LinuxParty

Otros artículos más modernos... también:

• Configuración con Ejemplos de Snort para Windows, detección de intrusiones

1. Introducción & contexto moderno

Snort sigue siendo una de las herramientas más usadas como Sistema de Detección / Prevención de Intrusos (IDS / IPS). (snort.org)

En su versión más reciente (Snort 3) se han introducido mejoras arquitectónicas: soporte multihilo, nuevo sistema de reglas y configuración, mejor rendimiento y mayor modularidad. (snort.org)

Aunque en entornos profesionales lo más habitual es usar Snort en sistemas Linux o appliances dedicados, también puede desplegarse en Windows para pruebas, entornos mixtos o sensores locales. (letsdefend.io)

Este artículo te guiará por un proceso actualizado de instalación y configuración en Windows (10 / 11 / versiones recientes de servidor), con las mejores prácticas a 2025.

2. Requisitos previos

Antes de comenzar, asegúrate de:

• Tener permisos de administrador en la máquina Windows.
• Sistema operativo compatible: Windows 10, 11 o versiones servidor modernas.
• Controladores de captura de paquetes (Npcap preferido).
• Tener conexión a internet para descargar reglas y actualizaciones.

Npcap vs WinPcap

WinPcap fue la biblioteca clásica usada durante mucho tiempo para capturar paquetes en Windows, pero su desarrollo está obsoleto.
Hoy la recomendación universal es usar Npcap, que es compatible con el API de WinPcap y está en activo desarrollo. (letsdefend.io)

Durante la instalación de Npcap, selecciona el modo “WinPcap API-compatible” (si está disponible) para asegurar compatibilidad con herramientas que esperan la ABI de WinPcap. (letsdefend.io)

Otros requisitos

• Visual C++ Redistributable (las versiones modernas de Snort lo requieren). (letsdefend.io)
• Espacio en disco suficiente para almacenar reglas, logs y submódulos.
• Si vas a integrarlo con dashboards o SIEM, debes contar con red / acceso a servidor de logs.

3. Descargar e instalar Snort

1. Ve al sitio oficial de Snort y descarga la versión de Windows compatible. (snort.org)
2. Ejecuta el instalador con permisos de administrador.
3. Durante la instalación, elige la carpeta destino (por ejemplo C:\Snort) y componentes que deseas instalar.
4. Una vez instalado Snort, instala Npcap si no lo hiciste antes.
5. Verifica que el sistema reconoce los adaptadores de red y que Npcap está activo.

En muchos manuales actualizados esto aparece como paso estándar:

instalar Snort → instalar Npcap → configurar. (letsdefend.io)

4. Estructura de carpetas y archivos

Dentro del directorio de Snort (por ejemplo C:\Snort), espera encontrar:

• etc\ — donde va el archivo principal snort.lua o snort.conf (depende de la versión).
• rules\ — donde se almacenan los archivos de reglas.
• bin\ — ejecutables de Snort.
• logs\ — para alertas, archivos pcap, registros.
• Otros módulos, plugins, librerías adicionales.

En Snort 3, la configuración ya no depende únicamente del clásico snort.conf sino de un sistema basado en archivos Lua / tablas de configuración que permiten modularidad y recarga incremental. (snort.org)

5. Configuración básica de red y variables

Edita el archivo de configuración (por ejemplo snort.lua o equivalente) para ajustar las variables de red:

-- Ejemplo (sintaxis estilo Snort 3 / configuración moderna)

var HOME_NET = { “192.168.1.0/24” }
var EXTERNAL_NET = “!$HOME_NET”

En versiones antiguas de Snort 2.x, se usaría ipvar HOME_NET 192.168.1.0/24 y ipvar EXTERNAL_NET any o !$HOME_NET. (Gist)

Además, define otros servicios internos si los tienes:

var HTTP_SERVERS $HOME_NET
var DNS_SERVERS $HOME_NET
var SMTP_SERVERS $HOME_NET

y así sucesivamente. (Gist)

Los archivos de muestra suelen incluir muchas variables comentadas que puedes adaptar. (Gist)

6. Regla / motor de detección: activar conjuntos de reglas

Reglas oficiales y suscripción

Para que Snort detecte ataques emergentes, necesitas tener reglas actualizadas. Snort publica reglas gratuitas (community rules) y un conjunto profesional (Subscriber Ruleset) administrado por Talos. (snort.org)

Por ejemplo, las reglas actualizadas de junio 2025 incluyen detección de vulnerabilidades recientes de Microsoft (CVE-2025-32714, CVE-2025-32713, etc.). (snort.org)

Si usas reglas profesionales, debes asegurarte de mantenerlas al día según el ciclo de actualizaciones de Talos. (snort.org)

Activar / desactivar reglas

Dentro del archivo de configuración, encontrarás líneas tipo:

include $RULE_PATH/community.rules
include $RULE_PATH/exploit.rules

Descomenta (o comenta con #) las que desees usar. Agrega tus propias reglas localizadas (por ejemplo en local.rules).

En Snort 3 hay nuevos mecanismos para habilitar módulos específicos y reglas por categoría. (snort.org)

También es habitual usar herramientas para gestionar reglas: PulledPork, Oinkmaster, o utilidades propias de Snort 3 que permiten actualizar reglas automáticamente. (snort.org)

7. Probar la configuración y ejecutar Snort

Antes de activar, siempre debes probar que la configuración es correcta:

snort -T -c path\to\snort.conf  (o equivalente)

Este comando revisa errores de sintaxis y carga inicial. (HackerTarget.com)

Para ejecutar Snort en modo detección:

snort -i <número_interface> -c path\to\snort.conf -A console -l path\to\logs

• -i <n>: especifica el adaptador de red (puedes listar interfaces con snort -W). (letsdefend.io)
• -A console: muestra alertas por consola.
• -l <directorio>: carpeta de logs.

En versiones modernas, puedes también lanzar Snort como servicio (daemon) para que se ejecute en segundo plano. (snort.org)

Si la configuración es válida, Snort debe iniciar sin errores.

8. Alertas, logs y formatos de salida

Snort puede generar alertas y registrar tráfico en distintos formatos: PCAP, JSON, unified2, logs ASCII, syslog, etc. (snort.org)

Good practice: configurar la salida en formato estructurado (por ejemplo JSON) para facilitar su integración con dashboards, SIEMs o sistemas de análisis posteriores.

También es recomendable establecer rotación de logs (archivar / eliminar logs antiguos) para evitar llenar el disco.

9. Integración con herramientas modernas / visualización

Para que las alertas sean útiles en un entorno real, conviene integrarlas con sistemas de visualización y análisis:

• ELK / Elastic Stack (Elasticsearch, Logstash, Kibana)
• Grafana
• Frontends específicos de Snort como Snorby, Squil, Sguil, BASE, etc. (snort.org)
• Conexión con un SIEM corporativo (Splunk, ArcSight, etc.)

Estas herramientas permiten agrupar, filtrar, visualizar estadísticas, detectar tendencias, correlaciones y facilitar la respuesta a incidentes.

10. Rendimiento, tuning y mantenimiento

Para que Snort funcione bien en un entorno real (tráfico alto), es necesario ajustar ciertos valores:

• Ajustar buffers de captura, colas de eventos, valores de PCRE (límites de correspondencia) (Gist)

• Deshabilitar reglas no necesarias para reducir carga
• Usar CPUs con múltiples núcleos y afinar la asignación de hilos
• Monitorizar uso de CPU, memoria y latencia
• Actualizar reglas regularmente
• Realizar pruebas periódicas con tráfico simulado para verificar detección
• Aplicar parches y mantener el sensor seguro, preferiblemente en una red aislada
• Hacer backup de configuración y reglas

11. Escenarios avanzados y despliegue moderno

• Docker / contenedores: ejecutar Snort dentro de un contenedor puede ser útil para entornos de prueba o integración, aunque el acceso a interfaces de red reales puede ser más complicado. (HackerTarget.com)

• Infraestructura en la nube: integración con VPC, sensores virtuales, recolección centralizada de logs
• Despliegue distribuido: sensores remotos en distintas subredes que envían alertas a un servidor central
• Arquitectura híbrida: combinar Snort con otras herramientas como Suricata, Zeek, etc., según fortalezas de cada una

12. Ejemplo de regla sencilla y prueba funcional

Aquí tienes una regla de ejemplo (versión clásica):

alert icmp any any -> any any (msg:"ICMP Packet Detected"; sid:1000001; rev:1;)

Esta regla detecta tráfico ICMP en cualquier dirección.

Para probarla, ejecuta Snort y luego haz un ping al sensor; deberías ver una alerta en la consola o en los logs.

En entornos modernos, puedes escribir reglas más complejas con inspección de contenido, flujo, etc. (HackerTarget.com)

13. Consideraciones de seguridad y recomendaciones finales

• Asegúrate de que el sensor (la máquina que ejecuta Snort) no sea vulnerable o accesible como objetivo.
• Mantén siempre actualizadas tanto la aplicación Snort como las reglas (talos rule packs). (snort.org)
• Controla el uso de recursos y evita que el sistema se quede sin espacio o memoria
• Documenta tus reglas personalizadas, supresiones de falsas alarmas y cambios
• Realiza auditorías periódicas para verificar que el sistema sigue funcionando correctamente