1. Sistemas de detección
de intrusos (IDS)
AySSR
Carlos Arturo Medina García
Facultad de Estadística e Informática
2. ¿Qué son?
● Los sistemas de detección de
intrusos ayudan a los sistemas de
información a prepararse y
enfrentar ataques
● Colectan información desde varios
de sistemas y fuentes de red
3. ¿Qué proveen?
● Monitoreo y análisis del usuario y
la actividad del sistema
● Auditoría en configuraciones de
sistema y vulnerabilidades
● Aseguran la integridad de archivos
● Análisis de actividades anormales
● Auditoría en sistemas operativos
5. Clasificación (2)
● Sistema de Detección de Intrusos
en la Red (NIDS): Analiza enviando
tráfico a la subred completa
● Sistemas de Detección de Intrusión
de Nodos a la Red (NNIDS): Tráfico
de la red a un host específico
● Sistemas de Detección de Intrusión
a Host (HIDS): Toma capturas de
archivos de configuración
6. IDS basados en host
● Consultan diferentes tipos de
registros de archivos (kernel,
sistema, servidores, syslog)
● Verifican la integridad de archivos y
ejecutable importantes
● Ejemplos: Tripwire, SWATCH, LIDS
7. IDS basados en la red
● Escanenan los paquetes de red a
nivel de enrutador o host y
registran paquetes sospechosos
● Asigna distintos niveles de
prioridad a los paquetes que
registra como peligrosos
● ACARM-ng, BRO, Snort
9. Tipos de alertas
● Verdadero positivo
● Falso positivo
● Falso negativo
● Verdadero negativo
* Controladas por políticas del sitio
10. SNORT
● NIDS y NIPS
● Gratuito y de código abierto, GPL
● Análisis por protocolos, realiza
búsqueda y análisis de contenido
para paquetes sospechosos
● También puede ser utilizado para
priorizar y establecer calidad del
servicio
11. SNORT(2)
● Exploraciones y ataques a la red
● OS fingerprinting
● CGIs
● Escaneo de puertos silencioso
● Tres modos
– Sniffer
– Registro de paquetes
– Detección de intrusos en red
12. Tripware
● IDS basado en host más popular
para Linux
● Tripwire inc. Abrió recientemente el
código bajo la licencia GPL
● Punto único de control y auditoría
de configuración en todos los
equipos
13. Tripware(2)
● Base de Datos de Administración
de Configuración (CMDB)
● Administración de
cambio/configuración
● Elaboración de errores y posibilidad
de dirigir herramientas de terceros
para restaurar los sistemas
14. Ejercicio
● Instalar tripware, inicializar su base
de datos, editarla y evitar que su
reporte arroje dos falsos positivos.
● Apoyarse del tutorial
https://www.digitalocean.com/commu
nity/tutorials/how-to-use-tripwire-to-
detect-server-intrusions-on-an-
ubuntu-vps