detectando y previniendo intrusiones de red con …sheyla leacock - notpinkcon 2019 lic. desarrollo...

DETECTANDO Y DETECTANDO Y PREVINIENDO INTRUSIONES PREVINIENDO INTRUSIONES

DE RED CON UN IPSDE RED CON UN IPS

Sheyla Leacock30 de Agosto de 2019

Sheyla Leacock - NotPinkCon 2019

● Lic. Desarrollo de Software

● CSX – ISACA● CTFL - ISTQB● Líder de Pruebas de

Software para el sector bancario.

● Security Researcher & Blogger

Sobre míSobre mí

Sheyla Leacock - NotPinkCon 2019

Generalidades de los IDS e IPS

Clasifica ciones

Arquitec tura

Implemen tación

Componentes

ContenidoContenido

Consideraciones

¿Y ahora qué sigue?

DemosGestión de alertas

Sheyla Leacock - NotPinkCon 2019

Sistemas de detección y Sistemas de detección y prevención de intrusosprevención de intrusos

Detectan amenazas, alertan y almacenan los datos encontrados.

IDS IPS

Ejecutan acciones en tiempo real para detener las amenzas detectadas.

Sheyla Leacock - NotPinkCon 2019

IDS vs IPSIDS vs IPS

Sheyla Leacock - NotPinkCon 2019

IDS vs IPSIDS vs IPS

Sheyla Leacock - NotPinkCon 2019

Clasificaciones en base al entornoClasificaciones en base al entorno

Host based intrusion detection and prevention systems (HIDS/HIPS)

Network based intrusion detection and prevention systems (NIDS/NIPS)

Fuente: ingenieriadelaseguridad2013.blogspot.com

Sheyla Leacock - NotPinkCon 2019

Clasificación en base al entornoClasificación en base al entorno

Sheyla Leacock - NotPinkCon 2019

Clasificaciones según mecanismos Clasificaciones según mecanismos de detecciónde detección

Basado en reglas

Basado en anomalías

Híbrido

Sheyla Leacock - NotPinkCon 2019

En estos momentos….En estos momentos….

Sheyla Leacock - NotPinkCon 2019

Arquitectura de un IDS/IPSArquitectura de un IDS/IPS

Sensor #N

Sensor #2

Barnyard

2u2->ASCII

Archivo

Binariou2

Base deDatos

Cliente de administrac

ión

Sensor #1

Sheyla Leacock - NotPinkCon 2019

Implementando un IDS/IPSImplementando un IDS/IPS

Sheyla Leacock - NotPinkCon 2019

● Script para automatizar la instalación de los siguientes componentes:

SnorterSnorter

Sheyla Leacock - NotPinkCon 2019

SnortSnort

Reglas

IP black/

white lists

Preproce

sadores

Sheyla Leacock - NotPinkCon 2019

Características de SnortCaracterísticas de Snort

● Análisis de protocolos● Detección de

desbordamientos de búfer, escaneos de puertos sigilosos, ataques DOS.

● Tres usos primarios: Sniffer, packet logger y NIDPS.

Sheyla Leacock - NotPinkCon 2019

PulledPorkPulledPork

● Administración y actualización automática de reglas para el IPS.

Sheyla Leacock - NotPinkCon 2019

Barnyard 2Barnyard 2

● Intérprete y conversor de archivos de salida binarios.

● Permite exportar hacia base de datos.

Sheyla Leacock - NotPinkCon 2019

Gestión de alertasGestión de alertas

Sheyla Leacock - NotPinkCon 2019

WebsnortWebsnort

Sheyla Leacock - NotPinkCon 2019

SnorbySnorby

Sheyla Leacock - NotPinkCon 2019

SNEZSNEZ

Sheyla Leacock - NotPinkCon 2019

DemosDemos

Sheyla Leacock - NotPinkCon 2019

Demo #1Demo #1

● Ejecutando Snorter

Sheyla Leacock - NotPinkCon 2019

Demo #2Demo #2

● Ejecutando escaneos

Sheyla Leacock - NotPinkCon 2019

Demo #3Demo #3

● Visualizando alertas con Websnort

Sheyla Leacock - NotPinkCon 2019

Demo #4Demo #4

● Reglas de Snort

Sheyla Leacock - NotPinkCon 2019

¿Y ahora qué sigue?¿Y ahora qué sigue?

Sheyla Leacock - NotPinkCon 2019

¿Y ahora qué sigue?¿Y ahora qué sigue?

● Personalizar las reglas● Configurar las opciones de alerta y monitoreo● Robustecer el sistema.

Sheyla Leacock - NotPinkCon 2019

¿Y como podemos robustecer el ¿Y como podemos robustecer el sistema?sistema?

● Pues testeandolo

PytbullPytbull

Fuente: https://www.expertoanimal.com/5-ejercicios-para-perros-pitbull-22943.html

Sheyla Leacock - NotPinkCon 2019

PytbullPytbull

Sheyla Leacock - NotPinkCon 2019

Consideraciones al implementar un Consideraciones al implementar un IDS/IPSIDS/IPS

Monitoreo de alertas

Entorno

Dirección del tráfico

Objetivos de protección

Software o Hardware

Gestión de logs

Mecanismo de detección

Tipos de reglasVolumen de

tráfico

Tráfico cifrado

Recursos y procesos

Sheyla Leacock - NotPinkCon 2019

Experiencias con las herramientasExperiencias con las herramientas

Sheyla Leacock - NotPinkCon 2019

RecursosRecursos

● https://www.snort.org● https://github.com/shirkdog/pulledpork● https://github.com/joanbono/Snorter● https://github.com/firnsy/barnyard2● https://github.com/shendo/websnort ● http://pytbull.sourceforge.net

@sheynnie_mcr sheyla-leacock shey.lck@gmail.com