Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!

ctica

Los IDS y los IPS: Una com aracin r!ctica

Crdoba 5onat/an, Laverde ,icardo, Ortiz Die.o, Puentes Diana. ?(cordoba ,n>laverd ,d>ortiz, d> uente@Auniandes.edu.co

Resumen"#ste art$culo resenta una introduccin a los Sistemas de Deteccin y Prevencin de Intrusos %IDS e IPS res ectivamente& mostrando rinci ales caracter$sticas, clasi'icacin y di'erencias. Para contrastar ambos sistemas se realiza un e(ercicio r!ctico )ue muestra y analiza di'erencias de com ortamiento ante el mismo est$mulo %ata)ue&. ndice de Trminos IDS, IPS, Deteccin de Intrusos, Prevencin de Intrusos, Snort. I.I*+,ODUCCI-*. Debido al car!cter interde endiente entre la in'ormacin y la tecnolo.$a en las or.anizaciones actuales y la criticidad de la 'idelidad, inte.ridad, dis onibilidad y con'idencialidad de la in'ormacin, /an sur.ido y evolucionado t0cnicas )ue ermiten acceder a dic/a in'ormacin de manera ile.$tima or medio de la e1 lotacin de vulnerabilidades o debilidades de las lata'ormas tecnol.icas. #n res uesta a lo anterior nacieron y se /an desarrollado ar)uitecturas, t0cnicas y sistemas %en articular los IDS y los IPS& en os de detectar y revenir el acceso indebido a la in'ormacin or.anizacional, ase.urando de este modo los atributos de la in'ormacin reci0n mencionados. 2istricamente los IDS sur.en antes )ue los IPS, con la 'uncin rinci al de detectar situaciones anmalas y usos indebidos de los recursos y servicios de la in'raestructura tecnol.ica. Como consecuencia de la di'icultad ara reaccionar o ortunamente a las alertas de intrusin .eneradas
3 #ste documento 'ue realizado en el conte1to del curso Introduccin a la In'orm!tica 4orense, ba(o la su ervisin del Pro'esor 5eimy 5. Cano, P/.D 4C#.

or los IDS, nacen los IPS )ue se encar.an de reaccionar roactivamente a las intrusiones detectadas or el IDS tan ronto se identi'ican. Con el 'in de caracterizar las di'erencias entre los IDS y los IPS, este art$culo los com ara desde una ers ectiva terica y r!ctica en un ambiente controlado de ruebas. II. IDS: SIS+#6AS D# D#+#CCI-* D# I*+,USOS %INTRUSION DETECTION SYSTEMS&. Definicin.

A.

La deteccin de intrusos consiste en un con(unto de m0todos y t0cnicas ara revelar actividad sos ec/osa sobre un recurso o con(unto de recursos com utacionales. #s decir, eventos )ue su.ieran com ortamientos anmalos, incorrectos o ina ro iados sobre un sistema 789: entendido como el ente )ue est! siendo monitoreado %v..r. #stacin de traba(o, dis ositivos de red, servidores, firew !!s, etc.&. ". Descri#cin.

Un IDS uede ser descrito como un detector )ue rocesa la in'ormacin roveniente del sistema monitoreado. #s una /erramienta de a oyo en rocesos de auditoria, entendida como el control del 'uncionamiento de un sistema a trav0s del an!lisis de su com ortamiento interno 7;<9 como se ilustra en la 4i.ura 8. Para detectar intrusiones en un sistema, los IDS utilizan tres ti os de in'ormacin: la reco ilada tiem o atr!s )ue tiene datos de ata)ues revios, la con'i.uracin actual del sistema y 'inalmente la descri cin del estado actual en t0rminos de comunicacin y rocesos. 7;<9

Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica Figura 1
U* SIS+#6A D# D#+#CCI-* D# I*+,USOS SI6PLI4ICADO . 7;<9

<

)ue tiene el IDS ara comunicarse y o erar con otros IDS& y la 'acilidad de uso %el nivel de claridad )ue o'rece el IDS a los usuarios ara su administracin y an!lisis de alarmas&. Adicionalmente e1isten los si.uientes indicadores estad$sticos )ue ermiten cuanti'icar la bondad del IDS como se muestra en la 4i.ura <.
Figura 2
CUA*+I4ICACI-* #S+ADGS+ICA D# LOS IDS. 78=9

*ota: #l calibre de la 'lec/a re resenta la cantidad de in'ormacin )ue 'luye desde un com onente /asta el otro

C.

Cri$erios de e% !u cin de !os IDS.

#1isten varios criterios ara de'inir la bondad de un IDS. Se.Bn 7;C9 /ay tres criterios ara evaluar este ti o de sistemas: la recisin, el rendimiento y la com letitud. La #recisin tiene )ue ver con la e'ectividad de la deteccin y la ausencia de 'alsas alarmas. Por otra arte, el rendimien$o de un IDS es la tasa de eventos rocesados or unidad de tiem o, siendo lo ideal )ue el IDS reconozca los ata)ues en tiem o real. 4inalmente, la com#!e$i$ud es la ca acidad del IDS ara detectar la mayor cantidad de ata)ues osibles. A arte de los anteriores, 7;<9 menciona otros dos criterios: tolerancia a 'allas y ra idez. #l IDS es $o!er n$e f !! s si es inmune a ata)ues )ue com rometan la 'iabilidad e inte.ridad de los an!lisis y es r! ido si tiene la ca acidad de in'ormar en el menor tiem o osible una intrusin, lo cual im lica realizar todas las actividades de an!lisis recedentes en tiem o real. Por su arte, A1elsson en 7;D9 reconoce como criterios de bondad la intero erabilidad %ca acidad
Introduccin a la In'orm!tica 4orense. <;;=>I

+ales indicadores %sensibilidad, es eci'icidad y recisin& se basan en los si.uientes conce tos: Eerdaderos ositivos %+P&: Intrusin e1istente y correctamente detectada. 4alsos ositivos %4P&: Intrusin no e1istente e incorrectamente detectada. 4alsos ne.ativos %4*&: Intrusin e1istente y no detectada. Eerdaderos ne.ativos %+*&: e1istente y no detectada. Intrusin no

A artir de los anteriores conce tos, los indicadores se de'inen como: Sensi&i!id dF'(T)*'(T)+(,N--, 6ide la e'ectividad de las detecciones cuando e1iste al.una intrusin

Es#ecificid d.'(TN*'(TN+(,)-6ide la e'ectividad de las detecciones cuando no e1iste intrusin

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

)recisin.'(T)+(TN-*' (T)+(TN+(,)+(,N6ide la e'ectividad de las detecciones cuando e1iste o no e1iste intrusin. T /onom0

)ue de'inen la normalidad en el com ortamiento del sistema. An !is$ s es$ d0s$icos: ,ecolectan in'ormacin estad$stica descri tiva a artir de la cual crean vectores de distancia entre el com ortamiento normal y anormal.

D.

La clasi'icacin de los IDS uede .uiarse la metodolo.$a em leada %'irmas o anomal$as& or las caracter$sticas in/erentes al sistema, como se detalla a continuacin.
1C! sific cin #or ! me$odo!o20 fi2ur 3- 456784597. Figura 3
CLASI4ICACI-* D# P,I*CIPIOS D# D#+#CCI-*. 7;C9

em#!e d '%er

Por otro lado, en los Sis$em s de de$eccin #ro2r m d no es el sistema el )ue a rende sino )ue e1iste un ente e1terno )ue ro.rama lo )ue es considerado anormal. #1isten dos re resentantes de este ti o de sistemas 7;D9: An !is$ s es$ d0s$icos: Construyen er'iles estad$sticos de com ortamiento de las anormalidades, a artir de ar!metros obtenidos del e(ercicio estad$stico. Dene2 cin #or defec$o: Se 'i(an e1 l$citamente las circunstancias en las cuales el sistema o era en 'orma normal o ace table, identi'icando como situacin anormal las desviaciones a tales circunstancias.

#n Bltimo lu.ar se tiene la De$eccin #or ,irm %de$eccin #or re2! & )ue se basa en la asociacin de la actividad en el sistema con un atrn reviamente de'inido en 'orma de re.las 7;D9. #n rimer lu.ar se tiene la De$eccin de Anom !0 s )ue consiste en analizar la in'ormacin del sistema monitoreado en busca de cual)uier anormalidad, es decir una seHal caracter$stica de ata)ue. Para determinar la normalidad o anormalidad en el com ortamiento en un sistema %'ase de entrenamiento&, e1isten dos a ro1imaciones: los Sistemas de autoa rendiza(e y los Sistemas de deteccin ro.ramada. Los Sis$em s de u$o #rendi: ;e 'uncionan .enerando modelos de lo )ue se constituye normal a artir de la de la observacin del com ortamiento del sistema or lar.os er$odos de tiem o. Istos a su vez se dividen en 7;D9: Mode! dores de re2! s: Auto>.eneran re.las Los sistemas basados en deteccin de anomal$as se caracterizan or su buen desem eHo a la /ora de detectar nuevos ti os de intrusiones, ya )ue 0stas usualmente di'ieren de los atrones normales de com ortamiento del sistema. Sin embar.o estos sistemas resentan di'icultades ara ada tarse a nuevos com ortamientos normales, ya )ue la Bnica 'orma de /acerlo es reiniciando el IDS en 'ase de entrenamiento. Adicionalmente, vale la ena notar )ue la 'ase de entrenamiento debe cubrir la totalidad de los eventos ace tables osibles en el sistema, de tal manera )ue se reconozcan como normales y consecuentemente se reduzca la cantidad de 'alsos ositivos. #s im ortante tener en cuenta )ue el

Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

costo en tiem o y recursos de esta 'ase es alto e1ce to en el caso de la dene2 cin #or defec$o. Por otro lado, los sistemas basados en re.las se caracterizan or su 'acilidad de ada tacin al entorno cambiante ya )ue basta de'inir la re.la escribi0ndola u obteni0ndola de un tercero. #m ero, los sistemas basados en re.las son otencialmente vulnerables a ser com rometidos or medio del uso de nuevas t!cticas, ara las cuales no se /an de'inido las re.las corres ondientes o todav$a no es osible crear la re.la debido al desconocimiento del 'uncionamiento del ata)ue.
<C! sific cin #or c r c$er0s$ic s in$r0nsec s de! sis$em '%er fi2ur 6- 45<7 = 4597.

> di%isin #or u&ic cin de ! fuen$e udi$ d discrimina el ti o de in'ormacin )ue es analizada y el unto '$sico en el )ue se realiza la auditoria de datos. #1isten cuatro ti os de IDS se.Bn esta clasi'icacin 7;<9: Los IDS basados en el ?os$ %HIDS& solo rocesan in'ormacin de las actividades de los usuarios y servicios en una m!)uina determinada, or e(em lo la creacin de arc/ivos, los llamados al sistema o erativo y los llamados a las inter'aces de red. Los IDS basados en la red (NIDS) /acen sniffin2 sobre al.Bn unto de la red y analizan el tr!'ico ca turado en busca de intrusiones. #n caso )ue el *IDS se encuentre distribuido %DIDS& dis oniendo de varios untos de recoleccin y an!lisis de datos %sensores& usualmente se consolida un banco de datos centralizado )ue contiene la in'ormacin rocesada or los di'erentes sensores. 4inalmente, los IDS basados en lo.s rocesan los arc/ivos de lo. en bBs)ueda de in'ormacin relacionada con eventos de intrusin, este ti o de deteccin se caracteriza or su com letitud y recisin. Para terminar, la divisin or aradi.ma de deteccin se re'iere al mecanismo de deteccin de intrusos 7;<9: Los basados en estado reconocen situaciones eli.rosas, cuando estas ya /an ocurrido, mientras )ue los basados en transiciones est!n en ca acidad de reconocer actividades sos ec/osas )ue son otencialmente arte de una intrusin. E. Snor$

Figura 4
CLASI4ICACI-* PO, CA,AC+#,IS+ICAS I*+,I*S#CAS. 7;<9

#1isten tres ar!metros de clasi'icacin a artir de las caracter$sticas intr$nsecas del sistema: m0todo de deteccin, ubicacin de la 'uente auditada, y aradi.ma de deteccin. > di%isin #or m$odo de de$eccin se basa en las caracter$sticas de 'uncionamiento del IDS. Las " s d s en Com#or$ mien$o com aran contra com ortamientos normales: mientras )ue las " s d s en Conocimien$o crean atrones )ue identi'ican los ata)ues e intrusiones.
Introduccin a la In'orm!tica 4orense. <;;=>I

Snort es uno de los *IDS basados en 'irmas m!s o ulares. Inicialmente 'ue desarrollado or 6artin ,oesc/ )uien los bautiz basado en su rol como Jsni''er and moreK 7;L9. Actualmente Snort es

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

so'tMare de cdi.o abierto or Source4ire 78N9. IPS: SIS+#6AS D# P,#E#*CI-* D# I*+,USOS %I*+,USIO* )RE@ENTION SYSTEMS& A. I)S. Definicin A c r c$er0s$ic s 2ener !es de !os III.

cuenta de un robo en un banco y limitarse a noti'icarle a la olic$a 7889. Por su arte, una vez el IPS detecta la intrusin la detiene de al.Bn modo. #n el caso de la analo.$a del robo, el IPS re resenta un .uardia armado )ue reacciona de 'orma instintiva al ata)ue. Eale la ena mencionar )ue el nivel de alertas de un IPS es considerablemente menor )ue el nivel de alertas roducido or un IDS, uesto )ue el IPS se encar.a de mane(ar la situacin y slo .enera alertas si se le con'i.ura e1 l$citamente ara tal 'in o en caso )ue la criticidad de los eventos y circunstancias lo amerite. #s im ortante tener en cuenta )ue entre los IDS y los IPS /ay una cate.or$a es ecial de IDS )ue se denominan IDS con res#ues$ c$i% , )ue cum len la 'uncin de detener las intrusiones descartando los a)uetes relacionados con el ata)ue. Se.Bn 7;L9, la di'erencia rinci al entre los IDS con res uesta activa y los IPS es )ue estos Bltimos est!n en ca acidad de inutilizar los a)uetes involucrados en el ata)ue modi'icando su contenido, ero tal distincin arece no estar muy di'undida y la mayor$a de la biblio.ra'$a catalo.a los IDS con res uesta activa como un ti o articular de IPS. La ro iedad in/erente a los IPS de reaccionar autom!ticamente a las intrusiones %o lo )ue ellos determinan como tales& ciertamente disminuye si.ni'icativamente el tiem o de reaccin al ata)ue, ero tambi0n uede desencadenar eventos ines erados e inconvenientes cuando se reacciona ante un 'also ositivo %4P&. Lo anterior indica )ue es indis ensable la disminucin de este ti o de caracterizaciones ara )ue el IPS sea m!s reciso. 7;L9 Las consecuencias de la intervencin ino ortuna e ines erada del IPS en caso de un 'also ositivo ueden ir desde la ne.acin del servicio a los clientes /asta el aislamiento total de la m!)uina. #n 7;L9, se comenta el caso de un IPS )ue

Los IPS son dis ositivos de /ardMare o so'tMare encar.ados de revisar el tr!'ico de red con el ro sito de detectar y res onder a osibles ata)ues o intrusiones. La res uesta usualmente consiste en descartar los a)uetes involucrados en el ata)ue o modi'icarlos %scru&&in2& de tal manera )ue se anule su ro sito. #s claro )ue este com ortamiento los clasi'ica como dis ositivos roactivos debido a su reaccin autom!tica a situaciones anmalas 7;L9. De al.una manera el com ortamiento de los IPS seme(a el com ortamiento de los 'ireMall ya )ue ambos toman decisiones con res ecto a la ace tacin de un a)uete en un sistema. Sin embar.o, la di'erencia radica en el /ec/o )ue los firew !! basan sus decisiones en los encabezados del a)uete entrante, en articular los de las ca as de red y de trans orte, mientras )ue los IPS basan sus decisiones tanto en los encabezados como en el contenido de datos %# A!o d& del a)uete 7889. ". >os I)S como e%o!ucin de !os IDS.

Para varios autores los sistemas de revencin de intrusos son la evolucin de los sistemas de deteccin de intrusos 7;L9>7889>7;O9, articularmente, se clama )ue los rimeros o'recen un mane(o m!s e'ectivo de las intrusiones al tiem o )ue su eran las di'icultades in/erentes de los IDS, en articular, la ermisividad de los IDS ante las intrusiones. #l IDS se limita a detectar y noti'icar la intrusin a la ersona encar.ada de recibir y res onder las alertas % or e(em lo: el administrador de la red o el o erador del IDS& )uien debe tomar la accin correctiva ertinente, lo )ue es an!lo.o a darse
Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

errneamente determin )ue el servidor D*S de la em resa estaba /aciendo un scan de uertos de la red y tom la decisin de blo)uear todo acceso a 0ste, roduciendo un cola so en los a licativos de red en la or.anizacin. Por otro lado, las ar)uitecturas actuales ara los IPS centralizan su 'uncionamiento en un solo unto lo )ue 'acilita su o eracin y administracin, sin embar.o, la centralizacin disminuye la escalabilidad del sistema y convierte al IPS en un unto cr$tico, cuyo mal 'uncionamiento im acta ne.ativamente a nivel de uso y de desem eHo en la red sobre la )ue o era. 7;L9>78;9 4inalmente, es im ortante notar )ue los IPS no son la Jbala de lataK )ue /ace desa arecer los roblemas de se.uridad, ni soluciona las 'alencias de los IDS, or e(em lo, los IPS no est!n en ca acidad de detectar y muc/o menos detener intrusiones sobre comunicaciones ci'radas o detener intrusiones )ue ni si)uiera son ca aces de detectar. De lo anterior se deduce )ue los IPS son un elemento en la ar)uitectura de se.uridad y no se les uede considerar como una ar)uitectura #er se. #s or esto )ue se recomienda ado tar un es)uema de se.uridad or ca as o una estrate.ia de J defense in de#$?K 7889, cuya discusin sobre asa los l$mites de este escrito. C. 4157 > e%o!ucin A ! s c $e2or0 s de !os I)S.

se.unda .eneracin&. 7889 Por otro lado, es osible distin.uir cinco cate.or$as de IPS de endiendo de su 'uncionamiento, sus ca acidades y su ubicacin en la ar)uitectura de la red, tales cate.or$as se describen a continuacin 78;9:
1>os I)S in!ine. Figura 5
LOS IPS I*LI*# . 78;9

#ste ti o de IPS usualmente se des lie.a en al.Bn unto de la red como un &rid2e de nivel dos de tal manera )ue media entre los sistemas )ue rote.e y el resto de la red, como se muestra en la 4i.ura =. #n adicin a la 'uncionalidad t$ ica de un &rid2e, el IPS inline revisa todos los a)uetes en busca de la 'irma )ue de'ine al.uno de los ata)ues )ue est! con'i.urado ara identi'icar. #n caso )ue el a)uete este Jlim ioK, el IPS le ermite el aso %como un &rid2e normal&, en caso contrario lo descarta re.istr!ndolo en un lo.. #l IPS inline uede incluso ermitir el aso de un a)uete sos ec/oso modi'icando su contenido, de tal manera )ue el ro sito del ata)ue se 'rustre sin )ue el atacante se a )ue sus a)uetes est!n siendo modi'icados. #1isten im lementaciones de los IPS in!ine m!s elaboradas )ue ueden lle.ar a realizar consultas D*S reversas y $r cerou$es sobre la identidad del atacante, consi.nando los resultados obtenidos en un lo. de tal manera )ue se obten.a autom!ticamente in'ormacin adicional sobre el

#s osible distin.uir dos .eneraciones /istricas de los IPS: los rimeros, al detectar un ata)ue roveniente de una direccin IP determinada, descartaban todos los a)uetes rovenientes de dic/a direccin >estuvieran o no relacionados con el ata)ue> %IPS de rimera .eneracin&. Posteriormente se re'in la anterior estrate.ia de tal manera )ue el IPS descartara Bnicamente los a)uetes relacionados con el ata)ue identi'icado, ermitiendo el tr!'ico de otros a)uetes rovenientes de la IP del atacante siem re y cuando no estuvieran relacionados con el ata)ue %IPS de
Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

autor del ata)ue. 7;L9 #s im ortante tener en cuenta )ue los IPS inline son una evolucin de los *IDS, en articular, de los *IDS basados en re.las %'irmas&. Debido a lo anterior, los IPS inline /eredan las mismas limitaciones de 0stos, mencionadas en la rimera arte de este art$culo.
<Swi$c?es de ni%e! de A#!ic cin.41<7 Figura 6
LOS SRI+C2#S D# *IE#L D# APLICACI-*. 78;9

'orma recisa a lo )ue se es era del IPS, ya )ue revisa el contenido de datos del a)uete y es osible con'i.urarlo ara )ue lo analice y descarte de 'orma e'iciente en caso )ue su contenido concuerde con al.una 'irma reestablecida en el IPS. Debido a lo anterior los sMitc/es de a licacin son los m!s e'ectivos %aun)ue usualmente costosos& a la /ora de revenir intrusiones, articularmente de ne.acin del servicio.
3,irew !!s de #!ic cin * IDS. Figura 7
LOS 4I,#RALL D# APLICACI-* Q IDS. 78;9

Pltimamente /a aumentado la tendencia a utilizar sMitc/es en la ca a de a licacin, )ue 'uncionan de 'orma inde endiente a otros dis ositivos de red y en su ro io /ardMare o timizado ara mane(ar .randes volBmenes de tr!'ico %entre uno y varios Bi2 &i$s&. La tarea rinci al de los swi$c?es de nivel siete %tambi0n conocidos como swi$c?es de contenido& es balancear las car.as de las a licaciones distribuidas entre varios servidores, tomando decisiones de enrutamiento o conmutacin a artir del # A!o d de in'ormacin de nivel siete como se ve en la 4i.ura N. #l modus o#er ndi reci0n descrito se ada ta de
Introduccin a la In'orm!tica 4orense. <;;=>I

A di'erencia de los en'o)ues recedentes, los firew !! de a licacinQIDS no 'uncionan al nivel de a)uete. Istos se instalan en cada /ost )ue se desea rote.er ada t!ndose $ntimamente con las a licaciones )ue corren en el ?os$ )ue rote.en. Para lo.rar lo anterior es necesario )ue antes de comenzar la 'ase de roteccin se e(ecuten en modalidad de en$ren mien$o de 'orma an!lo.o a los 2IDS mencionados en la se.unda seccin del

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

resente art$culo. La modalidad de entrenamiento consiste en el roceso de identi'icacin de atrones de com ortamiento normales en el ?os$. #n articular se crea un er'il de relaciones 'recuentes entre las a licaciones y varios com onentes del sistema como: el sistema o erativo, otras a licaciones, la memoria y los usuarios. +ales relaciones se ilustran en la 4i.ura L. Una vez se /an establecido los atrones de com ortamiento normal, el IPS se com orta de 'orma similar a los IDS basados en deteccin de anomal$as a la /ora de detectar las intrusiones. Lo anterior /ace de esta cate.or$a de IPS los m!s e'ectivos a la /ora de detectar y revenir vulnerabilidades .eneradas or errores en la ro.ramacin de las a licaciones, adem!s, debido a )ue se a oyan en la deteccin de com ortamientos anmalos y no en la coincidencia de 'irmas, es osible revenir intrusiones muy recientes ara las cuales todav$a no e1iste la de'inicin de sus 'irmas es ec$'icas 7;T9. Por su arte, la desventa(a rinci al de este ti o de IPS Ual i.ual )ue los IDS basados en deteccin de anomal$as> es )ue la 'ase de entrenamiento debe com render absolutamente todos los com ortamientos v!lidos, a 'in )ue nin.Bn com ortamiento normal no a rendido se catalo.ue como anormal. Lo anterior uede traer .raves consecuencias como se discuti al 'inal del literal S de 0sta seccin.
6Swi$c?es ?0&ridos.

La 'ortaleza de esta a ro1imacin radica en el conocimiento detallado del tr!'ico )ue debe ace tar y or consi.uiente el )ue debe rec/azar una a licacin o un /ost determinado.
CA#!ic ciones en2 Dos s 'dece#$i%e-. Figura 8
LOS SRI+C2#S 2GS,IDOS. 78;9

Al i.ual )ue los firew !! de a licacin Q IDS, las a licaciones en.aHosas a renden el com ortamiento de los servicios o'recidos or cada uno de los /ost )ue rote.e. Una vez se detecta al.Bn ti o de com ortamiento sos ec/oso sobre un servicioQ/ost e1istente o no, el IPS su lanta al servicio en caso )ue e1ista o lo simula en caso contrario, res ondiendo al atacante y marc!ndolo de tal 'orma )ue sea osible identi'icarlo y blo)uearlo osteriormente. IE. U*A CO6PA,ACI-* P,VC+ICA #*+,# U* IDS W U* IPS.

Los SMitc/es /$bridos son una combinacin entre los firew !! de a licacin QIDS y los Swi$c?es de nivel de a licacin. Al i.ual )u0 estos Bltimos, 'uncionan sobre dis ositivos de /ardMare dedicados y o timizados ara la ins eccin y mane(o de a)uetes, ero a di'erencia de 0stos se basan en ol$ticas de ace tacin de tr!'ico %com ortamiento& v!lido de manera similar a los 'ireMall de a licacinQIDS, como se a recia en la 4i.ura O.

Con el 'in de ilustrar las di'erencias a nivel r!ctico entre los IDS y los IPS, se llev a cabo un e1 erimento con el 'in de evaluar el im acto en el com ortamiento y desem eHo en una red de tres m!)uinas ante la resencia de un IDS o de un IPS.

Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

o erativo )ue las m!)uinas S y A.

A. Confi2ur cin de! e/#erimen$oE > red. ',i2ur F-.

Figura 9
DIA\,A6A D# LA ,#D PA,A #L #XP#,I6#*+O.

La m!)uina S Bnicamente ten$a abiertos los uertos +CP <<, O; y DDC %los dos Bltimos sobre los )ue corr$a el servidor 2++P A ac/e <.;.=< 78O9&. ". Confi2ur cin de! e/#erimen$oE E! sof$w re.

Como IDS, se utiliz Snort <.C.; 78N9 el cual 'ue brevemente comentado al 'inal de la se.unda seccin del resente art$culo. Snort es un *IDS basado en deteccin de 'irmas relativamente liviano y altamente con'i.urable. Su instalacin no es com le(a re)uiriendo Bnicamente la instalacin revia de la librer$a de ca tura de a)uetes Lib ca 78T9 y la librer$a de e1 resiones re.ulares PC,# 7<;9. 78N9 y el ca $tulo C de 7;L9 son 'uentes claras y com letas en lo re'erente al roceso de instalacin de Snort. La con'i.uracin de Snort esta concentrada rinci almente en el arc/ivo snort.con', ubicado usualmente en la car eta etc del sistema o de la instalacin. #n este arc/ivo se de'inen todas las variables corres ondientes a la red sobre la )ue o era el IDS y se re'erencian todos los arc/ivos de re.las ara el motor de deteccin %uno de los com onentes ar)uitectnicos de Snort ara la deteccin de intrusiones 7;N9>7;L9&. #n articular, en snort.con', se de'inen las variables Z#X+#,*AL[*#+ %direcciones de las redes e1ternas&, Z2O6#[*#+ %direccin CID, de la intranet&, Z2++P[S#,E#,S %direcciones de los Servidores Reb en la intranet&, entre otras. Para una descri cin detallada de este arc/ivo de con'i.uracin, es osible consultarlo ya )ue se encuentra cuidadosamente documentado, o en su de'ecto, remitirse a 7L9>7<89. Por su lado, como IPS se utiliz Snort[inline <.C.; ,C8 7<89, un IPS inline cuya instalacin 'ue m!s com licada )ue la del IDS. #s reciso tener en cuenta )ue en su rinci io

Desde la m!)uina de monitoreo %6& se estableci una sesin SS2 7<O9 con la m!)uina v$ctima %E& a 'in de veri'icar la accesibilidad de esta Bltima y monitorear su estado. La m!)uina '$sica 6 simult!neamente e(ecutaba Linu1 4edora Core C 7<T9 sobre una m!)uina virtual E6Rare 78L9 con el Bnico ro sito de atacar la m!)uina E. La m!)uina &rid2e, ara la rimera arte del e1 erimento 'uncionaba como IDS: analizando y reenviando %&rid2in2& el tr!'ico entre la m!)uina de monitoreoQata)ue %6A& y la m!)uina v$ctima. #n el caso de la se.unda arte del e1 erimento, la misma m!)uina 'uncionaba como IPS, es decir, no reenviaba el tr!'ico entre las m!)uinas 6A y E, sino )ue de endiendo del an!lisis del tr!'ico, lo reenviaba o rec/azaba. S era una m!)uina con rocesador Pentium II A CCC 62z., memoria ,A6 de 8T< 6S y sistema o erativo Linu1 >4edora Core C> instalado or de'ecto. 4inalmente, E era un com utador ort!til con rocesador A6D 6obile At/lon XP <N;;Y, =8< 6S de memoria ,A6 y el mismo sistema
Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

8;

Snort[inline 'ue un desarrollo inde endiente de Snort, )ue se bas en este Bltimo ara rocesar el tr!'ico de red. 78N9>7<89 Desde su versin <.C.; Snort incor or la 'uncionalidad in!ine como arte inte.ral del royecto. Para activar el modo IPS basta usar el modi'icador --enable-inline a la /ora de con'i.urar el scri#$ de instalacin antes de com ilar el cdi.o 'uente de la a licacin 7<89. Adicionalmente, Snort[inline >a di'erencia de Snort> debe o erar en modo &rid2e, lo )ue re)uiere activar esta 'uncionalidad antes de oder e(ecutar el IPS. La mayor$a de las 'uentes consultadas recomiendan el uso del ro.rama Srid.e, dis onible en 7<<9 ara con'i.urar el &rid2in2 anteriormente descrito. Por otro lado, Snort[inline no toma los a)uetes directamente de la *IC %Ne$worG In$erf ce C rd& or medio de Lib ca 78T9 como lo /ace Snort, sino de la cola de salida del firew !! de Linu1 %IP+ables 7<C9&. Por esto es necesario con'i.urar IP+ables de tal manera )ue en'ile los a)uetes entrantes en la susodic/a cola ara )ue uedan ser rocesados or Snort[inline. 4inalmente, el Gerne! de Linu1 no ermite e(ecutar simult!neamente IP+ables y Srid.e, or lo )ue es necesario arc/arlo con #btables 7<=9 )ue es una /erramienta de 'iltrado ara firew !!s en modo &rid2e. C. E! e/#erimen$oE DoS ser%icio- so&re A# c?e <.5.C<. 'Ne2 cin de!

y 7<L9, y la rueba de conce to de 7<L9, cuyo cdi.o est! escrito en C y utiliza varios /ilos ara aumentar la cantidad de tr!'ico enviado a la v$ctima.
1De$eccin de! $ Hue con e! IDS.

A artir de la descri cin del ata)ue resentada anteriormente, se com uso la si.uiente re.la con el 'in de detectarlo en el IDS:
alert tcp $EXTER !"# ET an$ -% $HTTP#&ER'ER& $HTTP#P(RT& )pcre*+/\x,0-.000//+01s2*+.000 espacios conti23os 4etecta4os+05

Ista re.la tiene como 'uncin alertar sobre cual)uier data.rama IP, )ue roven.a de cual)uier direccin IP, /acia cual)uiera de los servidores 2++P %en el caso del e1 erimento la direccin IP de E: 8T<.8NO.;.8;=&, sobre los uertos 2++P de'inidos en la variable Z2++P[PO,+S en snort.con' %O; y DDC&. #l ayload de datos debe contener N;;; es acios se.uidos ara )ue se cum la la re.la y se alerte sobre la osible intrusin. Una vez se escribi la re.la y se e(ecut el IDS en S, se inici el ata)ue desde A, monitoreando desde 6 el estado de E, en articular, su uso de memoria ,A6. #ntre ;CQ8N>;;:=8:;<.N;T<NN y ;CQ8N> ;8:;<:=C.OCNOTL se e(ecut el ata)ue con los si.uientes resultados: #l IDS se e(ecut de tal manera )ue almacen un re.istro detallado de los a)uetes ca turados, encontr!ndose )ue la v$ctima recibi 8;8DNC eticiones 2++P mal 'ormadas en el la so de tiem o en el )ue se e(ecut el ata)ue. La ca tura de una eticin se muestra a continuacin:
6767676767676767676767676767676767676767676767676767 08/1.-00*91*0,..1189: 1;,.1.8.0.1,9*8,<<1 -% 1;,.1.8.0.109*80 T=P TT"*.: T(&*0x0 >?*98<81 >p"en*,0 ?21"en*.< ?@ AAA!PAAA &eB* 0x;1..8<=, !cC* 0x=0D=@@== Ein* 0x9D: Tcp"en* 8, T=P (ptions )85 6% (P (P T&* 91,<.1 1,,09:0 :< :9 9: ,0 ,@ ,0 :8 9: 9: 90 ,@ 81 ,E 80 0! GET / HTTP/1.0. 6767676767676767676767676767676767676767676767676767

#l ata)ue consisti en una ne.acin de servicio sobre el servidor A ac/e <.;.=< a artir del env$o de mensa(es 2++P con eticiones %reHues$& mal 'ormadas de la si.uiente manera:
GET / HTTP/1.0\n [espacio] x 8000\n [espacio] x 8000\n [espacio] x 8000\n

La in'ormacin sobre el ata)ue se obtuvo de 7<N9

Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica
08/1.-00*91*0,..18<;; 1;,.1.8.0.1,9*8,<<1 -% 1;,.1.8.0.109*80 T=P TT"*.: T(&*0x0 >?*98<88 >p"en*,0 ?21"en*1900 ?@ AAA!AAAA &eB* 0x;1..8<?1 !cC* 0x=0D=@@== Ein* 0x9D: Tcp"en* 8, T=P (ptions )85 6% (P (P T&* 91,<.8 1,,09:0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 ,0 F)&i23en 8< lGneas con 1. espacios )0x,055 6767676767676767676767676767676767676767676767676767

88

alertas se muestra a continuacin:

[AA] [1*0*0] .000 espacios conti23os 4etecta4os [AA] [Priorit$* 0] 08/1.-00*98*1:.0::8;9 1;,.1.8.0.1,9*8,<<1 -% 1;,.1.8.0.109*80 T=P TT"*.: T(&*0x0 >?*.0,,9 >p"en*,0 ?21"en*1900 ?@ AAA!AAAA &eB* 0x;!D88=0, !cC* 0xc0EE@<:8 Ein* 0x9D: Tcp"en* 8, T=P (ptions )85 6% (P (P T&* 1<<101 9,.<11

#n la anterior ca tura se ve claramente la eticin 2++P %GET / HTTP/1.0&, se.uida or una cantidad elevada de es acios %;1<;&. Por su arte, el motor de deteccin del IDS

Al e(ecutarse el ata)ue, el consumo de memoria ,A6 aumento considerablemente en E como se muestra en la 4i.ura 8;.

Figura 10
#S+ADO D# USO D# 6#6O,IA D# E.

detect y clasi'ic los data.ramas involucrados con las eticiones mal 'ormadas, .enerando una entrada or cada uno de ellos en el lo. de alertas %ubicado usualmente en QvarQlo.QsnortQalert&. Una de tales
Introduccin a la In'orm!tica 4orense. <;;=>I

Lue.o de varios minutos de e(ecucin del ata)ue desde A %4i.ura 88&, no 'ue osible acceder al servidor Reb, como se ve en la 4i.ura 8<, ni se.uir

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

8<

veri'icando el estado de uso de la memoria de E v$a SS2.

Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica Figura 11
#5#CUCI-* D#L A+A]U# D#SD# A.

8C

Figura 12
#,,O, #* #L ACC#SO AL S#,EIDO, R#S.

Figura 13
#S+ADO D# 6#6O,IA #* #L S#,EIDO, LU#\O D# 8; 6I*U+OS D# A+A]U# .

Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica Figura 14.
#S+ADO D# USO D# 6#6O,IA D# E.

8D

4inalmente, se ca tur directamente la in'ormacin de uso de memoria de E %4i.ura 8C&, donde se a recia )ue el ata)ue lo.r consumir D;;,DOD 6S > 8T;,;<; 6S F <8;,NDN 6S en alrededor de 8; minutos, lo.rando el ob(etivo de la ne.acin del servicio no solo sobre el servidor Reb sino sobre todos los servicios de red activos en E.
<De$eccin de! $ Hue con e! I)S.

la v$ctima. Des u0s de revisar las osibles causas ara tal com ortamiento, se concluy )ue la a licacin de la re.la, en articular, de la e1 resin re.ular era muy esada y el IPS no alcanzaba a rocesar los a)uetes o ortunamente. Debido a lo anterior, y en aras de robar el IPS, se modi'ic la re.la como si.ue:
drop tcp $EXTER !"# ET an$ -% $HTTP#&ER'ER& $HTTP#P(RT& )pcre*+/\x,0-100//+01s2*+100 espacios conti23os 4etecta4os -% =onexiIn reestableci4aH+05

Dado )ue el IPS ermite descartar los a)uetes )ue concuerdan con determinada re.la, se modi'ic la accin de la re.la usada or el IDS ara detectar el ata)ue, de tal manera )ue se descartaran los data.ramas relacionados con 0ste, as$:
drop tcp $EXTER !"# ET an$ -% $HTTP#&ER'ER& $HTTP#P(RT& pcre*+/\x,0-.000//+01s2*+ .000 espacios conti23os 4etecta4os -% ?ata2ra1a 4escarta4oH+05

Con la anterior re.la, los a)uetes del ata)ue eran debidamente descartados y nunca lle.aban a E. +ales a)uetes se re.istraban en el lo. de alertas de la si.uiente manera:

Al robar dic/a re.la, se vio con sor resa )ue el IPS no descartaba el a)uete sino )ue lo reenviaba a
Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica

8=

[AA] [1*0*0] 100 espacios conti23os 4etecta4os -% ?ata2ra1a 4escarta4oH [AA] [Priorit$* 0] 08/1.-11*:8*9<.018,,0 1;,.1.8.0.1,9*8,;0; -% 1;,.1.8.0.109*80 T=P TT"*.: T(&*0x0 >?*8;9:: >p"en*,0 ?21"en*1900 ?@ AAA!AAAA &eB* 0x9=!18.<0 !cC* 0x?!8:80;0 Ein* 0x9D: Tcp"en* 8, T=P (ptions )85 6% (P (P T&* ,090:8 98:;90 Figura 15
#,,O,#S A LA 2O,A D# I*EOCA, LA ACCI-* ,#5#C+.

a)uetes com rometidos en el ata)ue y reestablecer %rese$& la cone1in con el atacante mediante el env$o de de un se.mento +CP con las banderas 4I* y AC^ encendidas. Sin embar.o, a la /ora de e(ecutar el IPS con la re.la de re;ec$, se des le.aron innumerables errores de Lib ca 78T9 relacionados con la im osibilidad de escribir la res uesta, como se ve en la 4i.ura 8=. E. CO*CLUSIO*#S.

Se /a visto )ue la di'erencia a nivel terico entre los IDS y los IPS radica en la 'orma como reaccionan ante las intrusiones: los rimeros se limitan a detectar y noti'icar de la intrusin mientras )ue los se.undos toman acciones de al.Bn ti o 'rente a tales eventos. Debido a la anterior aseveracin, se tiene )ue el uso de los IDS im lica un corto la so de tiem o ara enterarse, analizar y determinar la accin correctiva a ado tar 'rente a la intrusin, ara 'inalmente reaccionar manualmente al ata)ue. Usando esta re.la se encontr mediante el uso de un analizador de tr!'ico de red en E )ue los a)uetes /ostiles no lo.raron lle.ar, debido a lo anterior el uso de memoria no resent aumentos si.ni'icativos %4i.ura 8D&. Sin embar.o, al e(ecutar el ata)ue desde varios rocesos simult!neos, el IPS no estuvo en ca acidad de analizar y or ende descartar los a)uetes involucrados en el ata)ue, ermiti0ndoles el aso /acia E. 4inalmente, alternativa: se rob la si.uiente re.la Por esta razn, el 'uerte de los IDS radica en su utilidad #os$eriori, ya )ue ayudan a la reconstruccin del ata)ue ara su osterior an!lisis. Sin embar.o, muc/as veces es deseable detener el ata)ue de manera o ortuna, cam o en el cual los IPS son la solucin adecuada, siem re y cuando est0n debidamente con'i.urados y uestos a unto con el 'in de ma1imizar su nivel de recisin. 4inalmente, a artir del e1 erimento 'ue osible determinar )ue la e'ectividad de los IDSQIPS est! altamente li.ada a la cantidad de recursos destinados ara su o eracin. Por esto, es reciso calibrar las re.las de acuerdo al ambiente de ? rdw re en )ue o era el sistema, ya )ue ueden e1i.ir un alto nivel de rocesamiento, incluso uno mayor al o'recido or la in'raestructura de ? rdw re.

reject tcp $EXTER !"# ET an$ -% $HTTP#&ER'ER& $HTTP#P(RT& )pcre*+/\x,0-100//+01s2*+ 100 espacios conti23os 4etecta4os -% =onexiIn reestableci4aH+05

#l

ro sito de esta re.la es descartar los

Introduccin a la In'orm!tica 4orense. <;;=>I

Universidad de los Andes. Crdoba, Laverde, Ortiz, Puentes. Los IDS y los IPS: Una com aracin r!ctica 78L9 E6Rare Inc, /tt :QQMMM.vmMare.com. ,#4#,#*CIAS 7;89 D. Le/mann. JIntrusion Detection F !K. Dis onible en: /tt :QQMMM.sans.or.QresourcesQid'a)QM/at[is[id. / 7;<9 2. Debar, J n intro"uction to Intrusion#Detection S$ste%sK. IS6 ,esearc/, _uric/ ,esearc/ Laboratory. 7;C9 P. Porras y A. Ealdes. J&i'e tra((ic ana)$sis o( *+,-I, gate.a$sKen JProceedin.s o' t/e 8TTO ISOC Sym osium on *etMor` and Distributed System SecurityK, San Die.o, CA, 6arc/ 8TTO. 7;D9 S. A1elsson, J*/e 0ase#1ate Fa))ac$ an" its I%2)icatios (or t/e Di((icu)t$ o( Intrusion Detection K, <; de mayo de 8TTT. Dis onible en: /tt :QQMMM.raid> sym osium.or.QraidTTQPAP#,SQA1elsson. d'. 7;N9 ,. ,e/man, JIntrusion "etection .it/ SN31*4 "'ance" IDS tec/ni5ues using Snort6 2ac/e6 7$S!&6 ,/2 an" +IDK. Prentice 2all P+,, <;;C. 7;L9 ,. Alder, 5. Sabbin, A. Do1tater, 5. 4oster, +. ^o/lenber., 6. ,as/. JSnort 2.1 Intrusion DetectionK, Second #dition, Syn.ress, <;;D. 7;O9 +. Doty. JNe. 22roac/ *o Intrusion Detection4 Intrusion ,re'entionK. <C de enero de <;;<. Dis onible en: /tt :QQMMM.itsecurity.comQ a ersQdoty8./tm 7;T9 R. 5ac`son. JIntrusion 2re'ention s$ste%s 2ro'i"e an acti'e )ine o( "e(enseK. 8N de 'ebrero de <;;=. Dis onible en: /tt :QQMMM..cn.comQc.i>binQudtQim.dis lay. rintablea client.idF.cndaily<bstory.idFC=;NT 78;9 *. Desai. JIntrusion ,re'ention S$ste%s4 t/e Ne8t Ste2 in t/e 9'o)ution o( IDSK. <L de 'ebrero de <;;C. Dis onible en: /tt :QQMMM.security'ocus.comQ rintableQin'ocusQ8NL; 7889 6. DeS/on. JIntrusion 2re'ention 'ersus intrusion "etectionK. Dis onible en: /tt :QQMMM.secureMor`s.comQenQ/tmlQ rinterQinternetQtec/,es ourceCenterQIntrusion> revention>versus>intrusion> detection./tml 78<9 6cClellan Consultin.. JLayer D t/rou./ Layer L SMitc/in.K. Dis onible en: /tt :QQMMM.mcclellanconsultin..comQM/ite a ersQLayerDt/rou ./L. d' 78C9 JSnort:in)ineK. inline.source'or.e.netQ Dis onible en: /tt :QQsnort> J<7;areK. Dis onible

8N en:

78O9 A ac/e, J 2ac/e H**, Ser'er ,ro=ect K. Dis onible en: /tt :QQ/tt d.a ac/et.or.. 78T9 J*c2"u%2-&i>2ca2K. /tt :QQMMM.tc dum .or.Q Dis onible en:

7<;9 P. 2azle. J,+19 # ,er) +o%2ati>)e 1egu)ar 982ressionsK. Dis onible en: /tt :QQMMM. cre.or.Q 7<89 R. 6etcal'. JSnort In)ineK. Dis onible en: /tt :QQsnort> inline.source'or.e.netQ 7<<9 S. 2emmin.er. J0ri"ge # &inu8 9t/ernet >ri"gingK. Dis onible en: /tt :QQbrid.e.source'or.e.netQ 7<C9 O. Andreasson. JI2ta>)es *utoria) 1.1.19K. Dis onible en: /tt :QQMMM.linu1security.comQresource['ilesQ'ireMallsQIP+able s>+utorialQi tables>tutorial./tml 7<D9 +/e 2oneynet Pro(ect. J*oo)s (or Hone$netsK. Dis onible en: /tt :QQMMM./oneynet.or.QtoolsQ 7<=9 J90*a>)esK. /tt :QQebtables.source'or.e.netQ. Dis onible en:

7<N9 C. +rivedi. JFu))Disc)osure4 DoS in 2ac/e 2.0.52 ? K. Dis onible en: /tt :QQseclists.or.QlistsQ'ulldisclosureQ<;;DQ*ovQ;;<<./tml 7<L9 D. \uido. J 2ac/e 7u)ti2)e S2ace Hea"er DoS (7u)ti#*/rea"e" 982)oit)K. Dis onible en: /tt :QQMMM.securiteam.comQe1 loitsQNO;;\<ASPS./tml 7<O9 J32enSSH /tt :QQMMM.o enss/.comQ 7<T9 JFe"ora +ore /tt :QQ'edora.red/at.com. 4.0K. CK. Dis onible Dis onible en: en:

78D9 \. Sruneau. J*/e Histor$ an" 9'o)ution o( Intrusion DetectionK. Dis onible en: /tt :QQMMM.sans.or.QrrQM/ite a ersQdetectionQCDD. / 78=9 A. C/uva`in and C. P. Sruneau. JSecurit$ ;arriorK. O ,eilly <;;D. 78N9 Source4ire. /tt :QQMMM.snort.or.. JSnort.orgK. Dis onible en:

Introduccin a la In'orm!tica 4orense. <;;=>I