El documento detalla el uso de sistemas de detección de intrusiones (IDS) en ciberseguridad, explicando su clasificación y cómo funcionan. Se presentan diferentes tipos de IDS, así como su configuración y actualización, y se mencionan funcionalidades específicas, incluyendo ejemplos de reglas para detectar ataques. Además, se discuten técnicas de evasión y limitaciones del sistema, junto con recomendaciones de fuentes adicionales para profundizar en el tema.

3. ¡BEEP! INTRUSION DETECTED
Mauricio Trujillo (@fm_trujillo)
 Estudiante de grado en Ing. Informática
 Estudiante de CCNA R&S
 Estudiante de CCNA Security
 Coorganizador de @bitupalicante
Adrián Fernández (@adrianfa5)
 Estudiante de Diseño de Aplicaciones
Multiplataforma
 Estudiante de seguridad informática
 Coorganizador de @bitupalicante

4. How To Hack Your Company Using your
Telegram Bot
http://www.elladodelmal.com

5. How To Hack Your Company Using your
Telegram Bot

6. How To Hack Your Company Using your
Telegram Bot

7. PON UN IDS EN
TU VIDA
Intrusion Detection System

8. ¿QUÉ ES UN IDS?
Un sistema de detección de
intrusiones es un software o
hardware de detección de
accesos no autorizados a un
computador o a una red.
(https://www.wikipedia.org)

9. TIPOS DE IDS
HIDS (HostIDS):
Monitorea el tráfico entrante y
saliente de un host específico.
NIDS (NetworkIDS):
Captura todo el tráfico de la red.
CCNA Security

10. CLASIFICACIÓN DE LOS IDS
Basado en software: Programa
que se instala en una máquina
Basado en hardware: Dispositivo
físico de la red

11. ¿CÓMO DETECTA UN IDS EL TRÁFICO ILEGÍTIMO?
Una firma es un conjunto de
reglas que utiliza un IDS
para detectar actividad
maliciosa.

12. IDS MÁS CONOCIDOS

13. DISTRIBUCIÓN DEFENSIVA

14. PREPROCESADORES DE SNORT
Plugins/módulos que sirven para tratar
los paquetes que le llegan al host tras
ser decodificados, de manera que se les
de ‘forma’ antes de ser pasados al
motor de detección.

15. ACTUALIZAR REGLAS DE FORMA SENCILLA
PulledPork
OinkMaster
Es importante mantener
actualizadas nuestras reglas
IDS, para evitar nuevos ataques.

16. FRONTENDS/SIEMS
Base Snorby

17. FRONTENDS / SIEMS
Alien Vault

18. FRONTEND ARTESANAL
Uno que nos hemos hecho en PHP pero que es muy básico

19. EL BOT CHIVATO
Bot de Telegram que envía alertas

20. “El bot se ejecuta sobre el sistema a
‘proteger’ junto al IDS y cuando este
último detecta una nueva alerta, el bot
se encarga de gestionarla y notificar al
administrador

21. STACK
+ +

22. TRIGGER

23. SCRIPT DE ALERTA

24. INSTALACIÓN - AutoSnort
◆Snort
◆Barnyard2
◆MySQL

25. SEGURIDAD
◆Crear usuario en el sistema, snort:snort sin
privilegios.
◆Crear usuario snort en MySQL con los privilegios
mínimos
◆En el bot sanitizar los parámetros que se reciben
◆Permitir la ejecución de los comandos sólo a los
administradores

26. FUNCIONALIDADES

27. DEMO TIME

28. PoC #1 – PING (ICMP)
Regla básica que detecta paquetes ICMP
entrantes

29. PoC #2 – XSS
Regla básica que detecta ataques de XSS

30. PoC #3 – XSS (regex)
Regla básica con regex para detectar
ataques XSS

31. PoC #4 – SQLi
Regla básica que detecta inyecciones de
SQL

32. Regla básica que detecta inyecciones de
SQL, con regex
PoC #5 – SQLi (regex)

33. Regla que detecta una petición http
establecida por un ‘downloader ‘ con un
user agent y un fichero determinado
PoC #6 – 0day

34. Regla básica que detecta un DoS
comprobando la cantidad de paquetes
por segundo
PoC #7 – DoS

35. REGLAS PARA DETECTAR DIFERENTES TIPOS DE FICHERO

36. REGLAS PARA DETECTAR DIFERENTES TIPOS DE FICHERO

37. REGLAS PARA DETECTAR WANNACRY
Este no nos apetece probarlo xdd

38. IP BLACKLIST Y NODOS DE SALIDA TOR

39. IDS EVASION
Tipo de ataque que mediante
diversas técnicas trata de
prevenir que un IDS detecte
una actividad maliciosa en el
sistema.

40. IDS EVASION
Evasión de IDS básica

41. IDS EVASION
Evasión de IDS más avanzada

42. EVITAR IDS EVASION (preprocesador)
frag3 es un preprocesador basado en la
desfragmentación de paquetes en la IP de
destino que sirve para detectar técnicas de IDS
evasion

43. LIMITACIONES
◆ Con muchas alertas el bot no pararía de
notificar y puede ser molesto.
◆ Los recursos son limitados

44. FUENTES RECOMENDADAS
Blogs recomendados:
◆ Blog de Kinomakino
http://kinomakino.blogspot.com.es/
◆ Blog de Alfon
https://seguridadyredes.wordpress.com/

45. ¡Gracias!
¿Preguntas?
Síguenos en:
alert tcp ‘@adrianfa_5’ & ‘@fm_trujillo’