Sistemas IDS Linux
Transcript of Sistemas IDS Linux
IDS’s
IDS: Sistemas de deteccion de Intrusossobre Linux
IDS
IDS’s
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IDS’s
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IDS’s
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
IDS: Intrusion Detection System
¿Que es un IDS ?
Un sistema de detecccion de intrusos es un programa (o conjuntode programas) que monitorean, de diferentes formas segun su
tipo, en busca de algun comportamiento que pueda ser indicadorde un ataque informatico o malware.
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Sera necesario en mi red?
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Tipos de IDS
NIDS Network Based IDS.
HIDS Host Based IDS.
Hıbridos Une los dos tipos anteriores.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Tipos de IDS
NIDS Network Based IDS.
HIDS Host Based IDS.
Hıbridos Une los dos tipos anteriores.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Tipos de IDS
NIDS Network Based IDS.
HIDS Host Based IDS.
Hıbridos Une los dos tipos anteriores.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar?
Hub Escuchar todo el trafico (modo promiscuo).
TAP Test Access Port.
SPAN Switch Port Analyzer.
Router Desde el mismo router.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar? HUB
HUB
Retransmite los paquetes que recibe desde cualquier boca atodas las demas.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar? TAP
TAP Test Access Port
El trafico entrante y saliente pueden ir a un mismo IDS y unirambas conexiones por medio de bond.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar? SPAN
SPAN Switch Port Analyzer
Puerto con el que cuentan algunos switch administrables parael monitoreo de la red.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar contenido de paquetes Pcap
Interfaz en espacio usuario para la captura de paquetes.
Usadas por programas como: Wireshark (Etherape), Nessus,ntop, dsniff, iftop, ngrep.
Sniffer personalizados.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar contenido de paquetes Pcap
Interfaz en espacio usuario para la captura de paquetes.
Usadas por programas como: Wireshark (Etherape), Nessus,ntop, dsniff, iftop, ngrep.
Sniffer personalizados.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar contenido de paquetes Pcap
Interfaz en espacio usuario para la captura de paquetes.
Usadas por programas como: Wireshark (Etherape), Nessus,ntop, dsniff, iftop, ngrep.
Sniffer personalizados.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Integridad del sistema
Buscan modificaciones en binarios del sistema.
BD con hash de los binarios para compararlos.
Se recomienda hacer en analisis desde otra maquina.
chkrootkit
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Integridad del sistema
Buscan modificaciones en binarios del sistema.
BD con hash de los binarios para compararlos.
Se recomienda hacer en analisis desde otra maquina.
chkrootkit
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Integridad del sistema
Buscan modificaciones en binarios del sistema.
BD con hash de los binarios para compararlos.
Se recomienda hacer en analisis desde otra maquina.
chkrootkit
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
systrace
Registro de llamadas al sistema.
Busqueda de patrones que esten fuera de los servicios deproduccion.
Requiere conocer alcance de las aplicaciones.
BSD* o parchar el kernel de Linux
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
systrace
Registro de llamadas al sistema.
Busqueda de patrones que esten fuera de los servicios deproduccion.
Requiere conocer alcance de las aplicaciones.
BSD* o parchar el kernel de Linux
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
systrace
Registro de llamadas al sistema.
Busqueda de patrones que esten fuera de los servicios deproduccion.
Requiere conocer alcance de las aplicaciones.
BSD* o parchar el kernel de Linux
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Prelude
Diagrama General Prelude
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Sensores
Definicion de Sensores
kope IDS
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Prelude
Prelude Distribuido
kope IDS
IntroduccionTipos de IDS
Riesgos
Riesgos
Falsa sensacion de seguridad.
Exploits zero day.
Atacante comprometa los sensores.
kope IDS
IntroduccionTipos de IDS
Riesgos
Riesgos
Falsa sensacion de seguridad.
Exploits zero day.
Atacante comprometa los sensores.
kope IDS
IntroduccionTipos de IDS
Riesgos
Riesgos
Falsa sensacion de seguridad.
Exploits zero day.
Atacante comprometa los sensores.
kope IDS
IntroduccionTipos de IDS
Riesgos
Paranoia:Ver la realidad a mayor resolucion.
kope IDS
IntroduccionTipos de IDS
Riesgos
Referencias:
Wikipedia
http://www.snort.org/doc
http://www.prelude-nids.org
Chaos Congress
Lista Linux UTFSM
kope IDS
IntroduccionTipos de IDS
Riesgos
Preguntas, reclamos ?:
https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/gnucv
https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/lut
kope IDS
IDS