Post on 26-Feb-2018
7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
1/51
Tema 4. Deteccion de Instrusos
Tema 4. Deteccion de InstrusosSeguridad en Informatica 2
Francisco Medina Lopez
Facultad de Contadura y AdministracionUniversidad Nacional Autonoma de Mexico
2014-2
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
2/51
Tema 4. Deteccion de Instrusos
Agenda
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
3/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaractersticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
4/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaractersticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
5/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
Que es una intrusion?
Definicion
Secuencia de eventos relacionados que deliberadamente tratan decausar dano, como hacer un sistema indisponible, acceder ainformacion no autorizada o manipular dicha informacion.
Esta definicion aplica tanto para intentos fallidos, como para losexitosos
T 4 D i d I
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
6/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
Que son los Sistemas de Deteccion de Intrusos?
Deteccion de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistemade computo o red para buscar signos que indiquen problemas deseguridad (violaciones a polticas).
Sistema de Deteccion de Intrusos
Herramientas, metodos y recursos que ayudan a detectar,identificar y reportar actividad no autorizada en un servidor o una
red.
Los sistemas:
Ejecutan funciones de centinelaAlertan y activan alarmas a partes
responsables cuando ocurren actosde interes
Los IDSs realmente no detectanintrusos, detectan trafico en la redque puede o no, ser una intrusion
T 4 D t i d I t
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
7/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDSs tambien buscan actividades anomalas.Requiere configuracion adaptada a peculiaridades de la red quese busca defender.
El IDS puede tomar acciones automaticas cuando ocurren
ciertas condiciones.Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDSs pueden configurarse para atacarautomaticamente a los sospechosos.
Otros se optimizan para recoger informacion para analisis
forense en tiempo real.
Tema 4 Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
8/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
Proceso basico de deteccion de intrusos
Intrusion Detection & Prevention, Carl Endorf, Eugene.
Tema 4 Deteccion de Instrusos
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
9/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaractersticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4 Deteccion de Instrusos
http://goforward/http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
10/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
http://wiki.hill.com/wiki/index.php?title=Intrusion_detection_system
Fuente de Datos
Proporciona el flujo de registros deeventos
Motor de Analisis
Encuentra indicadores de intrusion
Componente de Respuestas
Genera reacciones basadas en el
resultado arrojado por el motor deanalisis
Tema 4. Deteccion de Instrusos
http://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
11/51
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Fuente de Datos del IDS
Cuatro tipos
HostRedAplicacionObjetivo
El monitor o sensor:
Recolecta informacion de una fuente de datos y la pasa almotor de analisis
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
12/51
Introduccion a la Deteccion de Intrusos
Componentes
Fuente de Datos del IDS (2)
Monitores basados en host
Recogen datos de fuentes internas a una computadora (usual:
nivel de S.O.)Estas fuentes pueden incluir registros de auditora del S.O. ybitacoras del mismo
Monitores basados en red
Recogen paquetes que pasan por la redFrecuente: uso de dispositivos de red configurados en modopromiscuo
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
13/51
Introduccion a la Deteccion de Intrusos
Componentes
Fuente de Datos del IDS (3)
Monitores basados en aplicaciones
Obtienen informacion de aplicaciones en ejecucion
Las fuentes son bitacoras de aplicaciones y otros registrosinternos de ellas
Monitores basados en objetivo
Generan sus propios datosUsan criptografa de hash para detectar alteraciones a objetosdel sistemaComparan alteraciones con una poltica
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
14/51
Introduccion a la Deteccion de Intrusos
Componentes
Motor de Analisis
Definidas las fuentes de informacion, se debe determinar elmotor de busqueda
Este toma informacion de las fuentes y la examina paradetectar sntomas de ataques o violaciones a la poltica deseguridad.
Mayora de casos: se recurre a tres tipos de analisis:
Deteccion basada en FirmasDeteccion basada en AnomalasMezcla de los dos
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
15/51
Introduccion a la Deteccion de Intrusos
Componentes
Motor de Analisis (2)
Deteccion de Abusos:
Se busca ocurrencia de algo definido como maloPara ello, se filtran eventos buscando patrones de actividadcoincidentes con ataques o violacion a poltica de seguridad
Usa tecnicas de coincidencia de patronesGeneral: sistemas comerciales usan esta tecnica
Deteccion de Anomalas:
Se busca algo raro o inusualSe analizan eventos del sistema usando tecnicas estadsticas
Para hallar patrones de actividad aparentemente anormalesMixto
Deteccion de anomalas permite identificar ataques nuevos odesconocidosDeteccion de abusos protege contra ataques conocidos
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
16/51
Introduccion a la Deteccion de Intrusos
Componentes
Motor de Analisis (3)
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
17/51
Introduccion a la Deteccion de Intrusos
Componentes
Respuestas
Identificada la ocurrencia, el IDS debe determinar la accion aejecutar
No limitada a accion contra sospechoso: disparar alarmas dediferentes tiposSe pueden incluir mensajes a consola del administrador de laredEnvo de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigiladoModificacion en IDS puede incluir cambio en el tipo de analisisque se hace
En el caso de los sistemas vigilados:Cambios en configuracion
Modificaciones a privilegios de acceso
Respuesta comun:Registrar resultados del analisis en bitacora usada para generar
reportes
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
18/51
Introduccion a la Deteccion de Intrusos
Caractersticas
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaractersticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
19/51
Introduccion a la Deteccion de Intrusos
Caractersticas
Caractersticas deseables en IDSs
Efectividad:
Requerimiento mas importante: IDSs deben detectar de formaexacta y consistente los ataques, o patrones definidos
Facilidad de uso:Expertos en seguridad difciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes ypolticasMayora de ambientes no son homogeneos
IDS capaz de entender entradas de otros sistemas
Tema 4. Deteccion de Instrusos
I d i l D i d I
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
20/51
Introduccion a la Deteccion de Intrusos
Caractersticas
Caractersticas deseables en IDSs (2)
Robustez:
IDS suficientemente confiableTener mecanismos redundantes y caractersticas que permitan
operar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilanciaReportar eventos en momento de ocurrencia
Eficiencia:Uso optimo de recursos de computo, almacenamiento, y anchode bandaAfectacion mnima al desempeno del sistema vigilado
Tema 4. Deteccion de Instrusos
I t d i l D t i d I t
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
21/51
Introduccion a la Deteccion de Intrusos
Caractersticas
Caractersticas deseables en IDSs (3)
Seguridad:
Contar con caractersticas que eviten utilizacion por personal
no autorizadoEscalabilidad:
Componentes con interfaces estandar bien documentadasEstas interfases deben soportar los mecanismos deautenticacion apropiados.
Equilibrio:Permitir a usuarios mantener balance entre necesidades deadministracion y de seguridad
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
22/51
Sistemas de Deteccion de Intrusos en Red
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en RedIntroduccion
ProblematicaEjemplos
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
23/51
Sistemas de Deteccion de Intrusos en Red
Introduccion
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en RedIntroduccion
ProblematicaEjemplos
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
24/51
Sistemas de Deteccion de Intrusos en Red
Introduccion
Definicion
NIDS
Network Intrusion DetecctionSystem, son un conjunto deherramientas, metodos yrecursos que ayudan adetectar, identificar y reportaractividad no autorizada en unared.
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
25/51
Sistemas de Deteccion de Intrusos en Red
Introduccion
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entraday salida son enviados a un puerto especial donde pueden seranalizados.
Network taps: Dispositivos que son colocados en el mediofsico por donde pasa el trafico.
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
26/51
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
27/51
Problematica
Desventajas con IDSs en basados en red
Velocidad del canal
No pueden hacer frente a todo el volumen de datos que fluye
en la redEn ambientes con switches: IDS debe colocarse de tal modoque la carga pase por un puerto de escucha
Cifrado
Ningun IDS puede revisar paquetes cifrados, porque no tienelas llaves. Esto permite perpetrar ataques ocultos enconexiones cifradas
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
28/51
Ejemplos
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en RedIntroduccion
ProblematicaEjemplos
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de InstrusosSistemas de Deteccion de Intrusos en Red
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
29/51
Ejemplos
Algunos IDSs basados en red
Snort
NIKSUN NetDetector
Sax2
IBM Proventia NetworkIntrusion Prevention System(IPS)
Bro
Cisco Secure IDS (NetRanger)
Cyclops
Shoki
SecureNet IDS/IPS
SecurityMetricsEnterasys Intrusion PreventionSystem
Juniper Networks ISG Series
Integrated Security Gateway
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
Tema 4. Deteccion de InstrusosSistemas de Prevencion de Intrusiones
http://www.snort.org/http://www.niksun.com/product.php?id=4http://www.ids-sax2.com/http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://bro-ids.org/http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.htmlhttp://www.e-cop.net/http://shoki.sourceforge.net/http://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523https://www.securitymetrics.com/securitymetricsappliance.adphttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.juniper.net/us/en/products-services/security/isg-series/http://www.juniper.net/us/en/products-services/security/isg-series/http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.htmlhttp://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.htmlhttp://www.juniper.net/us/en/products-services/security/isg-series/http://www.juniper.net/us/en/products-services/security/isg-series/http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttps://www.securitymetrics.com/securitymetricsappliance.adphttp://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523http://shoki.sourceforge.net/http://www.e-cop.net/http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.htmlhttp://bro-ids.org/http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www.ids-sax2.com/http://www.niksun.com/product.php?id=4http://www.snort.org/http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
30/51
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos
4 Snort como IDS/IPS
Tema 4. Deteccion de InstrusosSistemas de Prevencion de Intrusiones
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
31/51
Introduccion
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos
4 Snort como IDS/IPS
Tema 4. Deteccion de InstrusosSistemas de Prevencion de Intrusiones
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
32/51
Introduccion
Definicion
IPS
Intrusion Prevention System, son un conjunto de herramientas,metodos y recursos que ayudan a monitorear la actividad de unared esperando la ocurrencia de algun evento y ejecutando unaaccion basada en reglas predefinidas cuando este sucede.
Se consideran la evolucion de los IDSs
Tema 4. Deteccion de InstrusosSistemas de Prevencion de Intrusiones
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
33/51
Ejemplos
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos
4 Snort como IDS/IPS
Tema 4. Deteccion de InstrusosSistemas de Prevencion de Intrusiones
Ej l
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
34/51
Ejemplos
Algunos IDSs basados en red
McAfee Network Security Manager
APSolute Immunity
IPS-1
Strata GuardJuniper NetScreen
SecureNet IDS/IPS
Enterasys Intrusion Prevention System
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html
Tema 4. Deteccion de InstrusosSistemas de Prevencion de Intrusiones
Ej l
http://www.mcafee.com/us/enterprise/products/network_security/network_security_manager.htmlhttp://www.radware.com/Products/ApplicationNetworkSecurity/DefensePro.aspxhttp://www.checkpoint.com/products/ips-1/http://www.stillsecure.com/strataguard/http://www.juniper.net/us/en/products-services/security/netscreen/http://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.htmlhttp://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.htmlhttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523http://www.juniper.net/us/en/products-services/security/netscreen/http://www.stillsecure.com/strataguard/http://www.checkpoint.com/products/ips-1/http://www.radware.com/Products/ApplicationNetworkSecurity/DefensePro.aspxhttp://www.mcafee.com/us/enterprise/products/network_security/network_security_manager.htmlhttp://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
35/51
Ejemplos
Magic Quadrant for Intrusion Prevention Systems
Gartner, S.A.. es un proyectode investigacion de tecnologa
de la informacion y de firmaconsultiva con sede enStamford, Connecticut,Estados Unidos. Se conocancomo el Grupo Gartner hasta
2001.a
ahttp://www.gartner.com/
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
http://www.gartner.com/http://www.gartner.com/http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
36/51
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPSIntroduccion
Instalacion y Configuracion de Snort
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
37/51
Introduccion
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPSIntroduccion
Instalacion y Configuracion de Snort
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
38/51
Introduccion
Definicion
Snort
Es un IDS / IPS liberado bajo la licencia de GPL desarrollado porla empresa Sourcefire. Uiliza tanto la deteccion basada en firmascomo anomalas.
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
39/51
Introduccion
Caractersticas
Disponible bajo licencia GPL.
Funciona bajo plataformas Windows, GNU/Linux y Mac OS.
Muestra
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
40/51
Historia
Snort fue desarrollado en 1998 bajo el nombre de APE por
Marty Roesch.Empezo a distribuirse a traves del sitiohttp://packetstormsecurity.com/
En Diciembre de 1999 se libera la version 1.5 con una nueva
arquitectura basada en plug-ins
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://packetstormsecurity.com/http://packetstormsecurity.com/http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
41/51
Arquitectura de Snort
1 Modulo de captura del trafico.
2 Decodificador.
3 Preprocesadores
4 Motor de Deteccion.
5 Archivo de Reglas.
6 Plugins de deteccion.
7 Plugins de salida.
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
42/51
Categoras de reglas Snort
1 Reglas de Protocolo: Son dependientes del protocolo que seesta analizando, por ejemplo en el protocolo httpesta la
palabra reservada uricontent.2 Reglas de Contenido Genericas: Permiten especificar
patrones para buscar en el campo de datos del paquete, lospatrones de busqueda pueden ser binarios o en modo ASCII,
esto es muy util para buscar exploits los cuales suelen terminaren cadenas de tipo /bin/sh.
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
43/51
Categoras de reglas Snort (2)
3 Reglas de Paquetes Malformados: Especificancaractersticas sobre los paquetes, concretamente sobre suscabeceras las cuales indican que se esta produciendo algun
tipo de anomala, este tipo de reglas no miran en el contenidoya que primero se comprueban las cabeceras en busca deincoherencias u otro tipo de anomala.
4 Reglas IP: Se aplican directamente sobre la capa IP, y soncomprobadas para cada datagrama IP, si el datagrama luegoes Tcp, Udp o Icmp se realizara un analisis del datagrama consu correspondiente capa de protocolo, este tipo de reglasanaliza con contenido y sin el.
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Introduccion
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
44/51
Evaluacion de reglas en Snort
A5 Deteccion de ataques en red con Snort, Joaqun Garca Alfaro, P.10
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Instalacion y Configuracion de Snort
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
45/51
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPSIntroduccion
Instalacion y Configuracion de Snort
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Instalacion y Configuracion de Snort
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
46/51
Instalacion de Snort en Kali Linux
Para realizar la instalacion de snort sobre Kali Linux ejecutar elsiguiente comando:
apt-get -y install snort
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Instalacion y Configuracion de Snort
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
47/51
Configuracion de Snort en Kali Linux
El primer paso en la configuracion de Snort, es establecer la
interfaz de red que vamos a utilizar comosensor.
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Instalacion y Configuracion de Snort
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
48/51
Configuracion de Snort en Kali Linux (2)
Indicar la direccion IP del equipo o el bloquederedaanalizar.
Tema 4. Deteccion de InstrusosSnort como IDS/IPS
Instalacion y Configuracion de Snort
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
49/51
Inicio de Snort
Para iniciar Snort en modo consola usar el comando:
snort -q -A console -i eth1 -c
/etc/snort/snort.conf
Para iniciar Snort como daemon usar el comando:
service snort startUtilizar el comando tail para monitorear los resultados entiempo real
tail -f /var/log/snort/alert.log
Tema 4. Deteccion de InstrusosConclusiones
http://find/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
50/51
Conclusiones
Un IPS protege al equipo proactivamente y un IDS lo protegereactivamente.
IDS es solo una parte de las herramientas de seguridad, nodebe considerarse como una contramedida por si solo.
Tema 4. Deteccion de InstrusosReferencias bibliograficas
http://find/http://goback/7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01
51/51
Referencias bibliograficas I
Andrew Williams.Snort Intrusion Detection and Prevention Toolkit(2007)
Carl Endorf, Eugene Schultz y Jim MellanderIntrusion Detection & Prevention (2004)
http://find/