IDS’s

IDS: Sistemas de detección de Intrusos

sobre Linux

IDS
 IDS’s

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 IDS’s

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 IDS’s

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

IDS: Intrusion Detection System

¿Qué es un IDS ?

Un sistema de deteccción de intrusos es un programa (o conjunto

de programas) que monitorean, de diferentes formas según su
tipo, en busca de algún comportamiento que pueda ser indicador
de un ataque informático o malware.

kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Para que implementar un IDS?

Saber que está pasando en la red.

Reconocer daños y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recolección de pruebas periciales.

kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Para que implementar un IDS?

Saber que está pasando en la red.

Reconocer daños y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recolección de pruebas periciales.

kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Para que implementar un IDS?

Saber que está pasando en la red.

Reconocer daños y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recolección de pruebas periciales.

kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Para que implementar un IDS?

Saber que está pasando en la red.

Reconocer daños y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recolección de pruebas periciales.

kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 Introducción Qué es un IDS?
Tipos de IDS Para que implementar un IDS?
Riesgos Será necesario en mi red ?

Será necesario en mi red?

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Tipos de IDS

NIDS Network Based IDS.

HIDS Host Based IDS.
Hı́bridos Une los dos tipos anteriores.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Tipos de IDS

NIDS Network Based IDS.

HIDS Host Based IDS.
Hı́bridos Une los dos tipos anteriores.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Tipos de IDS

NIDS Network Based IDS.

HIDS Host Based IDS.
Hı́bridos Une los dos tipos anteriores.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Red

Trata de detectar actividad ’sospechosa’ monitoreando el

tráfico de la red.
Sólo pueden identificar patrones conocidos.
Analizar tráfico en tiempo real.
Modo Promiscuo.
Ubicación estratégica.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Red

Trata de detectar actividad ’sospechosa’ monitoreando el

tráfico de la red.
Sólo pueden identificar patrones conocidos.
Analizar tráfico en tiempo real.
Modo Promiscuo.
Ubicación estratégica.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Red

Trata de detectar actividad ’sospechosa’ monitoreando el

tráfico de la red.
Sólo pueden identificar patrones conocidos.
Analizar tráfico en tiempo real.
Modo Promiscuo.
Ubicación estratégica.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Red

Trata de detectar actividad ’sospechosa’ monitoreando el

tráfico de la red.
Sólo pueden identificar patrones conocidos.
Analizar tráfico en tiempo real.
Modo Promiscuo.
Ubicación estratégica.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Red

Trata de detectar actividad ’sospechosa’ monitoreando el

tráfico de la red.
Sólo pueden identificar patrones conocidos.
Analizar tráfico en tiempo real.
Modo Promiscuo.
Ubicación estratégica.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Desde donde escuchar?

Hub Escuchar todo el tráfico (modo promiscuo).

TAP Test Access Port.
SPAN Switch Port Analyzer.
Router Desde el mismo router.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Desde donde escuchar? HUB

HUB
Retransmite los paquetes que recibe desde cualquier boca a
todas las demás.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Desde donde escuchar? TAP

TAP Test Access Port

El tráfico entrante y saliente pueden ir a un mismo IDS y unir
ambas conexiones por medio de bond.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Desde donde escuchar? SPAN

SPAN Switch Port Analyzer

Puerto con el que cuentan algunos switch administrables para
el monitoreo de la red.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Analizar tráfico

Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Detección de virus (ClamAV plugin).

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Analizar tráfico

Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Detección de virus (ClamAV plugin).

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Analizar tráfico

Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Detección de virus (ClamAV plugin).

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Analizar tráfico

Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Detección de virus (ClamAV plugin).

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Analizar contenido de paquetes Pcap

Interfaz en espacio usuario para la captura de paquetes.

Usadas por programas como: Wireshark (Etherape), Nessus,
ntop, dsniff, iftop, ngrep.
Sniffer personalizados.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Analizar contenido de paquetes Pcap

Interfaz en espacio usuario para la captura de paquetes.

Usadas por programas como: Wireshark (Etherape), Nessus,
ntop, dsniff, iftop, ngrep.
Sniffer personalizados.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Analizar contenido de paquetes Pcap

Interfaz en espacio usuario para la captura de paquetes.

Usadas por programas como: Wireshark (Etherape), Nessus,
ntop, dsniff, iftop, ngrep.
Sniffer personalizados.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Wrapper

Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET

Pcap

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Wrapper

Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET

Pcap

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Wrapper

Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET

Pcap

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Wrapper

Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET

Pcap

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Wrapper

Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET

Pcap

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Wrapper

Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET

Pcap

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Honey Pots

Servidor trampa.
Cualquier actividad con él es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Honey Pots

Servidor trampa.
Cualquier actividad con él es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Honey Pots

Servidor trampa.
Cualquier actividad con él es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Honey Pots

Servidor trampa.
Cualquier actividad con él es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Host

Confirmación de ataque.
Monitor de acceso a archivos.
Creación de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Host

Confirmación de ataque.
Monitor de acceso a archivos.
Creación de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Host

Confirmación de ataque.
Monitor de acceso a archivos.
Creación de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Host

Confirmación de ataque.
Monitor de acceso a archivos.
Creación de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS basados en Host

Confirmación de ataque.
Monitor de acceso a archivos.
Creación de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Syslog

Central de anotaciones de linux

Acceso a servicios
Logeos positivos y negativos
Creación de usuarios
Creación de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Finger print

Verificación de integridad de archivos.

Modificacion.
Modificacion de fechas.
Monitoreo centralizado.

TripWire

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Finger print

Verificación de integridad de archivos.

Modificacion.
Modificacion de fechas.
Monitoreo centralizado.

TripWire

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Finger print

Verificación de integridad de archivos.

Modificacion.
Modificacion de fechas.
Monitoreo centralizado.

TripWire

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Finger print

Verificación de integridad de archivos.

Modificacion.
Modificacion de fechas.
Monitoreo centralizado.

TripWire

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Integridad del sistema

Buscan modificaciones en binarios del sistema.

BD con hash de los binarios para compararlos.
Se recomienda hacer en análisis desde otra máquina.

chkrootkit

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Integridad del sistema

Buscan modificaciones en binarios del sistema.

BD con hash de los binarios para compararlos.
Se recomienda hacer en análisis desde otra máquina.

chkrootkit

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Integridad del sistema

Buscan modificaciones en binarios del sistema.

BD con hash de los binarios para compararlos.
Se recomienda hacer en análisis desde otra máquina.

chkrootkit

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

systrace

Registro de llamadas al sistema.

Busqueda de patrones que esten fuera de los servicios de
producción.
Requiere conocer alcance de las aplicaciones.

BSD* ó parchar el kernel de Linux

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

systrace

Registro de llamadas al sistema.

Busqueda de patrones que esten fuera de los servicios de
producción.
Requiere conocer alcance de las aplicaciones.

BSD* ó parchar el kernel de Linux

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

systrace

Registro de llamadas al sistema.

Busqueda de patrones que esten fuera de los servicios de
producción.
Requiere conocer alcance de las aplicaciones.

BSD* ó parchar el kernel de Linux

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Resumen
1 Introducción
Qué es un IDS?
Para que implementar un IDS?
Será necesario en mi red ?
2 Tipos de IDS
Network Based IDS
Analizadores de tráfico
Analizar el contenido de paquetes
Honey Pots
Host Based IDS
Syslog
FingerPrint
Integridad del sistema
Systrace
Hybrid IDS
Prelude
3 Riesgos
kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS Hı́bridos

Prelude es un Framework de IDS hı́brido, un producto que integra

distintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en un
formato común.
Compatible con: Snort, honeyd, Samhain, shadow, etc.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS Hı́bridos

Prelude es un Framework de IDS hı́brido, un producto que integra

distintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en un
formato común.
Compatible con: Snort, honeyd, Samhain, shadow, etc.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS Hı́bridos

Prelude es un Framework de IDS hı́brido, un producto que integra

distintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en un
formato común.
Compatible con: Snort, honeyd, Samhain, shadow, etc.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

IDS Hı́bridos

Prelude es un Framework de IDS hı́brido, un producto que integra

distintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en un
formato común.
Compatible con: Snort, honeyd, Samhain, shadow, etc.

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Prelude

Diagrama General Prelude

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Sensores

Definición de Sensores

kope IDS
 Introducción N IDS
Tipos de IDS H IDS
Riesgos Hybrid IDS

Prelude

Prelude Distribuido

kope IDS
 Introducción
Tipos de IDS
Riesgos

Riesgos

Falsa sensación de seguridad.

Exploits zero day.
Atacante comprometa los sensores.

kope IDS
 Introducción
Tipos de IDS
Riesgos

Riesgos

Falsa sensación de seguridad.

Exploits zero day.
Atacante comprometa los sensores.

kope IDS
 Introducción
Tipos de IDS
Riesgos

Riesgos

Falsa sensación de seguridad.

Exploits zero day.
Atacante comprometa los sensores.

kope IDS
 Introducción
Tipos de IDS
Riesgos

Paranoia:
Ver la realidad a mayor resolución.

kope IDS
 Introducción
Tipos de IDS
Riesgos

Referencias:

Wikipedia
http://www.snort.org/doc
http://www.prelude-nids.org
Chaos Congress
Lista Linux UTFSM

kope IDS
 Introducción
Tipos de IDS
Riesgos

Preguntas, reclamos ?:

https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/gnucv
https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/lut

kope IDS
IDS