Ethical Hacking

Intrusion Detection
Systems
Intrusion Detection Systems

IDS: Intrusion Detection System

Programa usado para detectar accesos no

autorizados a un computador o a una red.

El funcionamiento se basa en el anlisis

pormenorizado del trfico de red

l entrar al analizador es comparado con

ata!ues conocidos" o comportamientos
sospechosos" como puede ser el escaneo de
puertos" etc.
Intrusion Detection Systems

#ormalmente esta herramienta se integra con

un fire$all.

Pero no protege ni filtra" s%lo detecta.

lgunos productos de &ire$all han incluido IDS

pero se siguen llamando &ire$alls.

'os IDS suelen disponer de una base de datos

de patrones o (firmas) de ata!ues conocidos.
Intrusion Detection Systems

Dos tipos:
* #et$ork Intrusion Detection System +#IDS,
* Host-.ased Intrusion Detection System
+HIDS,
* Distributed Intrusion Detection +DIDS,
#et$ork Intrusion Detection +#IDS,

/ses (Packet Sniffers) to read and analyze

packets e0changed bet$een hosts.

'os (sensores) suelen estar localizados en los

puntos cr1ticos de la red !ue tiene !ue ser
monitorizada:
* 'a D23
* Puntos finales de la red:

'os sensores +sniffers, capturan todo el trfico de

la red y analizan el contenido de cada pa!uete en
busca de trfico malicioso
#et$ork Intrusion Detection +#IDS,

E4emplo: Snort

&unciona como un sniffer de red

Detecta la peligrosidad o no gracias a una base

de reglas 5onfiguraci%n cr1tica.

6uarda las alertas en una base de datos mys!l y

un m%dulo especial llamado snort-mys!l
#et$ork Intrusion Detection +#IDS,

Hay ms de 7888 reglas" aun!ue uno puede

escribir las suyas

&ormato de una regla

9ule header +action" protocol" address" port"

direction" address" port,

9ule options
#et$ork Intrusion Detection +#IDS,

E4emplo: alert tcp :;8.;.;.8<7= any -> ;8.;.;.8<7=

any +flags: S&? msg: (S@#-&I# Scan)?,

5abecera: alert tcp !10.1.1.0/24 any ->

10.1.1.0/24 any

Apciones: (flags: SF; msg: SYN-FN Scan!;"

#et$ork Intrusion Detection +#IDS,

Para acceder a esa base de datos se puede usar

5ID" una consola muy completa en php

Permite Bisualizar alertas y grficas

Host-.ased Intrusion Detection
System +HIDS,

En este caso" el sensor consiste normalmente en

un agente soft$are !ue monitoriza toda la
actiBidad en el host en el !ue est instalado.

.usca en las fuentes de informaci%n local del

host" como los logs del sistema.
* Sesiones de usuarios
* ctiBidades de los usuarios priBilegiados
* 5ambios en el sistema de archiBos
* ...
Host-.ased Intrusion Detection
System +HIDS,

En este caso" el sensor consiste normalmente en

un agente soft$are !ue monitoriza toda la
actiBidad en el host en el !ue est instalado.

.usca en las fuentes de informaci%n local del

host" como los logs del sistema.
* Sesiones de usuarios
* ctiBidades de los usuarios priBilegiados
* 5ambios en el sistema de archiBos
* ...
Host-.ased Intrusion Detection
System +HIDS,

/n e4emplo es ASSE5

&ree" open source host-based intrusion detection

system +IDS,.

9ealiza anlisis de logs" integrity checking"

monitorizac%n del registro de Cindo$s.

Disponible para 'inu0" Apen.SD" &ree.SD" 2ac

AS D" Solaris y Cindo$s.

http:<<$$$.ossec.net<main<about<
Intrusion Detection System

Problemas:

&alsos positiBos y falsos negatiBos

Su eficacia depende mucho de su configuraci%n

#o son fciles de implementar

Intrusion Detection System

Problemas:

&alsos positiBos y falsos negatiBos

Su eficacia depende mucho de su configuraci%n

#o son fciles de implementar