Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Deber Teccion Intrusos Maquina

    Cargado por

    Johnny Urdin
    36 vistas36 páginas
    Caracterización de los HIDS

    Título original

    deber_teccion_intrusos_maquina

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Caracterización de los HIDS

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    36 vistas36 páginas

    Deber Teccion Intrusos Maquina

    Cargado por

    Johnny Urdin
    Caracterización de los HIDS

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 36

    MAESTRÍA EN SEGURIDAD INFORMÁTICA

    DETECCIÓN DE INTRUSOS DE MAQUINA

    Por: Ing. Johnny Urdin G.


    Splunk

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Funcionalidades Splunk
    Las búsquedas de correlación
    personalizadas y listas ayudan a
    encontrar amenazas, determinar la
    postura de seguridad y el cumplimiento
    a través del monitoreo de seguridad
    continuo de entidades críticas.

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Funcionalidades Splunk

    Splunk Enterprise Security permite a


    las organizaciones agregar,
    priorizar y administrar una amplia
    variedad de información sobre
    amenazas de fuentes ilimitadas de
    listas de amenazas.

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Funcionalidades Splunk

    Obtenga una vista


    colectiva de todos los
    datos de seguridad de sus
    terminales para identificar
    cualquier ataque externo o
    amenaza interna.

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Funcionalidades Splunk

    Acorte los ciclos de investigación con


    análisis visual, representación gráfica
    de umbrales, alarmas, indicadores y
    tendencias.

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Funcionalidades Splunk

    Visualice y documente los


    ciclos de investigación para
    detectar, analizar y
    responder a incidentes y
    amenazas de seguridad.

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Funcionalidades Splunk

    Automatización de
    acciones en una variedad
    de herramientas de
    seguridad.

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Funcionalidades Splunk

    Identifica actividad
    fraudulenta

    Splunk es la solución SIEM (Security Information & Event Management) que permite monitorizar y analizar todo el
    big data de la empresa (en aplicaciones, sistemas e infraestructuras) a través de una interfaz web. Toda esa
    información se interpreta y se plasma en un repositorio mediante gráficos, alertas y paneles con información
    clara y útil para la toma de decisiones.
    Arquitectura Splunk
    Arquitectura Splunk
    Recursos Mínimos Splunk

    Según la comunidad se necesita un computador con:


    ✗ 16Gb en RAM
    ✗ Xeon E5-2697 V2 2.7 GHz 12 Core Server
    Con estas características soporta hasta un total de 1200 dispositivos de entrada/salida

    Nota: Todo depende del uso que se le de, puede ser incluso mucho menos.
    Ventajas de usar Splunk
    Dentro de los beneficios que provee Splunk se encuentran:
    ✗ Rápida y fácil implementación.
    ✗ Solución con capacidad del manejo de big data (manejo de volúmenes elevados de información,
    variedad, variabilidad y velocidad.
    ✗ Creación de reglas o correlación de búsquedas para la investigación de forense.
    ✗ Soporte a ambientes híbridos (en sitio o en la nube).
    ✗ Soporte nativo para: XML, JSON, Syslog, WMI, Files, Structured Data, Unstructured Data, identificación
    automática de información.
    ✗ Soporte a SDKs y APIs.
    ✗ Capacidad de envío de scripts de forma nativa.
    Desventajas de usar Splunk
    Dentro de los beneficios que provee Splunk se encuentran:
    ✗ Se necesita un servidor potente.
    ✗ La configuración de alarmas en tiempo real sobrecargan el servidor.
    ✗ Ofrece vistas de los usuarios, todos pueden ver todo.
    ✗ Es de Pago.
    Forma de Instalación Splunk

    sudo dpkg -i splunk-6.6.6-ff5e72edc7c4-linux-2.6-amd64.deb


    Y luego para ejecutarlo,
    sudo /opt/splunk/bin/splunk start
    Tripwire

    SEGURIDAD INTEGRIDAD DE DATOS

    Tripwire es un programa de computador basado en Open Source consistente en una herramienta de seguridad e
    integridad de datos.
    Que hace Tripwire

    Es útil para monitorizar y alertar de cambios en los archivos de un sistema de archivos.

    Funciona cotejando la firma digital de archivos y directorios contra una base de datos de los mismos en
    un instante previo.

    Funciona en sistemas operativos GNU/Linux.


    Arquitectura

    Todos los dispositivos se conectan al Servidor Tripwire a través del


    Agente por el puerto 5670
    Instalación

    1. En otras distribuciones diferentes de Debian, descargue la versión open source de Tripwire del site 
    www.tripwire.org.
    2. En Ubuntu y Distribuciones basadas en Debian 6 o superior:
    sudo apt update
    sudo apt install tripwire
    Antes de Usar Tripwire

    1. Es Necesario que el equipo que se usara de servidor no este enlazado a la red


    2. Se debe Generar un archivo que contendrá las políticas que se aplicaran para el análisis

    CADA UNA DE LAS LETRAS


    CORRESPONDEN A UN
    PARÁMETRO EN EL ARCHIVO
    DE CONFIGURACIÓN DE
    TRIPWIRE
    Características principales

    1. DETECCIÓN EN TIEMPO REAL


    Acorta el tiempo que se tarda en detectar y limitar el daño de amenazas, anomalías y cambios
    sospechosos.

    2. VISIBILIDAD PROFUNDA DEL SISTEMA


    Le brinda una visibilidad profunda e incomparable del estado de su sistema de seguridad y
    conoce su postura de
    seguridad en todo momento.

    3. INTEGRACIONES AMPLIAS DE APLICACIONES


    Cierra la brecha entre TI y seguridad al integrarse con los conjuntos de herramientas existentes
    de ambos equipos.

    4. CUMPLIMIENTO NORMATIVO AUTOMATIZADO


    Las políticas y plataformas listas para usar hacen cumplir los estándares de cumplimiento
    normativo.

    Otras características:

    ● Métodos para encontrar intentos de intrusión propios del sistema.


    ● Comprueba la integridad de los ficheros y directorio de un sistema
    ● Alerta al administrador en caso de que un fichero se vea comprometido
    Ventajas e Inconvenientes

    Ventajas:
    1. Métodos mas precisos (mitiga la posibilidad falsos positivos)
    2. Registra actividades, no patrones de comportamiento.
    3. Menos ajustes, con una configuración mínima se pueden lograr grandes cosas a nivel de
    protección, menor posibilidad de truncaciones.

    Inconvenientes:
    1. Mantenimiento muy complejo
    2. Alerta tras ataque (no predice, mas bine avisa del problema que YA existe.)
    3. Consume mas memoria frente a otros IDS.
    Comparativa de Rendimiento

    TRIPWIRE OSSEC

    Número de alertas activadas 106 224

    Numero de archivos analizados 20 23

    Número de cambios realizados a


    2 4
    archivos críticos

    Cantidad de memoria
    326.38 MB 227.45MB
    consumida
    OSSEC
    OSSEC es un proyecto open source de gestión de Logs, que monitoriza una máquina, y que detecta las
    anomalías que puedan producirse en ella. Para hacer esto utiliza herramientas para la detección de rootkits,
    para revisar la integridad de ficheros y ejecutables del sistema, y por último un potente sistema para analizar
    logs.
    Arquitectura
    Esta basado en un modelo de cliente-servidor, con lo cual tendremos un servidor centralizado que se
    encarga de recibir y actuar en base a la información que reciba de los agentes que, en definitiva, son
    las máquinas que están siendo monitorizadas y atacadas. La forma de actuar del servidor es, por
    una parte, enviando notificaciones, y por otro lado, si así se configura, generando reglas firewall que
    se ejecutarán en los propios agentes.
    Arquitectura

    Funciona en la mayoría de sistemas operativos, incluyendo Linux, OpenBSD, FreeBSD, MacOS, Solaris
    y Windows.
    Instalación

    clave de acceso para ubuntu


    wget -q -O - https://www.atomicorp.com/RPM-GPG-KEY.atomicorp.txt | sudo apt-key add -

    echo "deb https://updates.atomicorp.com/channels/atomic/ubuntu $DISTRIB_CODENAME main" >>


    /etc/apt/sources.list.d/atomic.list

    sudo apt-get update

    # Server
    sudo apt-get install ossec-hids-server

    # Agent
    sudo apt-get install ossec-hids-agent
    Ventajas de usar OSSEC
    1. Cumplimiento de Requisitos: ayuda a los clientes satisfacer las necesidades específicas de
    cumplimiento que permite a los clientes detectar y alertar sobre las modificaciones no autorizadas
    del sistema de archivos y comportamientos maliciosos incrustados en los archivos de registro de
    productos COTS, así como aplicaciones personalizadas.
    2. Multiplataforma: permite a los clientes implementar una serie completa base del sistema de
    detección de intrusos a través de múltiples plataformas, como Linux, Solaris, AIX, HP-UX, BSD,
    Windows, Mac y VMware ESX.
    3. Alertas en tiempo real y configurable: permite a los clientes configurar los incidentes que se desea
    recibir una alerta en la que les permite centrarse en el aumento de la prioridad de los incidentes
    críticos sobre el ruido normal en cualquier sistema. Integración con el SMTP, SMS y syslog permite a
    los clientes a estar en la cima de alertas mediante el envío de estos a correo
    electrónico y dispositivos portátiles como teléfonos celulares y buscapersonas.
    4. Gestión centralizada: proporciona un servidor simplificado de gestión centralizada para administrar
    las políticas en múltiples sistemas operativos.
    5. Agente y la supervisión sin agente: ofrece la flexibilidad de control basado en agentes y sin
    agentes de los sistemas y componentes de red tales como routers y firewalls.
    AIDE IDS

    AIDE (Advanced Intrusion Detection Environment) es una


    herramienta de detección de intrusos para verificar la integridad
    de archivos y directorios. El funcionamiento se basa en crear
    una base de datos con información importante de los archivos
    y directorios (por ejemplo: nombre, tamaño, fecha de
    modificación, permisos y un hash del contenido) y luego
    chequear periodicamente contra esta información de referencia
    para verificar que no se hayan producido cambios inesperados.

    # tar -zxvf aide-0.15.1.tar.gz


    # cd aide-0.15.1
    # ./configure
    # make
    # make install
    Caracteristicas de AIDE IDS

    ● Algoritmos de resumen de mensajes compatibles: md5, sha1, rmd160, tiger, crc32, sha256,
    sha512, whirlpool (además con libmhash: gost, haval, crc32b)
    ● atributos de archivo admitidos: tipo de archivo, permisos, Inode, Uid, Gid, nombre del enlace,
    tamaño, número de bloques, número de enlaces, Mtime, Ctime y Atime
    ● soporte para Posix ACL, SELinux, XAttrs y atributos extendidos del sistema de archivos si el
    soporte está compilado en archivos de configuración de texto sin formato y base de datos
    para simplificar
    ● potente compatibilidad con expresiones regulares para incluir o excluir de forma selectiva
    archivos y directorios a supervisar
    ● Compresión de base de datos gzip si el soporte de zlib está compilado en binario estático
    independiente para configuraciones sencillas de monitoreo cliente / servidor y muchos más.
    SAMHAIN

    El sistema de detección de intrusiones (HIDS) basado en host de Samhain proporciona verificación de


    integridad de archivos y monitoreo / análisis de archivos de registro , así como detección de rootkits,
    monitoreo de puertos, detección de ejecutables SUID no autorizados y procesos ocultos.

    Samhain es una aplicación multiplataforma de código abierto para sistemas POSIX (Unix, Linux,
    Cygwin / Windows).
    Características SAMHAIN
    Samhain ha sido diseñado para monitorear múltiples hosts con sistemas operativos potencialmente
    diferentes, proporcionando registro y mantenimiento centralizados , aunque también se puede usar
    como aplicación independiente en un solo host.

    ✗ MONITOREO CENTRALIZADO.- La arquitectura cliente / servidor permite el registro central , el


    almacenamiento central de las bases de datos de línea base y las configuraciones del cliente, y las
    actualizaciones centrales de las bases de datos de línea base.

    ✗ CONSOLA DE GESTIÓN BASADA EN WEB.- La consola Beltane basada en la web , disponible como
    paquete separado, permite monitorear la actividad del servidor y del cliente, ver informes de los
    clientes y actualizar las bases de datos de referencia.

    ✗ REGISTRO FLEXIBLE.- Samhain admite múltiples funciones de registro, cada una de las cuales se
    puede configurar individualmente.

    ✗ RESISTENCIA A LA MANIPULACIÓN.- Samhain ofrece una base de datos y archivos de configuración


    firmados por PGP , un modo oculto y varias funciones más para proteger su integridad.
    Req. Software SAMHAIN
    Samhain solo compilará y ejecutará en un sistema operativo con POSIX , o una emulación del mismo
    (por ejemplo, la emulación gratuita Cygwin POSIX para Windows XP / 2000).
    Otros compiladores y librerías como:
    ✗ ANSI C
    ✗ GnuPG / signify-openbsd para base de datos
    ✗ libacl / libattr
    ✗ Libz
    ✗ PCRE para monitorear log de registro de otras aplicaciones como apache
    Req. Software SAMHAIN
    Comparativa general
    Característica Tripwire OSSEC AIDE IDS SAMHAIN SPLUNK

    Linux x x x x
    Windows
    MACOS
    Multiplataforma x x
    Compara firma de los archivos x x x x
    Cliente servidor x x x
    Detección en tiempo real x x x
    UniAgent x
    Cumplimiento normativo x x
    Comprueba integridad de los archivos x x x x

    Gestión de logs x x x
    Supervisión sin agente x x
    Gestiona expresiones regulares x x x
    Monitoreo centralizado x x x x x
    Gestión basada en la web x x x x
    Open Source x x x
    Fuentes bibliográficas
    ✗ https://es.slideshare.net/CSUC_info/1506-tecniris-splunk
    ✗ https://www.incibe.es/protege-tu-empresa/catalogo-de-ciberseguridad/listado-soluciones/splunk-0
    ✗ https://medium.com/@Inuki/splunk-b%C3%A1sico-setup-ad18e96ed49
    ✗ https://core.ac.uk/download/pdf/29404111.pdf
    ✗ https://aide.github.io/
    ✗ https://www.ecured.cu/Ossec#/media/File:Ossec-archit.jpg
    ✗ https://www.ossec.net/downloads/
    ✗ https://www.dragonjar.org/ossec.xhtml
    ✗ https://obsbusiness.school/es/blog-investigacion/propiedad-intelectual-y-seguridad-de-la-informacion/10-
    amenazas-informaticas-en-el-punto-de-mira
    ✗ download/una-fuente-de-informacion-que-proporciona-eventos-del-sistema-o-red-informatica
    ✗ https://dgonzalez.net/papers/ids/html/cap06
    ✗ http://repositorio.utp.edu.co/dspace/bitstream/handle/11059/9019/T005.8%20R618.pdf?
    sequence=1&isAllowed=y
    ✗ https://es.slideshare.net/rcarhuatocto/ids-v12
    ✗ https://www.tripwire.com/
    ✗ https://es.linux-console.net/?p=436
    ✗  www.tripwire.org.
    ✗ https://www.tripwire.com/state-of-security/spanish/que-es-fim-monitoreo-de-integridad-de-archivos/

    También podría gustarte