INTRUSION DETECTION SYSTEM ó seguir viviendo en la ignorancia [email protected] ¿QUÉ ES UN IDS? Intrusion System Detection (IDS) Monitoriza Detecta intentos de intrusión Previene.
Download ReportTranscript INTRUSION DETECTION SYSTEM ó seguir viviendo en la ignorancia [email protected] ¿QUÉ ES UN IDS? Intrusion System Detection (IDS) Monitoriza Detecta intentos de intrusión Previene.
INTRUSION DETECTION SYSTEM ó seguir viviendo en la ignorancia [email protected] ¿QUÉ ES UN IDS? Intrusion System Detection (IDS) Monitoriza Detecta intentos de intrusión Previene TIPOS DE IDS Basados en Host Basados en Red (NIDS) NIDS Más que un sniffer Detectan trafico no deseable ... Y luego actúa en consecuencia ¿Por qué usar un NIDS? Aumento del numero de equipos conectados Aumento del numero de intrusiones Facilidad de Hacking Download & Attack (Script Kiddies) Impunidad Prevención Introducción a Snort Es un sniffer con un potente sistema de detección de intrusiones. Su sistema de detección esta basado en reglas Tiene multitud de opciones de loggin Logs descodificados (texto) Logs tipo tcpdump (binario) Logs al syslog en tiempo real Winpopup por samba SQL, Postgresql, UnixODBC Es GNU !!!! ¿Qúe puede detectar Snort? Escaneos Basicos Escaneos Stealth/Fin OS Fingerprint Ejecución de exploits conocidos Trafico no deseado (Napster,Gnutella) DoS Intentos de penetración de otros tipos (virus, backdoors) Lo que queramos Poniéndolo en marcha Instalación Configuración /etc/snort /etc/snort/rules.base Reglas: /etc/snort/10102k.rules /etc/snort/vision.conf /etc/snort/misreglas.conf rules.base ############ Fichero de configuración para Snort ################# var var var var var #### Variables que definen nuestra red #### INTERNAL 150.244.x.x/24 EXTERNAL !150.244.x.x/24 HOME_NET 150.244..x.x /24 DNSSERVERS 150.244 .x.x 150.244 .x.x 150.244 .x.x RUIDOSOS 150.244 .x.x 150.244 .x.x 150.244 .x.x 150.244 .x.x #### Preprocesadores del trafico #### preprocessor http_decode: 80 443 8080 preprocessor minfrag: 128 preprocessor portscan: 150.244.x.x /24 6 2 /var/log/snort/snort_portscan.log preprocessor portscan-ignorehosts: $RUIDOSOS $DNSSERVERS #### Tipo de login output alert_syslog: LOG_LOCAL1 LOG_ALERT #### Reglas de filtrado include /etc/snort/10102k.rules include /etc/snort/vision.conf #### #### ###### Puedes incluir aqui tus propio fichero de reglas ########## # include /etc/snort/misreglas.conf Crear reglas propias Rule headers Acción Protocolo Direccion origen / Puerto origen Direccion destino / Puerto destino Rule options msg content Ejemplo de regla Rule Header Alert tcp !$HOME_NET any <> $HOME_NET any Rule Options (msg: "Transferencia de mp3"; flags: AP; content: ".mp3 ";) Reglas Snort Official Ruleset /etc/snort/10102k.rules alert TCP !$HOME_NET any -> $HOME_NET 143 (msg:"OVERFLOW-x86-linux-imapd2"; flags: PA; content: "|89D8 40CD 80E8 C8FF FFFF|/";) Max Vision Ruleset /etc/snort/vision.conf alert UDP $EXTERNAL any -> $INTERNAL 31337 (msg: "IDS397/BackOrifice1-scan"; content: "|ce63 d1d2 16e7 13cf 38a5 a586|";) Datos reales The distribution of attack methods (30-31 Oct 24h) ===================================== # % of attacks method ===================================== 57.28 4538 spp_portscan from 213.132.136.131 41.13 3259 SCAN-SYN FIN from 193.70.55.133 0.71 56 IDS106-BACKDOOR SIGNATURE-DeepThroat 0.61 48 MISC-WinGate-8080-Attempt 0.07 6 IDS152 - PING BSD 0.06 5 IDS127 - TELNET - Login Incorrect 0.05 4 FTP - Exploitable proftpd 1.2 server 0.05 4 IDS364 - FTP-bad-login Herramientas Snortstats.pl SnortSnarf Analysis Console for Intrusion Databases (ACID) Guardian Flexresponse Links de interes Pagina oficial de Snort http://www.snort.org Otras paginas de interes http://www.whitehats.com http://www.norz.org/ http://www.silicondefense.com/snortsnarf http://www.incident.org/snortdb/ GRACIAS