Este documento describe los sistemas de detección de intrusos (IDS) y el software de código abierto Snort IDS. Explica que un IDS monitorea la actividad en una red o sistema para detectar amenazas de seguridad no autorizadas. Luego describe los tipos de IDS (NIDS, HIDS, DIDS) y los beneficios de usar Snort, como el análisis de paquetes en tiempo real y la detección de ataques. Finalmente, resume los componentes clave de Snort como la captura de paquetes, el motor de dete
2. I D S
Es una elemento a nivel de Hardware,
Software o ambos, que nos permite
determinar actividad o accesos no
autorizados a nuestra plataforma
informatica y tomar una accion pertinente
para contrarestar el ataque por medio de
mecanismos de defensa integrados como
Firewalls o normas definidas para
respuesta inmediata dependiendo de su
complejidad y componentes.
3. TIPOS DE IDS
NIDS : Network-IDS. Capturan los paquetes que viajan por
los medios (cable, wireless) de la red, se realiza la
comparación con la reglas definidas y si corresponden a
las firmas de algun tipo de ataque se genera una alerta
del incidente y se guarda el registro en un repositorio de
información como una Base de Datos o archivo.
HIDS : Host-IDS, se instala en un equipo como un agente
son reactivos, revisan los logs del sistema y sus
actividades en busca de rastros de una actividad de
intrusión. Pueden activarse en modo promiscuo,
activando el sniffer, pasar a ser proactivos y entregar
alertas en tiempo real.
DIDS : Distribuido-IDS, conjunto de NIDS actuando como
sensores y centralizan la información de posibles
ataques, se pueden fijar reglas por segmentos de red.
4. BENEFICIOS DE UN IDS
Analisis de paquetes y Detección de Ataques
Implementación de IDS en sitios claves para puntos de
acceso criticos
Monitoreo de politicas en la Plataforma Informatica
(encriptacion, revision de aquellos programas no
autorizados, como servicios de Mensajeria, P2P, etc.)
Intentos de Intrusión en tiempo real o aposteriori
Registros de auditoria que permitan analizar el
comportamiento de un ataque
Evaluacion de recursos, firewall, appliance, proxys, etc.
El uso adecuado es la ubicación de NIDS para analizar el
trafico de Red e identificando los intentos de intrusión
(OutSide), y los HIDS detectan las acciones en las
maquinas y las consecuencias posibles en Equipos
criticos (InSide).
5. SNORT - IDS
Es una aplicación Open Source, que permite sniffar y
analizar el trafico de una red para determinar los posibles
intentos de intrusión por medio de un potente motor de
detección de ataques y barrido de puertos, alertando,
registrando y actuando contra un incidente en tiempo real
o aposteriori, almacenando sus logs en modo de archivos
de texto o un motor de Base de Datos privadas o free
como MySql y de integración total con gestores de
informes (ACID), librerias de Graficación (JpGraph OO
Graphic Library), utilidades de Bloqueo en tiempo real
(SnortSam), Servidores Web (Apache), sistemas de Log
(Swatch, SnortAlog), script (SnorSnarf, PhPlot, PigSentry,
Oinkmaster,php), etc. Excelente alternativa a productos
pagos como ISS RealSecure y Cisco IDS
6. Por que SNORT ??
Es Free
Ampliamente usado
Es configurable
Integracion con diversas herramientas, utilidades y script
Multiplataforma
Permanente actualización y soporte
Costo / Beneficio
Analisis de Trafico en Linea y logs
Usos de firmas o metodos de anomalias
Eficiente y Efectivo
Automatizado
Centraliza la administración
Visualiza los ataques a nivel de paquete
Verifica el cumplimiento de Politicas, Sistemas
Operativos y Servicios
Identifica y correlaciona las conductas inapropiadas de
sus sistemas
7. COMPONENTES DE SNORT ??
Libcap / Wincap – librería de captura de paquetes y los filtra para Snort,
actua sobre la capa 2 (enlace) del modelo OSI.
El Decoder Packet (paquete decodificador). Toma los datos enviados en la
capa 2, decodifica el frame del enlace de datos (Ethernet, TokenRing, 802.11),
seguido el protocolo IP, TCP o UDP para su posterior procesamiento.
Preprocesador. Se activan los plug-in sobre los paquetes decodificados estos
seran descartados o clasificados antes de ser enviados al motor de detección
Motor Detección. Toma la información preparada inicialmente y opera en la
capa de transporte capa y aplicación (4 y 5 del modelo OSI) comparando los
paquetes con las reglas basadas en los plug-in (contienen las firmas de
ataques).
Salida. Cuando un plug-in se activa, registra la información y logs necesarios
Snort tiene una gran variedad de plug-ins de salida, desde formatos en texto,
binarios y bases de datos