ids sistema de deteccion de intrusos (2)
TRANSCRIPT
![Page 1: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/1.jpg)
IDS IDS Sistemas de Deteccion de Intrusos Sistemas de Deteccion de Intrusos
(Intrusion Detection System)(Intrusion Detection System)
![Page 2: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/2.jpg)
I D S
Es una elemento a nivel de Hardware, Software o ambos, que nos permite determinar actividad o accesos no autorizados a nuestra plataforma informatica y tomar una accion pertinente para contrarestar el ataque por medio de mecanismos de defensa integrados como Firewalls o normas definidas para respuesta inmediata dependiendo de su complejidad y componentes.
![Page 3: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/3.jpg)
TIPOS DE IDS
NIDS : Network-IDS. Capturan los paquetes que viajan por los medios (cable, wireless) de la red, se realiza la
comparación con la reglas definidas y si corresponden a las firmas de algun tipo de ataque se genera una alerta
del incidente y se guarda el registro en un repositorio de información como una Base de Datos o archivo.
HIDS : Host-IDS, se instala en un equipo como un agente son reactivos, revisan los logs del sistema y sus
actividades en busca de rastros de una actividad de intrusión. Pueden activarse en modo promiscuo,
activando el sniffer, pasar a ser proactivos y entregar alertas en tiempo real.
DIDS : Distribuido-IDS, conjunto de NIDS actuando como sensores y centralizan la información de posibles
ataques, se pueden fijar reglas por segmentos de red.
![Page 4: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/4.jpg)
BENEFICIOS DE UN IDS
Analisis de paquetes y Detección de AtaquesImplementación de IDS en sitios claves para puntos de acceso criticosMonitoreo de politicas en la Plataforma Informatica (encriptacion, revision de aquellos programas no autorizados, como servicios de Mensajeria, P2P, etc.)Intentos de Intrusión en tiempo real o aposterioriRegistros de auditoria que permitan analizar el comportamiento de un ataqueEvaluacion de recursos, firewall, appliance, proxys, etc.
El uso adecuado es la ubicación de NIDS para analizar el trafico de Red e identificando los intentos de intrusión (OutSide), y los HIDS detectan las acciones en las maquinas y las consecuencias posibles en Equipos criticos (InSide).
![Page 5: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/5.jpg)
SNORT - IDS
Es una aplicación Open Source, que permite sniffar y analizar el trafico de una red para determinar los posibles intentos de intrusión por medio de un potente motor de detección de ataques y barrido de puertos, alertando, registrando y actuando contra un incidente en tiempo real o aposteriori, almacenando sus logs en modo de archivos de texto o un motor de Base de Datos privadas o free como MySql y de integración total con gestores de informes (ACID), librerias de Graficación (JpGraph OO Graphic Library), utilidades de Bloqueo en tiempo real (SnortSam), Servidores Web (Apache), sistemas de Log (Swatch, SnortAlog), script (SnorSnarf, PhPlot, PigSentry, Oinkmaster,php), etc. Excelente alternativa a productos pagos como ISS RealSecure y Cisco IDS
![Page 6: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/6.jpg)
Por que SNORT ??
Es FreeAmpliamente usadoEs configurable Integracion con diversas herramientas, utilidades y scriptMultiplataformaPermanente actualización y soporteCosto / BeneficioAnalisis de Trafico en Linea y logsUsos de firmas o metodos de anomaliasEficiente y EfectivoAutomatizadoCentraliza la administración Visualiza los ataques a nivel de paqueteVerifica el cumplimiento de Politicas, Sistemas
Operativos y Servicios•Identifica y correlaciona las conductas inapropiadas de sus sistemas
![Page 7: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/7.jpg)
COMPONENTES DE SNORT ??Libcap / Wincap – librería de captura de paquetes y los filtra para Snort, actua sobre la capa 2 (enlace) del modelo OSI.
El Decoder Packet (paquete decodificador). Toma los datos enviados en lacapa 2, decodifica el frame del enlace de datos (Ethernet, TokenRing, 802.11),seguido el protocolo IP, TCP o UDP para su posterior procesamiento.Preprocesador. Se activan los plug-in sobre los paquetes decodificados estosseran descartados o clasificados antes de ser enviados al motor de detección
Motor Detección. Toma la información preparada inicialmente y opera en la capa de transporte capa y aplicación (4 y 5 del modelo OSI) comparando lospaquetes con las reglas basadas en los plug-in (contienen las firmas de ataques).
Salida. Cuando un plug-in se activa, registra la información y logs necesariosSnort tiene una gran variedad de plug-ins de salida, desde formatos en texto,binarios y bases de datos
![Page 8: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/8.jpg)
SNORT EN UNA RED CON DMZ Y NAT
![Page 9: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/9.jpg)
SNORT ADICIONAL MONITOREANDO SUBNETS SEPARADAS
![Page 10: Ids sistema de deteccion de intrusos (2)](https://reader036.vdocuments.us/reader036/viewer/2022082809/557b4d08d8b42a0d388b515b/html5/thumbnails/10.jpg)
Dejemos tanta chachara!!!
Y vamonos a implementar Snort-IDS en Plataformas
Windows y LinuxGood Luck!!
Enjoy!!