado el 11 de julio de 2018 .
- ^ Sommer, Robin (2003). "Bro: un sistema de detección de intrusiones de red de código abierto". Múnich, Alemania: Departamento de Informática TU München. CiteSeerX 10.1.1.60.5410 . Cite journal requiere
|journal=
( ayuda )
enlaces externos
- El monitor de seguridad de red Zeek
- Bro: un sistema para detectar intrusos en la red en tiempo real - Vern Paxson
- La NSA no está hecha de magia - Bruce Schneier