sistemas de detección de intrusos

Sistemas de detección de intrusos (IDS)

AySSR

Carlos Arturo Medina García

Facultad de Estadística e Informática

¿Qué son?

● Los sistemas de detección de intrusos ayudan a los sistemas de información a prepararse y enfrentar ataques

● Colectan información desde varios de sistemas y fuentes de red

¿Qué proveen?

● Monitoreo y análisis del usuario y la actividad del sistema

● Auditoría en configuraciones de sistema y vulnerabilidades

● Aseguran la integridad de archivos● Análisis de actividades anormales● Auditoría en sistemas operativos

Clasificación

● Sistemas pasivos

(IDS)

● Sistemas reactivos (IPS)

Clasificación (2)

● Sistema de Detección de Intrusos en la Red (NIDS): Analiza enviando tráfico a la subred completa

● Sistemas de Detección de Intrusión de Nodos a la Red (NNIDS): Tráfico de la red a un host específico

● Sistemas de Detección de Intrusión a Host (HIDS): Toma capturas de archivos de configuración

IDS basados en host

● Consultan diferentes tipos de registros de archivos (kernel, sistema, servidores, syslog)

● Verifican la integridad de archivos y ejecutable importantes

● Ejemplos: Tripwire, SWATCH, LIDS

IDS basados en la red

● Escanenan los paquetes de red a nivel de enrutador o host y registran paquetes sospechosos

● Asigna distintos niveles de prioridad a los paquetes que registra como peligrosos

● ACARM-ng, BRO, Snort

¿Donde colocarlos?

Tipos de alertas

● Verdadero positivo● Falso positivo● Falso negativo● Verdadero negativo

* Controladas por políticas del sitio

SNORT

● NIDS y NIPS● Gratuito y de código abierto, GPL● Análisis por protocolos, realiza

búsqueda y análisis de contenido para paquetes sospechosos

● También puede ser utilizado para priorizar y establecer calidad del servicio

SNORT(2)● Exploraciones y ataques a la red● OS fingerprinting● CGIs● Escaneo de puertos silencioso● Tres modos

– Sniffer

– Registro de paquetes

– Detección de intrusos en red

Tripware

● IDS basado en host más popular para Linux

● Tripwire inc. Abrió recientemente el código bajo la licencia GPL

● Punto único de control y auditoría de configuración en todos los equipos

Tripware(2)

● Base de Datos de Administración de Configuración (CMDB)

● Administración de cambio/configuración

● Elaboración de errores y posibilidad de dirigir herramientas de terceros para restaurar los sistemas

Ejercicio

● Instalar tripware, inicializar su base de datos, editarla y evitar que su reporte arroje dos falsos positivos.

● Apoyarse del tutorialhttps://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps

Referencias

● http://www.adexsus.com/v2/pdf/Tripwire/Brochure/Hoja%20de%20datos.pdf

● https://www.snort.org/downloads

● http://www.tripwire.org/

● http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-host.html

● http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-net.html

● https://www.sans.org/reading-room/whitepapers/detection/understanding-intrusion-detection-systems-337

● http://all.net/journal/ntb/ids.html

http://www.adexsus.com/v2/pdf/Tripwire/Brochure/Hoja%20de%20datos.pdf

http://www.adexsus.com/v2/pdf/Tripwire/Brochure/Hoja%20de%20datos.pdf

https://www.snort.org/downloads

http://www.tripwire.org/

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-host.html

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-host.html

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-net.html

http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-net.html

https://www.sans.org/reading-room/whitepapers/detection/understanding-intrusion-detection-systems-337

https://www.sans.org/reading-room/whitepapers/detection/understanding-intrusion-detection-systems-337

http://all.net/journal/ntb/ids.html

sistemas de detección de intrusos

Technology