Todo administrador de un servidor, a parte de los servicios que presta en él, debería de tomar medidas contras de intrusiones ajenas o simplemente denegar un acceso no autorizado.

Bueno, para esto existen estos IDS, (Intrusion Detection System). 🙂

Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red en busca de intentos de comprometer la seguridad de dicho sistema. Buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.

A parte, nos aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí en conjugación con algo de scripts pueden generar ciertos tipos de respuesta ante éstos. No obstante, existen otros sistemas encargados de monitorear y responder ante ataques, los NIDS. 🙂 fantástico también, no?

Tipos de IDS

  1. HIDS (Host IDS)

Protege contra un único Servidor, PC o host. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisión, determinando de esta manera qué procesos y usuarios se involucran en una determinada acción. Recaban información del sistema como ficheros, logs, recursos, etc, para su posterior análisis en busca de posibles incidencias.

Todo ello en modo local, dentro del propio sistema. Fueron los primeros IDS en desarrollar por la industria de la seguridad informática.

  1. NIDS (Net IDS)

Son IDS igual, solo que poseen el nivel capaz para hacerle frente a cualquier amenaza en tiempo real. Protege un sistema basado en red. Actúan sobre una red capturando y analizando paquetes de red, es decir, son sniffers del tráfico de red. Luego analizan los paquetes capturados, buscando patrones que supongan algún tipo de ataque.

Bien ubicados, pueden analizar grandes redes y su impacto en el tráfico suele ser pequeño. Actúan mediante la utilización de un dispositivo de red configurado en modo promiscuo (analizan, “ven” todos los paquetes que circulan por un segmento de red, aunque estos nos vayan dirigidos a un determinado equipo). Analizan el tráfico de red, normalmente, en tiempo real. No sólo trabajan a nivel TCP/IP, también lo pueden hacer a nivel de aplicación.

  1. Híbridos (IDS/NIDS):

Existen otros sistemas que trabajan de las dos maneras, por eso lo de híbridos.

Por el tipo de respuesta podemos clasificarlos en:

Pasivos: Son aquellos IDS que notifican a la autoridad competente o administrador de la red mediante el sistema que sea, alerta, etc. Pero no actúa sobre el ataque o atacante.

Activos: Generan algún tipo de respuesta sobre el sistema atacante o fuente de ataque como cerrar la conexión o enviar algún tipo de respuesta predefinida en nuestra configuración.

Arquitectura de un IDS

Normalmente la arquitectura de un IDS, a grandes rasgos, está formada por:

  1. [Logs] La fuente de recogida de datos. Estas fuentes pueden ser un log, dispositivo de red, o como en el caso de los IDS basados en host, el propio sistema.
  2. [Las Reglas] Ellas contienen los datos y patrones para detectar anomalías de seguridad en el sistema (en otras palabras, las reglas del juego).
  3. [Filtros]Comparan los datos snifados de la red o de logs con los patrones almacenados en las reglas.
  4. Detectores de eventos anormales en el tráfico de red.
  5. Dispositivo generador de informes y alarmas. En algunos casos con la configuración adecuada como para enviar alertas vía correo, generar gráficos, o informes webs (todo está en lo que seamos capaces de configurarlo).

Esto es a modo general. Cada IDS implementa la arquitectura de manera diferente.

Dónde colocar el IDS

Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en cada host ó en cada tramo de red. JEsto último sería un tanto lógico cuando se trata de grandes redes, no es nuestro caso ahora. Lo lógico sería instalar el IDS en un dispositivo por donde pase todo el tráfico de red que nos interese.

Dificultades

Un problema de los IDS es cuando queremos implementarlos en redes conmutadas ya que no hay segmento de red por donde pase todo el tráfico. Otro problema para un IDS son las redes con velocidades de tráfico muy altas en las cuales es difícil procesar todos los paquetes.

Posición del IDS

Antes del Firewall:Si colocamos el IDS antes del cortafuego (firewall) capturaremos todo el tráfico de entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande.

Después del Firewall:La colocación detrás del cortafuegos monitorizará todo el tráfico que no sea detectado y parado por el firewall o cortafuegos, por lo que será considerado como malicioso en un alto porcentaje de los casos. La posibilidad de falsas alarmas muy inferior.

Ambos lados del Firewall:Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del firewall para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o filtras muchos ataques.

En ambientes domésticos, podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría.

Ya hemos hablado de los IDS, pero,aún no conocen a alguno.

Pues bien, les puedo mencionar a Surikata, Ossecy Snort, etc… estos dos últimos son unosIDS/HIDS muy potentes, eso sin menos preciar otros sistemas muy bien implementados.Este articulo solo era para el conocimiento de los IDS, no nos adentraremos en este a explicarlos, en dependencia de los comentarios, puedo preparar más adelante otro artículo para a alguno de ellos con especificaciones.

Por ahora solo les dejare una breve información de Snort.

Introducción a Snort

Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS).

Snort puede funcionar de formas, pasiva o activa. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos aprovechar alguna vulnerabilidad, análisis de protocolos conocidos, etc. Todo esto en tiempo real.

Snort disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows,Unix y GNU/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos informes de seguridad.

Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para Backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap….etc.. (Cosas de las que hablaremos más adelante como las realizan) (*o*)

Snort puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS).

La colocación de Snort en nuestra red puede realizarse según el tráfico quieren vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall… y en realidad prácticamente donde queramos.

Una característica muy importante e implementada desde hace pocas versiones es FlexResp. Permite, dada una conexión que emita tráfico malicioso, darla de baja, hacerle un DROP mediante el envío de un paquete con el flag RST activa, con lo cual cumpliría funciones de firewall, cortando las conexiones que cumplan ciertas reglas predefinidas. No sólo corta la conexiones ya que puede realizar otras muchas acciones. Veremos más adelante su funcionamiento y ejemplos.

NOTA: Todos los ejemplos, mientras no se indique lo contrario, serán válidos para win32 y Linux/UNIX.

C:\Snort20\bin>snort

-*> Snort! <*-

Version 2.0.0-ODBC-MySQL-FlexRESP-WIN32 (Build 72)

By Martin Roesch (roesch@sourcefire.com, www.snort.org)

1.7-WIN32 Port By Michael Davis (mike@datanerds.net, www.datanerds.net/~mike)

1.8 – 2.0 WIN32 Port By Chris Reid (chris.reid@codecraftconsultants.com)

USAGE: snort [-options]

snort /SERVICE /INSTALL [-options]

snort /SERVICE /UNINSTALL

snort /SERVICE /SHOW

Options:

-A Set alert mode: fast, full, console, or none (alert file alerts only)

-b Log packets in tcpdump format (much faster!)

-c Use Rules File

-C Print out payloads with character data only (no hex)

-d Dump the Application Layer

-e Display the second layer header info

-E Log alert messages to NT Eventlog. (Win32 only)

-f Turn off fflush() calls after binary log writes

-F Read BPF filters from file

-h Home network =

-i Listen on interface

-I Add Interface name to alert output

-k Checksum mode (all,noip,notcp,noudp,noicmp,none)

-l Log to directory

-L Log to this tcpdump file

-n Exit after receiving packets

-N Turn off logging (alerts still work)

-o Change the rule testing order to Pass|Alert|Log

-O Obfuscate the logged IP addresses

-p Disable promiscuous mode sniffing

-P Set explicit snaplen of packet (default: 1514)

-q Quiet. Don’t show banner and status report

-r Read and process tcpdump file

-R Include ‘id’ in snort_intf.pid file name

-s Log alert messages to syslog

-S Set rules file variable n equal to value v

-T Test and report on the current Snort configuration

-U Use UTC for timestamps

-v Be verbose

-V Show version number

-W Lists available interfaces. (Win32 only)

-w Dump 802.11 management and control frames

-X Dump the raw packet data starting at the link layer

-y Include year in timestamp in the alert and log files

-z Set assurance mode, match on established sesions (for TCP)

-? Show this information

are standard BPF options, as seen in TCPDump

 

Uh, you need to tell me to do something…

 

: No such file ordirectory

Ya les comente arriba que si les interesaba el tema y los dejaban en los comentarios, podriamos adentrarnos un poco mas.

Saludos Comunidad