Sistema de deteccin de intrusos IDS

Sistema de deteccin de intrusos IDSLas propiedades necesitan ser protegidas de robo. Algunos hogares estn equipados con sistemas de alarmas que pueden detectar ladrones, notificar a las autoridades cuando ocurre una entrada ilegal y hasta advertir a los dueos cuando sus hogares estn bajo fuego. Tales medidas son necesarias para asegurar la integridad de los hogares y la seguridad de sus dueos.

Pero como nos protegemos en un ordenador? El mismo aseguramiento de la integridad y seguridad debera ser aplicado a los sistemas de computacin y datos. La Internet ha facilitado el flujo de la informacin, desde personal hasta financiera. Al mismo tiempo, tambin ha promovido muchos peligros. Los usuarios maliciosos y crackers buscan objetivos vulnerables tales como sistemas no actualizados, sistemas infectados con troyanos y redes ejecutando servicios inseguros. Las alarmas son necesarias para notificar a los administradores y a los miembros del equipo de seguridad que ha ocurrido una entrada ilegal para que as estos puedan responder en tiempo real a la amenaza. Se han diseado lossistemas de deteccin de intrusoscomo tales sistemas de notificacin.

Introduccin a IDS2Qu es un sistema de deteccin de intrusos?Un Sistema de Deteccin de Intrusos o IDS (Intrusion Detection System) es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informtico en busca de intentos de intrusin (accesos no autorizados a un computador o a una red).

El IDS suele tener sensores virtuales (por ejemplo, unsniffer de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas.

Por qu utilizar un IDS?Hay varias razones para adquirir y usar un IDS:

La deteccin de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red.Al incrementar la posibilidad de descubrir y castigar a los atacantes, el comportamiento de algunos cambiar de forma que muchos ataques no llegarn a producirse.Incluso cuando los IDS no son capaces de bloquear ataques, pueden recoger informacin relevante sobre stos. Esta informacin puede, bajo ciertas circunstancias, ser utilizada como prueba en actuaciones legales.Objetivos de los IDSAtrapar a los intrusos en el acto antes de que daen algn recurso.Proteger el sistema contra ataques.Monitorear la actividad de la red.Realizar las configuraciones de la red.Analizar integridad en los datos.

FuncionamientoPara su correcto funcionamiento el IDS cuenta con una base de datos en donde se almacenan las firmas,(ataques conocidos).Las firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo.

FuncionamientoSe basa en el anlisis del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser elescaneo de puertos, paquetes malformados, etc.El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento.

FuncionamientoPara detectar un ataque un IDS:

Utilizar sensores virtuales.

Para detener un ataque un IDS:

Utilizar algn complemento.FuncionamientoUtilizando sensores virtuales:Los sensores virtuales, son por ejemplo los analizadores de paquetes o sniffer, el cuales un programa de captura de las tramas de unared de computadoras.Es algo comn que, portopologa de redy necesidad material, el medio de transmisin (cable coaxial,fibra ptica, etc.) sea compartido por variascomputadorasy dispositivos de red, lo que hace posible que un ordenador capture las tramas de informacin no destinadas a l. Para conseguir esto el analizador pone latarjeta de reden un estado conocido como modo promiscuo" en el cual en lacapa de enlace de datosno son descartadas las tramas no destinadas a ladireccin MACde la tarjeta, de esta manera se puede capturar todo el trfico que viaja por la red.

FuncionamientoConfiguracin de modo promiscuo:Para habilitar el modo promiscuo en una interfaz de red:ifconfig eth0 promiscPara volverla a su modo normal:ifconfig eth0 -promisc

FuncionamientoUna forma de trabajar del IDS es complementndose: El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo depuerta de enlacecon funcionalidad defirewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo delfirewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.Funcionamiento

Funcionamiento

Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, as como tambin se colocan sondas internas para analizar solicitudes que hayan pasado a travs del firewall o que se han realizado desde dentro.Clasificacin de un IDSSegn donde proceden.En red (Network IDS)En mquina (Host IDS)Segn como proceden.Deteccin de anomalasDeteccin de abusosSegn cuando proceden.ActivosPasivos

Dnde procedenUn IDS basado en host Es el ms completo de los dos, que implica la implementacin de un sistema de deteccin en cada host individual. Sin importar en qu ambiente de red resida el host, estar protegido.Dnde procedenIDS basados en host:El principio de funcionamiento de un HIDS, depende del xito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan aduearse del mismo, con propsito de llevar a cabo otras actividades. El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.Dnde procedenIDS basado en host: Consultan diferentes tipos de registros de archivos (sistema, servidores, red, cortafuegos, y ms) y comparan los registros contra una base de datos interna de peculiaridades comunes sobre ataques conocidos.Dnde procedenIDS basados en red:Un IDS basado en red, detecta ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando as todo el trfico de la red.Un IDS basado en la red filtra los paquetes a travs de un dispositivo simple antes de comenzar a enviar a host especficos. Los IDS basados en red a menudo se consideran como menos completos puestos que muchos host en un ambiente mvil lo hacen indisponible para el escaneo y proteccin de paquetes de red.Dnde procedenIDS basados en red:La filosofa de diseo de un IDS basado en la red es escanear los paquetes de red al nivel del enrutador o host, auditar la informacin de los paquetes y registrar cualquier paquete sospechoso en un archivo de registros especial con informacin extendida. Basndose en estos paquetes sospechosos, un IDS basado en la red puede escanear su propia base de datos de firmas de ataques a la red y asignarles un nivel de severidad para cada paquete. Si los niveles de severidad son lo suficientemente altos, se enviar un correo electrnico de advertencia a los miembros del equipo de seguridad para que ellos puedan investigar la naturaleza de la anomala.Cmo procedenDeteccin de anomalas:La deteccin de anomalas se centra en identificar comportamientos inusuales en un host o una red.Funcionan asumiendo que los ataques son diferentes a la actividad normal.Los detectores de anomalas construyen perfiles representando el comportamiento normal de los usuarios, hosts o conexiones de red. Estos perfiles son construidos de datos histricos recogidos durante el periodo normal de operacin.

Cmo proceden Las medidas y tcnicas usadas en la deteccin de anomalas incluyen:Deteccin de un umbral sobre ciertos atributos del comportamiento del usuario, como:Nmero de ficheros accedidos por un usuario en un periodo de tiempo dado.El numero de intentos fallidos para entrar en el sistema. La cantidad de CPU utilizada por un proceso.Otras tcnicas incluyen redes neuronales, algoritmos genticos y modelos de sistema inmune; (no estn implementadas todava).Cmo procedenDeteccin de abusos:Los detectores de abusos analizan la actividad del sistema buscando eventos que coincidan con un patrn predefinido o firma que describe un ataque conocido.Los IDS basados en la deteccin de usos indebidos son mas robustos que los basados en la deteccin de anomalas por conocer la forma de los ataques (es extrao que generen falsos positivos)

Cundo procedenRespuestas: Sistemas pasivos y activos.Una vez se ha producido un anlisis de los eventos y hemos detectado un ataque, el IDS reacciona. Las repuestas las podemos agrupar en dos tipos: pasivas y activas. Las pasivas envan informes a personas, que se encargarn de tomar acciones al respecto, si procede. Las activas lanzan automticamente respuestas a dichos ataques.Cundo procedenSistemas pasivos:En un sistema pasivo, el sensor detecta una posible intrusin, almacena la informacin y manda una seal de alerta que se almacena en una base de datos.La seal de alerta puede ser realizada mediante un correo electrnico enviada a la organizacin.Es posible que el atacante monitorice el correo electrnico de esa organizacin o que haya usado una IP falsa para su ataque.Cundo procedenSistemas Activos:Las respuestas activas son acciones automticas que se toman cuando ciertos tipos de intrusiones son detectados. Podemos estableces dos categoras distintas:

Recogida de informacin adicional.

Cambio del entorno.Cundo procedenRecogida de informacin adicional: Consiste en incrementar el nivel de sensibilidad de los sensores para obtener ms pistas del posible ataque por ejemplo:Capturando todos los paquetes que vienen de la fuente que origin el ataque durante un cierto tiempo o para un mximo nmero de paquetes.Cambio del entorno: otra respuesta activa puede ser la de parar el ataque; por ejemplo, en el caso de una conexin TCP se puede cerrar la sesin establecida inyectando segmentos TCP RST al atacante y a la vctima o filtrar en el router de acceso o en el firewall la direccin IP del intruso o el puerto atacado para evitar futuros ataques.ComparacionesVentajas de Network IDS:Un IDS bien localizado puede monitorizar una red grande, siempre y cuando tenga la capacidad suficiente para analizar todo el trfico.Se pueden configurar para que sean muy seguros ante ataques hacindolos invisibles al resto de la red.Desventajas de Network IDS:Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho trafico y pueden fallar en reconocer ataques lanzados durante periodos de trfico alto.

ComparacionesDesventajas de Network IDS:Los IDS basados en red no saben si el ataque tuvo o no xito, lo nico que pueden saber es que el ataque fue lanzado.Algunos NIDS tienen problemas al tratar con ataques basados en red que viajan en paquetes fragmentados, pudiendo llegar a no reconocerlos.ComparacionesVentajas de Host IDS:Pueden detectar ataques que no pueden ser vistos por un IDS basado en red.Pueden a menudo operar en un entorno en el cual el trfico de red viaja cifrado, ya que la fuente de informacin es analizada antes de que los datos sean cifrados en el host origen y/o despus de que los datos sea descifrados en el host destino.ComparacionesDesventajas de Host IDS:Los IDS basados en hosts son ms costosos de administrar, ya que deben ser gestionados y configurados en cada host monitorizado.No son adecuados para detectar ataques a toda una red, puesto que el IDS solo ve aquellos paquetes de red enviados a l.Usan recursos del host que estn monitorizando, influyendo en el rendimiento del sistema monitorizado.ComparacionesVentajas de deteccin de abusos:Los detectores de abusos son muy efectivos en la deteccin de ataques sin que generen un nmero elevado de falsas alarmas.Pueden rpidamente y de forma precisa diagnosticar el uso de una herramienta o tcnica de ataque especfico.Desventajas de deteccin de abusos:Solo detectan aquellos ataques que conocen, por lo que deben ser constantemente actualizados con firmas de nuevos ataques.ComparacionesVentajas de deteccin de anomalas:Los IDS basados en deteccin de anomalas detectan comportamientos inusuales. De esta forma tienen la capacidad de detectar ataques para los cuales no tienen un conocimiento especfico.Producen informacin que puede ser utilizada para definir firmas en la deteccin de abusos.Desventajas de deteccin de anomalas:La deteccin de anomalas produce un gran numero de falsas alarmas debido a los comportamientos no predecibles de usuarios y redes.Mecanismos de deteccin de un ataqueUn IDS utiliza dos tcnicas fundamentales para determinar si hay un ataque, ellas son:

Heurstica.

Patrn.Mecanismo de deteccin de un ataqueHeurstica: Un IDS basado en heurstica, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este vara de aquel considerado como normal, clasificndolo como anmalo.Mecanismo de deteccin de un ataquePatrn: Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta tcnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrn, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS ser incapaz de identificar el ataque.Implementacin de un IDS

Para hablar sobre deteccin de intrusos hay que definir que entendemos por intrusin.

Las intrusiones se definen en relacin a una poltica de seguridad: Se puede definir una intrusin como un conjunto de acciones deliberadas dirigidas a comprometer la integridad (manipular informacin), confidencialidad (acceder ilegtimamente a informacin) o la disponibilidad de un recurso (perjudicar o imposibilitar el funcionamiento de un sistema).AlternativasPara poner en funcionamiento un sistema de deteccin de intrusos se debe tener en cuenta que es posible optar por una solucin hardware, software o incluso una combinacin de estos dos.

IDSAlternativasLa posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho trfico. A su vez estos sistemas tienen un costo muy elevado en comparacin con las soluciones por software, por lo que se establece una relacin de compromiso

AlternativasBasados en hardware Cisco Pix

Basados en softwareSnort: IDS de redPrelude: IDS HibridoSamhain: IDS de Host

Implementacin Existen muchas formas de aadir las herramientas IDS a nuestra red, cada una de ellas tiene su ventaja y su desventaja. La mejor opcin debera ser un compendio entre coste econmico y propiedades deseadas, manteniendo un alto nivel de ventajas y un nmero controlado de desventajas.ImplementacinLas posiciones de los IDS dentro de una red son varias y aportan diferentes caractersticas.

ImplementacinSi situamos un IDS antes del cortafuegos exterior permitira detectar el rastreo de puertos de reconocimiento que seala el comienzo de una actividad hacking, y obtendramos como ventaja un aviso prematuro. Sin embargo, si los rastreos no son seguidos por un ataque real, se generar un numeroso nmero de alertas innecesarias con el peligro de comenzar a ignorarlas.ImplementacinSi optamos por colocar el IDS en la zona desmilitarizada (DMZ) tendramos como ventaja la posibilidad de adecuar la base de datos de atacantes del NIDS para considerar aquellos ataques dirigidos a los sistemas que estn en la DMZ (servidor web y servidor de correo) y configurar el cortafuegos para bloquear ese trfico.ImplementacinUn NIDS dentro de la red Interna podra monitorear todo el trfico para fuera y dentro de esa red. Este NIDS no debera ser tan poderoso como los comentados anteriormente, puesto que el volumen y el tipo de trfico es ms reducido. ImplementacinEl resultado seria una red con la siguiente configuracin.

ImplementacinEl IDS1 se encargara de avisar del rastreo de puertos, y si es reactivo podra enviar un aviso tanto al que esta rastreando (por ejemplo un ping a la direccin que emite el paquete) como al encargado de la seguridad de la organizacin.

El IDS2 se encargara de vigilar la zona desmilitarizada y analizar el trfico que reciben tanto el servidor web como el servidor de correo. ImplementacinLos otros dos IDS se encargaran de la red interna, el IDS3 de la totalidad de la red, y el IDS4 de una subred. SNORT Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.

SNORTEs un IDS basado en red y funciona mediante deteccin de usos indebidos (posee una base de datos formada por patrones de ataque).Es un IDS activo (trabaja en tiempo real).La base de datos debe poseer solo los patrones de ataque de inters ( Ej: ataques a servidores web).Si se sobrecarga la base de datos el IDS tardar mas en decidir si un paquete se adapta a algn patrn y se corre el riesgo que mientras realiza el anlisis deje pasar tramas que presenten amenazas reales.

SNORTImplementa un lenguaje de creacin de reglas flexible, potente y sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap.Snort est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, as como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a travs de los distintos boletines de seguridad.SNORTEn la versin de Windows, es necesario instalar WinPcap. Este software consiste en un driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librera que facilita a las aplicaciones acceder a la capa de enlace saltndose la pila de protocolos.

SNORTSnort puede funcionar en:Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la red en que Snort es configurado.

Modo packet logger (registro de paquetes), en el que se almacena en un sistema de log toda la actividad de la red en que se ha configurado Snort para un posterior anlisis.

SNORT Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la actividad de la red a travs de un fichero de configuracin en el que se especifican las reglas y patrones a filtrar para estudiar los posibles ataques.

Una vez hemos instalado correctamente el programa y lo ponemos en funcionamiento, debemos introducir en la base de patrones de ataques los que queremos utilizar para detectar actividades sospechosas contra nuestra red.SNORTIntuitivamente, el usuario tiende a utilizar un elevado nmero patrones para protegerse, pero paradjicamente esto puede perjudicar la seguridad, ya que no todos los ataques que Snort es capaz de detectar son tiles (para el atacante) en el segmento de red que monitorizamos y en cambio corremos el riesgo de sobrecargar la herramienta, que dejar pasar todos los paquetes que no pueda analizar.SNORTEl motor de Snort se divide en los siguientes componentes:

Decodificador del paquete. Preprocesadores. Motor de deteccin (Comparacin contra firmas). Loggin y sistema de alerta. Plugins de salida.SNORTEl decodificador de paquete, toma los paquetes de diferentes tipos de interfaces de red, y prepara el paquete para ser preprocesado o enviado al motor de deteccin.

Los preprocesadores son componentes o plugins que pueden ser usados con Snort para arreglar, rearmar o modificar datos, antes que el motor de deteccin haga alguna operacin para encontrar si el paquete esta siendo enviado por un intruso. SNORT Algunos preprocesadores realizan deteccin buscando anomalas en las cabeceras de los paquetes y generando alertas. Son muy importantes porque preparan los datos para ser analizados contra reglas en el motor de deteccin.El motor de deteccin es la responsable de detectar si alguna actividad de intrusin existe en un paquete. El motor utiliza las reglas que han sido definidas para este propsito. Las reglas (o cadenas) son macheadas contra todos los paquetes. Si un paquete machea una regla, la accin configurada en la misma es ejecutada.

SNORTDependiendo que detecte el motor dentro de un paquete, el logging y sistema de alerta, se encarga de loguear o generar una alerta. Los logs son almacenados en archivos de texto, archivos con formato tcpdump u otro formato.

Los plugins de salida toman la salida del sistema de alerta y permiten almacenarlas en distintos formatos o reaccionar ante el mismo. Por ejemplo: enviar emails, traps SNMP, syslog, insertar en una base de datos, etc. SNORTReglas en SNORTSnort utiliza un ligero y simple lenguaje de reglas que es flexible y poderoso. Las reglas se pueden dividir en dos secciones: Cabecera de la regla y opciones. La cabecera de la regla contiene la accin de la regla en s, protocolo, IP, mascaras de red, puertos de origen y destino, destino del paquete y direccin de la operacin. En las opciones definimos mensajes y la informacin necesaria para la decisin a tomar por parte de la alerta en forma de opciones.SNORTLa estructura de la regla es la siguiente:

Accion protocolo a vigilar IP origen Puerto origen operador de direccion IP destino-Puerto destino (opciones mensaje opciones de decision) alert icmp 192.168.1.10 any -> $RED_EXTERNA any (msg:lanzando un ping;icode:0;itype:8;sid:00001;classtype:reglas_personales;rev:0;)

Los campos se corresponden con los siguientes puntos:

SNORTAccin a realizar: Ser la accin a realizar cuando se cumpla la regla, con uno de los siguientes valores:

SNORTProtocolos: Son los tipos de protocolos que puede analizar actualmente Snort: TCP, UDP, ICMP o IP.

Direccin IP y Puerto: son las direcciones fuentes y destinos de IP y Puerto (Sockets).

Operador de direccin: Indica la direccin del trafico sobre el que se aplicara la regla. Puede ser -> en una direccin o bidireccional

Opciones: A partir de aqu podemos aadir las opciones que nos interesan, separadas por ( ; )SNORTExisten cuatro tipos de categoras de opciones:General: Dan informacin sobre la regla pero no tienen efecto sobre la deteccin

SNORTPayload: Estas opciones buscan datos dentro de los paquetes. Hay una gran cantidad de opciones pero las mas habituales son las siguientes.

SNORTnon-payload: Con estas opciones podemos hacer que las reglas busquen por datos que no sean payloads.

SNORTpost-detection: Son opciones que se pondran en marcha cuando una regla se active.

SNORTUtilizacin de Snort en bajo un entorno windows

Utilizando la consola CMD de windows, una vez posicionado en la carpeta de instalacin, con el comando snort se ejecuta el programa C:\Snort\bin>snortUtilizando el comando Snort -? Es posible despegar la lista de opciones USAGE: snort [-options]

SNORTC:\Snort20\bin>snort vCon esta opcin -v iniciamos snort en modo sniffer visualizando en pantalla las cabeceras de los paquetes TCP/IP, es decir, en modo sniffer. Esta opcin mostrar las cabeceras IP, TCP, UDP y ICMP.

Si queremos, adems, visualizar los campos de datos que pasan por la interface de red, aadiremos d.

SNORTAadiendo la opcin -e, snort nos mostrar informacin ms detallada. Nos mostrar las cabeceras a nivel de enlace.

Ejemplo05/21-11:06:18.943887 192.168.4.5:3890 -> 192.168.4.15:8080 TCP TTL:128 TOS:0x0 ID:33216 IpLen:20 DgmLen:40 DF ***A**** Seq: 0xE3A50016 Ack: 0x8B3C1E4D Win: 0xFAF0 TcpLen: 20SNORTCon estas opciones y dependiendo del trfico en nuestra red, veremos gran cantidad de informacin pasar por nuestra pantalla, con lo cual sera interesante registrar, guardar estos datos a disco para su posterior estudio. Entraramos entonces en snort como packet logger o registro de paquetes. C:\Snort\bin>snort -dev -l ./logLa opcin -l indica a snort que debe guardar los logs en un directorio determinado

Snort en modo NIDS.

El modo deteccin de intrusos de red se activa aadiendo a la lnea de comandos de snort la opcin -c snort.conf.

En este archivo, snort.conf, se guarda toda la configuracin de las reglas, preprocesadores y otras configuraciones necesarias para el funcionamiento en modo NIDS.Snort en modo NIDS. Modos de AlertaHay varias maneras de configurar la salida de snort, es decir, las alertas, el modo en que se almacenarn estas en el archivo alert.ids.

Snort dispone de siete modos de alertas en la lnea de ordenes, completo, rpido, socket, syslog, smb (WinPopup), consola y ninguno.

Fast: El modo Alerta Rpida nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen y destino.

Snort en modo NIDS.Full: El modo de Alerta Completa nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen/destino e informacin completa de las cabeceras de los paquetes registrados.

Socket: Manda las alertas a travs de un socket, para que las escuche otra aplicacin. Est opcin es para Linux/UNIX. # snort -A unsock -c snort.conf

Console: Imprime las alarmas en pantalla.C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf

Snort en modo NIDS.None: Desactiva las alarmas. snort -A none -c snort.conf

SMB: Permite a Snort realizar llamadas al cliente de SMB (cliente de Samba, en Linux), y enviar mensajes de alerta a hosts Windows (WinPopUp). Para activar este modo de alerta, se debe compilar Snort con el conmutador de habilitar alertas SMB (enable -smbalerts). Evidentemente este modo es para sistemas Linux/UNIX. Para usar esta caracterstica enviando un WinPopUp a un sistema Windows, aadiremos a la lnea de comandos de snort: -M WORKSTATIONS.

Snort en modo NIDS.Syslog: Enva las alarmas al syslog

C:\Snort20\bin>snort -A console -dev -l ./log -h 192.168.4.0/24 -c ../etc/snort.conf -s 192.168.4.33:514

Fragmento del archivo de configuracin

videoHONEYPOTS, MONITORIZANDO A LOS ATACANTESSe llama honeypot (en ingles, tarro de miel) a una herramienta usada en el mbito de la seguridad informtica para atraer y analizar el comportamiento de los atacantes en Internet.

HONEYPOTSUn honeypot puede ser tan simple como un ordenador que ejecuta un programa, que analiza el trfico que entra y sale de un ordenador hacia Internet, escuchando en cualquier nmero de puertos. El procedimiento consiste en mantener una debilidad o vulnerabilidad en un programa, en el sistema operativo, en el protocolo, o en cualquier otro elemento del equipo susceptible de ser atacado, que motive al atacante a usarlo, de manera que se muestre dispuesto a emplear todas sus habilidades para explotar dicha debilidad.acceso al sistema.HONEYPOTSPor otro lado, un honeypot puede ser tan complejo como una completa red de ordenadores completamente funcionales, funcionando bajo distintos sistemas operativos y ofreciendo gran cantidad de servicios. Cuando algn sistema que est incluido en dicha red sea atacado de alguna forma, se advierte al administrador.HONEYPOTSOtra opcin muy utilizada es crear honeypots completamente virtuales: programas especficamente diseados para simular una red, engaar al atacante con direcciones falsas, IP fingidas y ordenadores inexistentes, con el nico fin de confundirlo o alimentar el ataque para analizar nuevos mtodos.

HONEYPOTSDado el potencial peligro del uso de honeypots, y a su propia naturaleza, el uso de herramientas virtuales resulta muy conveniente y es ampliamente aceptado. Las ventajas de un sistema virtual sobre uno fsico son evidentes:Permiten ser restauradas en cuestin de minutos en caso de accidente, desastre o compromiso: la mayora de sistemas virtuales permiten almacenar un estado ideal y volver a l en cualquier momento de manera mucho ms rpida que si hubiese que restaurar un sistema fsico y devolverlo a un estado anterior.HONEYPOTSPermiten ser portadas a diferentes mquinas fsicas que la alojan: los sistemas virtuales, por definicin, se ejecutan por igual en cualquier mquina fsica, que emulan el entorno necesario a travs de un programa para poder reproducir el sistema virtual.Permiten ahorrar costes: una misma mquina fsica puede alojar un nmero indeterminado de mquinas virtuales, tantas como le permitan sus recursos, y con tantos sistemas operativos como se desee.Preguntas sugeridasQu es un IDS?Diferencia entre HIDS y NIDS.Cmo funciona el proceso de deteccin de anomalas?Qu entiende por intrusin?Cules son los modos de funcionamiento de la herramienta Snort?A qu se llama Honeypot?

FIN