Recomendados
Más contenido relacionado
Más de 1 2d
Más de 1 2d (20)
Último
Último (20)
Ids
- 1. Sistemas IDS Introducción Un IDS es un dispositivo que busca patrones de firmas de ataques conocidos en la actividad de red o de un sistema informático. En cuanto a seguridad perimetral se refiere, los IDS de red o NIDS son los más útiles. Analizan el tráfico de red en bruto en busca de patrones de ataque a diferentes niveles de la pila de red. Además, un diseño de IDS basado en red presenta una serie de ventajas con respecto a uno basado en host: 1. Según configures la arquitectura de red, con un único sistema de análisis se puede proteger a toda la organización. No es necesario instalar un IDS en cada sistema, sino analizar el tráfico de red dirigido a ellos. 2. El análisis es en tiempo real, por lo que un atacante no puede borrar evidencias, como en IDS de host, que hacen análisis periódicos de ficheros de logs para detectar amenazas. Un NIDS tiene ciertas limitaciones con respecto a un HIDS. Por ejemplo, no pueden detectar repetidos intentos de hacerse root en un equipo, o un acceso a una shell de root. En definitiva, no están diseñados para monitorizar la actividad dentro de un host, sino para analizar el tráfico que a éste le llega o envía. Un ataque puede ser detectado por 3 motivos: • Por que determinados paquetes de tráfico de red coincida con un patrón de un ataque conocido ( GET /../../../cmd.exe) • Porque haya una actividad de red distinta de la normal en comparación con una línea base de actividad. • Por acciones repetitivas de una frecuencia anormal. Cómo se comporta un IDS ante un supuesto ataque: • Logueando la actividad. • Bloqueando el tráfico. • De forma reactiva. Cómo y donde implementar un NIDS • En un sistema dedicado ubicado en el Gateway de una organización. • En un sistema dedicado que reciba determinado tráfico redirigido por el Gateway de una organización • En un sistema conectado a los diferentes segmentos físicos de red con la posibilidad de recibir todo el tráfico de esos segmentos. Esto puede hacerse de 3 formas: • Si los segmentos físicos de red están en un hub. • Si conectamos el sistema IDS a un switch que permita el port mirroring. • Haciendo pasar el tráfico saliente de un firewall por un TAP, donde estará conectado el sistema IDS (http://www.criticaltap.com). Un TAP es un replicador de información, que desvía físicamente el tráfico saliente de un dispositivo a otro que actúa como puente transparente. Instalación y configuración de Snort • Instalar Snort compilado contra mysql:./configure --prefix=... --with-mysql --enable- dinamycplugin. IMPORTANTE: tener instaladas las libpcap y libpcap-devel, pcre, pcre- devel. • Probar que snort arranca y escanea la red: snort -evi eth0
- 2. • Descargarse el repositorio de reglas bajo suscripción (el más actualizado posible). • Instalar las reglas en el directorio de snort • Configurar snort mediante la edición del fichero snort.conf. Algunas variables de entrno fundamentales: • HOME_NET: Es la red local. Contra la que queremos analizar posibles ataques. • EXTERNAL_NET: Red desde la que nos pueden atacar. • DNS_SERVERS, SMTP_SERVERS, HTTP_SERVERS.... • RULE_PATH: Directorio donde se encuentran las reglas de escaneo. • Antes de arrancar snort, si no lo hemos configurado para almacenar las alertas en una base de datos, es necesario crear el directorio /var/log/snort, donde snort va a dejar las alertas en el fichero alerts. • Finalmente arrancar snort en modo daemon: snort -Ddc /tools/snort/etc/snort.conf