sistemas de detección de intrusos
TRANSCRIPT
Sistemas de detección de intrusos (IDS)
AySSR
Carlos Arturo Medina García
Facultad de Estadística e Informática
¿Qué son?
● Los sistemas de detección de intrusos ayudan a los sistemas de información a prepararse y enfrentar ataques
● Colectan información desde varios de sistemas y fuentes de red
¿Qué proveen?
● Monitoreo y análisis del usuario y la actividad del sistema
● Auditoría en configuraciones de sistema y vulnerabilidades
● Aseguran la integridad de archivos● Análisis de actividades anormales● Auditoría en sistemas operativos
Clasificación (2)
● Sistema de Detección de Intrusos en la Red (NIDS): Analiza enviando tráfico a la subred completa
● Sistemas de Detección de Intrusión de Nodos a la Red (NNIDS): Tráfico de la red a un host específico
● Sistemas de Detección de Intrusión a Host (HIDS): Toma capturas de archivos de configuración
IDS basados en host
● Consultan diferentes tipos de registros de archivos (kernel, sistema, servidores, syslog)
● Verifican la integridad de archivos y ejecutable importantes
● Ejemplos: Tripwire, SWATCH, LIDS
IDS basados en la red
● Escanenan los paquetes de red a nivel de enrutador o host y registran paquetes sospechosos
● Asigna distintos niveles de prioridad a los paquetes que registra como peligrosos
● ACARM-ng, BRO, Snort
Tipos de alertas
● Verdadero positivo● Falso positivo● Falso negativo● Verdadero negativo
* Controladas por políticas del sitio
SNORT
● NIDS y NIPS● Gratuito y de código abierto, GPL● Análisis por protocolos, realiza
búsqueda y análisis de contenido para paquetes sospechosos
● También puede ser utilizado para priorizar y establecer calidad del servicio
SNORT(2)● Exploraciones y ataques a la red● OS fingerprinting● CGIs● Escaneo de puertos silencioso● Tres modos
– Sniffer
– Registro de paquetes
– Detección de intrusos en red
Tripware
● IDS basado en host más popular para Linux
● Tripwire inc. Abrió recientemente el código bajo la licencia GPL
● Punto único de control y auditoría de configuración en todos los equipos
Tripware(2)
● Base de Datos de Administración de Configuración (CMDB)
● Administración de cambio/configuración
● Elaboración de errores y posibilidad de dirigir herramientas de terceros para restaurar los sistemas
Ejercicio
● Instalar tripware, inicializar su base de datos, editarla y evitar que su reporte arroje dos falsos positivos.
● Apoyarse del tutorialhttps://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps
Referencias
● http://www.adexsus.com/v2/pdf/Tripwire/Brochure/Hoja%20de%20datos.pdf
● https://www.snort.org/downloads
● http://www.tripwire.org/
● http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-host.html
● http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-net.html
● https://www.sans.org/reading-room/whitepapers/detection/understanding-intrusion-detection-systems-337
● http://all.net/journal/ntb/ids.html