Sistemas de detección de intrusos (IDS) AySSR Carlos Arturo Medina García Facultad de Estadística e Informática
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Sistemas de detección de intrusos (IDS)
AySSR
Carlos Arturo Medina García
Facultad de Estadística e Informática
¿Qué son?
● Los sistemas de detección de intrusos ayudan a los sistemas de información a prepararse y enfrentar ataques
● Colectan información desde varios de sistemas y fuentes de red
¿Qué proveen?
● Monitoreo y análisis del usuario y la actividad del sistema
● Auditoría en configuraciones de sistema y vulnerabilidades
● Aseguran la integridad de archivos● Análisis de actividades anormales● Auditoría en sistemas operativos
Clasificación
● Sistemas pasivos
(IDS)
● Sistemas reactivos (IPS)
Clasificación (2)
● Sistema de Detección de Intrusos en la Red (NIDS): Analiza enviando tráfico a la subred completa
● Sistemas de Detección de Intrusión de Nodos a la Red (NNIDS): Tráfico de la red a un host específico
● Sistemas de Detección de Intrusión a Host (HIDS): Toma capturas de archivos de configuración
IDS basados en host
● Consultan diferentes tipos de registros de archivos (kernel, sistema, servidores, syslog)
● Verifican la integridad de archivos y ejecutable importantes
● Ejemplos: Tripwire, SWATCH, LIDS
IDS basados en la red
● Escanenan los paquetes de red a nivel de enrutador o host y registran paquetes sospechosos
● Asigna distintos niveles de prioridad a los paquetes que registra como peligrosos
● ACARM-ng, BRO, Snort
¿Donde colocarlos?
Tipos de alertas
● Verdadero positivo● Falso positivo● Falso negativo● Verdadero negativo
* Controladas por políticas del sitio
SNORT
● NIDS y NIPS● Gratuito y de código abierto, GPL● Análisis por protocolos, realiza
búsqueda y análisis de contenido para paquetes sospechosos
● También puede ser utilizado para priorizar y establecer calidad del servicio
SNORT(2)● Exploraciones y ataques a la red● OS fingerprinting● CGIs● Escaneo de puertos silencioso● Tres modos
– Sniffer
– Registro de paquetes
– Detección de intrusos en red
Tripware
● IDS basado en host más popular para Linux
● Tripwire inc. Abrió recientemente el código bajo la licencia GPL
● Punto único de control y auditoría de configuración en todos los equipos
Tripware(2)
● Base de Datos de Administración de Configuración (CMDB)
● Administración de cambio/configuración
● Elaboración de errores y posibilidad de dirigir herramientas de terceros para restaurar los sistemas
Ejercicio
● Instalar tripware, inicializar su base de datos, editarla y evitar que su reporte arroje dos falsos positivos.
● Apoyarse del tutorialhttps://www.digitalocean.com/community/tutorials/how-to-use-tripwire-to-detect-server-intrusions-on-an-ubuntu-vps
Referencias
● http://www.adexsus.com/v2/pdf/Tripwire/Brochure/Hoja%20de%20datos.pdf
● https://www.snort.org/downloads
● http://www.tripwire.org/
● http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-host.html
● http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-sg-es-4/s1-ids-net.html
● https://www.sans.org/reading-room/whitepapers/detection/understanding-intrusion-detection-systems-337
● http://all.net/journal/ntb/ids.html
Related Documents
