INTRUSION DETECTION SYSTEM ó seguir viviendo en la ignorancia [email protected] ¿QUÉ ES UN IDS? Intrusion System Detection (IDS) Monitoriza Detecta intentos de intrusión Previene.
Download
Report
Transcript INTRUSION DETECTION SYSTEM ó seguir viviendo en la ignorancia [email protected] ¿QUÉ ES UN IDS? Intrusion System Detection (IDS) Monitoriza Detecta intentos de intrusión Previene.
INTRUSION DETECTION
SYSTEM
ó
seguir viviendo en la
ignorancia
[email protected]
¿QUÉ ES UN IDS?
Intrusion System Detection (IDS)
Monitoriza
Detecta intentos de intrusión
Previene
TIPOS DE IDS
Basados
en Host
Basados
en Red
(NIDS)
NIDS
Más que un sniffer
Detectan trafico no deseable
... Y luego actúa en
consecuencia
¿Por qué usar un NIDS?
Aumento del numero de equipos
conectados
Aumento del numero de intrusiones
Facilidad de Hacking
Download & Attack (Script Kiddies)
Impunidad
Prevención
Introducción a Snort
Es un sniffer con un potente sistema de
detección de intrusiones.
Su sistema de detección esta basado en reglas
Tiene multitud de opciones de loggin
Logs descodificados (texto)
Logs tipo tcpdump (binario)
Logs al syslog en tiempo real
Winpopup por samba
SQL, Postgresql, UnixODBC
Es GNU !!!!
¿Qúe puede detectar Snort?
Escaneos Basicos
Escaneos Stealth/Fin
OS Fingerprint
Ejecución de exploits conocidos
Trafico no deseado (Napster,Gnutella)
DoS
Intentos de penetración de otros tipos (virus,
backdoors)
Lo que queramos
Poniéndolo en marcha
Instalación
Configuración
/etc/snort
/etc/snort/rules.base
Reglas:
/etc/snort/10102k.rules
/etc/snort/vision.conf
/etc/snort/misreglas.conf
rules.base
############ Fichero de configuración para Snort #################
var
var
var
var
var
#### Variables que definen nuestra red ####
INTERNAL 150.244.x.x/24
EXTERNAL !150.244.x.x/24
HOME_NET 150.244..x.x /24
DNSSERVERS 150.244 .x.x 150.244 .x.x 150.244 .x.x
RUIDOSOS 150.244 .x.x 150.244 .x.x 150.244 .x.x 150.244 .x.x
####
Preprocesadores del trafico
####
preprocessor http_decode: 80 443 8080
preprocessor minfrag: 128
preprocessor portscan: 150.244.x.x /24 6 2 /var/log/snort/snort_portscan.log
preprocessor portscan-ignorehosts: $RUIDOSOS $DNSSERVERS
####
Tipo de login
output alert_syslog: LOG_LOCAL1 LOG_ALERT
####
Reglas de filtrado
include /etc/snort/10102k.rules
include /etc/snort/vision.conf
####
####
###### Puedes incluir aqui tus propio fichero de reglas ##########
# include /etc/snort/misreglas.conf
Crear reglas propias
Rule headers
Acción
Protocolo
Direccion origen / Puerto origen
Direccion destino / Puerto destino
Rule options
msg
content
Ejemplo de regla
Rule Header
Alert tcp !$HOME_NET any <> $HOME_NET any
Rule Options
(msg: "Transferencia de mp3"; flags: AP; content: ".mp3 ";)
Reglas
Snort Official Ruleset
/etc/snort/10102k.rules
alert TCP !$HOME_NET any -> $HOME_NET 143
(msg:"OVERFLOW-x86-linux-imapd2"; flags: PA; content: "|89D8 40CD
80E8 C8FF FFFF|/";)
Max Vision Ruleset
/etc/snort/vision.conf
alert UDP $EXTERNAL any -> $INTERNAL 31337
(msg: "IDS397/BackOrifice1-scan"; content: "|ce63 d1d2 16e7 13cf
38a5 a586|";)
Datos reales
The distribution of attack methods (30-31 Oct 24h)
=====================================
#
%
of
attacks
method
=====================================
57.28
4538
spp_portscan from 213.132.136.131
41.13
3259
SCAN-SYN FIN from 193.70.55.133
0.71
56
IDS106-BACKDOOR SIGNATURE-DeepThroat
0.61
48
MISC-WinGate-8080-Attempt
0.07
6
IDS152 - PING BSD
0.06
5
IDS127 - TELNET - Login Incorrect
0.05
4
FTP - Exploitable proftpd 1.2 server
0.05
4
IDS364 - FTP-bad-login
Herramientas
Snortstats.pl
SnortSnarf
Analysis Console for Intrusion Databases
(ACID)
Guardian
Flexresponse
Links de interes
Pagina oficial de Snort
http://www.snort.org
Otras paginas de interes
http://www.whitehats.com
http://www.norz.org/
http://www.silicondefense.com/snortsnarf
http://www.incident.org/snortdb/
GRACIAS