Sistemas IDS Linux

IDS’s

IDS: Sistemas de deteccion de Intrusossobre Linux

IDS’s

Resumen

1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?

2 Tipos de IDSNetwork Based IDS

Analizadores de traficoAnalizar el contenido de paquetesHoney Pots

Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace

Hybrid IDSPrelude

3 Riesgos

kope IDS

IDS’s

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

IDS’s

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

IntroduccionTipos de IDS

Riesgos

Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

Riesgos

IDS: Intrusion Detection System

¿Que es un IDS ?

Un sistema de detecccion de intrusos es un programa (o conjuntode programas) que monitorean, de diferentes formas segun su

tipo, en busca de algun comportamiento que pueda ser indicadorde un ataque informatico o malware.

kope IDS

Riesgos

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

Riesgos

Para que implementar un IDS?

Saber que esta pasando en la red.

Reconocer danos y sistemas afectados.

Conocer el comportamiento de los atacantes.

Recoleccion de pruebas periciales.

kope IDS

Riesgos

kope IDS

Riesgos

kope IDS

Riesgos

kope IDS

Riesgos

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

Riesgos

Sera necesario en mi red?

kope IDS

Riesgos

N IDSH IDSHybrid IDS

Tipos de IDS

NIDS Network Based IDS.

HIDS Host Based IDS.

Hıbridos Une los dos tipos anteriores.

kope IDS

Riesgos

Tipos de IDS

kope IDS

Riesgos

Tipos de IDS

kope IDS

Riesgos

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

Riesgos

IDS basados en Red

Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.

Solo pueden identificar patrones conocidos.

Analizar trafico en tiempo real.

Modo Promiscuo.

Ubicacion estrategica.

kope IDS

Riesgos

IDS basados en Red

Modo Promiscuo.

kope IDS

Riesgos

IDS basados en Red

Modo Promiscuo.

kope IDS

Riesgos

IDS basados en Red

Modo Promiscuo.

kope IDS

Riesgos

IDS basados en Red

Modo Promiscuo.

kope IDS

Riesgos

Desde donde escuchar?

Hub Escuchar todo el trafico (modo promiscuo).

TAP Test Access Port.

SPAN Switch Port Analyzer.

Router Desde el mismo router.

kope IDS

Riesgos

Desde donde escuchar? HUB

Retransmite los paquetes que recibe desde cualquier boca atodas las demas.

kope IDS

Riesgos

Desde donde escuchar? TAP

TAP Test Access Port

El trafico entrante y saliente pueden ir a un mismo IDS y unirambas conexiones por medio de bond.

kope IDS

Riesgos

Desde donde escuchar? SPAN

SPAN Switch Port Analyzer

Puerto con el que cuentan algunos switch administrables parael monitoreo de la red.

kope IDS

Riesgos

Analizar trafico

Scaneo de puertos.

Envenenamiento ARP.

Paquetes mal formados (DoS).

Deteccion de virus (ClamAV plugin).

kope IDS

Riesgos

Analizar trafico

Scaneo de puertos.

Envenenamiento ARP.

kope IDS

Riesgos

Analizar trafico

Scaneo de puertos.

Envenenamiento ARP.

kope IDS

Riesgos

Analizar trafico

Scaneo de puertos.

Envenenamiento ARP.

kope IDS

Riesgos

Analizar contenido de paquetes Pcap

Interfaz en espacio usuario para la captura de paquetes.

Usadas por programas como: Wireshark (Etherape), Nessus,ntop, dsniff, iftop, ngrep.

Sniffer personalizados.

kope IDS

Riesgos

kope IDS

Riesgos

kope IDS

Riesgos

Wrapper

Perl Net::Pcap

Python python-libpcap

Ruby Ruby/Pcap

Tcl tclpcap

Java jpcap

.Nerd WinPcapNET

kope IDS

Riesgos

Wrapper

Perl Net::Pcap

Ruby Ruby/Pcap

Tcl tclpcap

Java jpcap

.Nerd WinPcapNET

kope IDS

Riesgos

Wrapper

Perl Net::Pcap

Ruby Ruby/Pcap

Tcl tclpcap

Java jpcap

.Nerd WinPcapNET

kope IDS

Riesgos

Wrapper

Perl Net::Pcap

Ruby Ruby/Pcap

Tcl tclpcap

Java jpcap

.Nerd WinPcapNET

kope IDS

Riesgos

Wrapper

Perl Net::Pcap

Ruby Ruby/Pcap

Tcl tclpcap

Java jpcap

.Nerd WinPcapNET

kope IDS

Riesgos

Wrapper

Perl Net::Pcap

Ruby Ruby/Pcap

Tcl tclpcap

Java jpcap

.Nerd WinPcapNET

kope IDS

Riesgos

Honey Pots

Servidor trampa.

Cualquier actividad con el es sospechosa.

Servicios falsos mediante scripts (fingerprint).

Puede hacer fordward para servicios reales.

kope IDS

Riesgos

Honey Pots

Servidor trampa.

kope IDS

Riesgos

Honey Pots

Servidor trampa.

kope IDS

Riesgos

Honey Pots

Servidor trampa.

kope IDS

Riesgos

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

Riesgos

IDS basados en Host

Confirmacion de ataque.

Monitor de acceso a archivos.

Creacion de cuentas.

Monitor de llamadas al sistema.

No necesita HW adicional.

kope IDS

Riesgos

IDS basados en Host

kope IDS

Riesgos

IDS basados en Host

kope IDS

Riesgos

IDS basados en Host

kope IDS

Riesgos

IDS basados en Host

kope IDS

Riesgos

Syslog

Central de anotaciones de linux

Acceso a servicios

Logeos positivos y negativos

Creacion de usuarios

Creacion de cuentas

Mounts

Cortafuegos (accepted, bloqued packets)

Se puede hacer scripts para revisar /var/log’s

kope IDS

Riesgos

Syslog

Acceso a servicios

Creacion de cuentas

Mounts

kope IDS

Riesgos

Syslog

Acceso a servicios

Creacion de cuentas

Mounts

kope IDS

Riesgos

Syslog

Acceso a servicios

Creacion de cuentas

Mounts

kope IDS

Riesgos

Syslog

Acceso a servicios

Creacion de cuentas

Mounts

kope IDS

Riesgos

Syslog

Acceso a servicios

Creacion de cuentas

Mounts

kope IDS

Riesgos

Syslog

Acceso a servicios

Creacion de cuentas

Mounts

kope IDS

Riesgos

Syslog

Acceso a servicios

Creacion de cuentas

Mounts

kope IDS

Riesgos

Finger print

Verificacion de integridad de archivos.

Modificacion.

Modificacion de fechas.

Monitoreo centralizado.

TripWire

kope IDS

Riesgos

Finger print

Modificacion.

TripWire

kope IDS

Riesgos

Finger print

Modificacion.

TripWire

kope IDS

Riesgos

Finger print

Modificacion.

TripWire

kope IDS

Riesgos

Integridad del sistema

Buscan modificaciones en binarios del sistema.

BD con hash de los binarios para compararlos.

Se recomienda hacer en analisis desde otra maquina.

chkrootkit

kope IDS

Riesgos

chkrootkit

kope IDS

Riesgos

chkrootkit

kope IDS

Riesgos

systrace

Registro de llamadas al sistema.

Busqueda de patrones que esten fuera de los servicios deproduccion.

Requiere conocer alcance de las aplicaciones.

BSD* o parchar el kernel de Linux

kope IDS

Riesgos

systrace

kope IDS

Riesgos

systrace

kope IDS

Riesgos

Resumen

Hybrid IDSPrelude

3 Riesgos

kope IDS

Riesgos

IDS Hıbridos

Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema

central.

Centraliza los resultados de diferentes sensores.

Usa diferentes tipos de sensores guardando resultados en unformato comun.

Compatible con: Snort, honeyd, Samhain, shadow, etc.

kope IDS

Riesgos

IDS Hıbridos

central.

kope IDS

Riesgos

IDS Hıbridos

central.

kope IDS

Riesgos

IDS Hıbridos

central.

kope IDS

Riesgos

Prelude

Diagrama General Prelude

kope IDS

Riesgos

Sensores

Definicion de Sensores

kope IDS

Riesgos

Prelude

Prelude Distribuido

kope IDS

Riesgos

Falsa sensacion de seguridad.

Exploits zero day.

Atacante comprometa los sensores.

kope IDS

Riesgos

Exploits zero day.

kope IDS

Riesgos

Exploits zero day.

kope IDS

Riesgos

Paranoia:Ver la realidad a mayor resolucion.

kope IDS

Riesgos

Referencias:

Wikipedia

http://www.snort.org/doc

http://www.prelude-nids.org

Chaos Congress

Lista Linux UTFSM

kope IDS

Riesgos

Preguntas, reclamos ?:

https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/gnucv

https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/lut

kope IDS

Sistemas IDS Linux

Documents

Transcript of Sistemas IDS Linux