IDS IDS Sistemas de Deteccion de Intrusos Sistemas de Deteccion de Intrusos

(Intrusion Detection System)(Intrusion Detection System)

I D S

Es una elemento a nivel de Hardware, Software o ambos, que nos permite determinar actividad o accesos no autorizados a nuestra plataforma informatica y tomar una accion pertinente para contrarestar el ataque por medio de mecanismos de defensa integrados como Firewalls o normas definidas para respuesta inmediata dependiendo de su complejidad y componentes.

TIPOS DE IDS

NIDS : Network-IDS. Capturan los paquetes que viajan por los medios (cable, wireless) de la red, se realiza la

comparación con la reglas definidas y si corresponden a las firmas de algun tipo de ataque se genera una alerta

del incidente y se guarda el registro en un repositorio de información como una Base de Datos o archivo.

HIDS : Host-IDS, se instala en un equipo como un agente son reactivos, revisan los logs del sistema y sus

actividades en busca de rastros de una actividad de intrusión. Pueden activarse en modo promiscuo,

activando el sniffer, pasar a ser proactivos y entregar alertas en tiempo real.

DIDS : Distribuido-IDS, conjunto de NIDS actuando como sensores y centralizan la información de posibles

ataques, se pueden fijar reglas por segmentos de red.

BENEFICIOS DE UN IDS

Analisis de paquetes y Detección de AtaquesImplementación de IDS en sitios claves para puntos de acceso criticosMonitoreo de politicas en la Plataforma Informatica (encriptacion, revision de aquellos programas no autorizados, como servicios de Mensajeria, P2P, etc.)Intentos de Intrusión en tiempo real o aposterioriRegistros de auditoria que permitan analizar el comportamiento de un ataqueEvaluacion de recursos, firewall, appliance, proxys, etc.

El uso adecuado es la ubicación de NIDS para analizar el trafico de Red e identificando los intentos de intrusión (OutSide), y los HIDS detectan las acciones en las maquinas y las consecuencias posibles en Equipos criticos (InSide).

SNORT - IDS

Es una aplicación Open Source, que permite sniffar y analizar el trafico de una red para determinar los posibles intentos de intrusión por medio de un potente motor de detección de ataques y barrido de puertos, alertando, registrando y actuando contra un incidente en tiempo real o aposteriori, almacenando sus logs en modo de archivos de texto o un motor de Base de Datos privadas o free como MySql y de integración total con gestores de informes (ACID), librerias de Graficación (JpGraph OO Graphic Library), utilidades de Bloqueo en tiempo real (SnortSam), Servidores Web (Apache), sistemas de Log (Swatch, SnortAlog), script (SnorSnarf, PhPlot, PigSentry, Oinkmaster,php), etc. Excelente alternativa a productos pagos como ISS RealSecure y Cisco IDS

Por que SNORT ??

Es FreeAmpliamente usadoEs configurable Integracion con diversas herramientas, utilidades y scriptMultiplataformaPermanente actualización y soporteCosto / BeneficioAnalisis de Trafico en Linea y logsUsos de firmas o metodos de anomaliasEficiente y EfectivoAutomatizadoCentraliza la administración Visualiza los ataques a nivel de paqueteVerifica el cumplimiento de Politicas, Sistemas

Operativos y Servicios•Identifica y correlaciona las conductas inapropiadas de sus sistemas

COMPONENTES DE SNORT ??Libcap / Wincap – librería de captura de paquetes y los filtra para Snort, actua sobre la capa 2 (enlace) del modelo OSI.

El Decoder Packet (paquete decodificador). Toma los datos enviados en lacapa 2, decodifica el frame del enlace de datos (Ethernet, TokenRing, 802.11),seguido el protocolo IP, TCP o UDP para su posterior procesamiento.Preprocesador. Se activan los plug-in sobre los paquetes decodificados estosseran descartados o clasificados antes de ser enviados al motor de detección

Motor Detección. Toma la información preparada inicialmente y opera en la capa de transporte capa y aplicación (4 y 5 del modelo OSI) comparando lospaquetes con las reglas basadas en los plug-in (contienen las firmas de ataques).

Salida. Cuando un plug-in se activa, registra la información y logs necesariosSnort tiene una gran variedad de plug-ins de salida, desde formatos en texto,binarios y bases de datos

SNORT EN UNA RED CON DMZ Y NAT

SNORT ADICIONAL MONITOREANDO SUBNETS SEPARADAS

Dejemos tanta chachara!!!

Y vamonos a implementar Snort-IDS en Plataformas

Windows y LinuxGood Luck!!

Enjoy!!