Download - Sistemas IDS Linux
![Page 1: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/1.jpg)
IDS’s
IDS: Sistemas de deteccion de Intrusossobre Linux
IDS
![Page 2: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/2.jpg)
IDS’s
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 3: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/3.jpg)
IDS’s
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 4: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/4.jpg)
IDS’s
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 5: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/5.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 6: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/6.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
IDS: Intrusion Detection System
¿Que es un IDS ?
Un sistema de detecccion de intrusos es un programa (o conjuntode programas) que monitorean, de diferentes formas segun su
tipo, en busca de algun comportamiento que pueda ser indicadorde un ataque informatico o malware.
kope IDS
![Page 7: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/7.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 8: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/8.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
![Page 9: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/9.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
![Page 10: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/10.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
![Page 11: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/11.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Para que implementar un IDS?
Saber que esta pasando en la red.
Reconocer danos y sistemas afectados.
Conocer el comportamiento de los atacantes.
Recoleccion de pruebas periciales.
kope IDS
![Page 12: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/12.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 13: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/13.jpg)
IntroduccionTipos de IDS
Riesgos
Que es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
Sera necesario en mi red?
kope IDS
![Page 14: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/14.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Tipos de IDS
NIDS Network Based IDS.
HIDS Host Based IDS.
Hıbridos Une los dos tipos anteriores.
kope IDS
![Page 15: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/15.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Tipos de IDS
NIDS Network Based IDS.
HIDS Host Based IDS.
Hıbridos Une los dos tipos anteriores.
kope IDS
![Page 16: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/16.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Tipos de IDS
NIDS Network Based IDS.
HIDS Host Based IDS.
Hıbridos Une los dos tipos anteriores.
kope IDS
![Page 17: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/17.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 18: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/18.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
![Page 19: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/19.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
![Page 20: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/20.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
![Page 21: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/21.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
![Page 22: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/22.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Red
Trata de detectar actividad ’sospechosa’ monitoreando eltrafico de la red.
Solo pueden identificar patrones conocidos.
Analizar trafico en tiempo real.
Modo Promiscuo.
Ubicacion estrategica.
kope IDS
![Page 23: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/23.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar?
Hub Escuchar todo el trafico (modo promiscuo).
TAP Test Access Port.
SPAN Switch Port Analyzer.
Router Desde el mismo router.
kope IDS
![Page 24: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/24.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar? HUB
HUB
Retransmite los paquetes que recibe desde cualquier boca atodas las demas.
kope IDS
![Page 25: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/25.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar? TAP
TAP Test Access Port
El trafico entrante y saliente pueden ir a un mismo IDS y unirambas conexiones por medio de bond.
kope IDS
![Page 26: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/26.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Desde donde escuchar? SPAN
SPAN Switch Port Analyzer
Puerto con el que cuentan algunos switch administrables parael monitoreo de la red.
kope IDS
![Page 27: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/27.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
![Page 28: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/28.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
![Page 29: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/29.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
![Page 30: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/30.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar trafico
Scaneo de puertos.
Envenenamiento ARP.
Paquetes mal formados (DoS).
Deteccion de virus (ClamAV plugin).
kope IDS
![Page 31: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/31.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar contenido de paquetes Pcap
Interfaz en espacio usuario para la captura de paquetes.
Usadas por programas como: Wireshark (Etherape), Nessus,ntop, dsniff, iftop, ngrep.
Sniffer personalizados.
kope IDS
![Page 32: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/32.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar contenido de paquetes Pcap
Interfaz en espacio usuario para la captura de paquetes.
Usadas por programas como: Wireshark (Etherape), Nessus,ntop, dsniff, iftop, ngrep.
Sniffer personalizados.
kope IDS
![Page 33: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/33.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Analizar contenido de paquetes Pcap
Interfaz en espacio usuario para la captura de paquetes.
Usadas por programas como: Wireshark (Etherape), Nessus,ntop, dsniff, iftop, ngrep.
Sniffer personalizados.
kope IDS
![Page 34: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/34.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
![Page 35: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/35.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
![Page 36: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/36.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
![Page 37: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/37.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
![Page 38: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/38.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
![Page 39: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/39.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Wrapper
Perl Net::Pcap
Python python-libpcap
Ruby Ruby/Pcap
Tcl tclpcap
Java jpcap
.Nerd WinPcapNET
Pcap
kope IDS
![Page 40: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/40.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
![Page 41: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/41.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
![Page 42: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/42.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
![Page 43: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/43.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Honey Pots
Servidor trampa.
Cualquier actividad con el es sospechosa.
Servicios falsos mediante scripts (fingerprint).
Puede hacer fordward para servicios reales.
kope IDS
![Page 44: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/44.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 45: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/45.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
![Page 46: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/46.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
![Page 47: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/47.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
![Page 48: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/48.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
![Page 49: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/49.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS basados en Host
Confirmacion de ataque.
Monitor de acceso a archivos.
Creacion de cuentas.
Monitor de llamadas al sistema.
No necesita HW adicional.
kope IDS
![Page 50: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/50.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 51: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/51.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 52: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/52.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 53: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/53.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 54: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/54.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 55: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/55.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 56: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/56.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 57: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/57.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Syslog
Central de anotaciones de linux
Acceso a servicios
Logeos positivos y negativos
Creacion de usuarios
Creacion de cuentas
Mounts
Cortafuegos (accepted, bloqued packets)
Se puede hacer scripts para revisar /var/log’s
kope IDS
![Page 58: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/58.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
![Page 59: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/59.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
![Page 60: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/60.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
![Page 61: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/61.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Finger print
Verificacion de integridad de archivos.
Modificacion.
Modificacion de fechas.
Monitoreo centralizado.
TripWire
kope IDS
![Page 62: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/62.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Integridad del sistema
Buscan modificaciones en binarios del sistema.
BD con hash de los binarios para compararlos.
Se recomienda hacer en analisis desde otra maquina.
chkrootkit
kope IDS
![Page 63: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/63.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Integridad del sistema
Buscan modificaciones en binarios del sistema.
BD con hash de los binarios para compararlos.
Se recomienda hacer en analisis desde otra maquina.
chkrootkit
kope IDS
![Page 64: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/64.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Integridad del sistema
Buscan modificaciones en binarios del sistema.
BD con hash de los binarios para compararlos.
Se recomienda hacer en analisis desde otra maquina.
chkrootkit
kope IDS
![Page 65: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/65.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
systrace
Registro de llamadas al sistema.
Busqueda de patrones que esten fuera de los servicios deproduccion.
Requiere conocer alcance de las aplicaciones.
BSD* o parchar el kernel de Linux
kope IDS
![Page 66: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/66.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
systrace
Registro de llamadas al sistema.
Busqueda de patrones que esten fuera de los servicios deproduccion.
Requiere conocer alcance de las aplicaciones.
BSD* o parchar el kernel de Linux
kope IDS
![Page 67: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/67.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
systrace
Registro de llamadas al sistema.
Busqueda de patrones que esten fuera de los servicios deproduccion.
Requiere conocer alcance de las aplicaciones.
BSD* o parchar el kernel de Linux
kope IDS
![Page 68: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/68.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Resumen
1 IntroduccionQue es un IDS?Para que implementar un IDS?Sera necesario en mi red ?
2 Tipos de IDSNetwork Based IDS
Analizadores de traficoAnalizar el contenido de paquetesHoney Pots
Host Based IDSSyslogFingerPrintIntegridad del sistemaSystrace
Hybrid IDSPrelude
3 Riesgos
kope IDS
![Page 69: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/69.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
![Page 70: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/70.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
![Page 71: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/71.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
![Page 72: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/72.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
IDS Hıbridos
Prelude es un Framework de IDS hıbrido, un producto que integradistintos IDS para que entreguen sus reportes en un sistema
central.
Centraliza los resultados de diferentes sensores.
Usa diferentes tipos de sensores guardando resultados en unformato comun.
Compatible con: Snort, honeyd, Samhain, shadow, etc.
kope IDS
![Page 73: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/73.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Prelude
Diagrama General Prelude
kope IDS
![Page 74: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/74.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Sensores
Definicion de Sensores
kope IDS
![Page 75: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/75.jpg)
IntroduccionTipos de IDS
Riesgos
N IDSH IDSHybrid IDS
Prelude
Prelude Distribuido
kope IDS
![Page 76: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/76.jpg)
IntroduccionTipos de IDS
Riesgos
Riesgos
Falsa sensacion de seguridad.
Exploits zero day.
Atacante comprometa los sensores.
kope IDS
![Page 77: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/77.jpg)
IntroduccionTipos de IDS
Riesgos
Riesgos
Falsa sensacion de seguridad.
Exploits zero day.
Atacante comprometa los sensores.
kope IDS
![Page 78: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/78.jpg)
IntroduccionTipos de IDS
Riesgos
Riesgos
Falsa sensacion de seguridad.
Exploits zero day.
Atacante comprometa los sensores.
kope IDS
![Page 79: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/79.jpg)
IntroduccionTipos de IDS
Riesgos
Paranoia:Ver la realidad a mayor resolucion.
kope IDS
![Page 80: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/80.jpg)
IntroduccionTipos de IDS
Riesgos
Referencias:
Wikipedia
http://www.snort.org/doc
http://www.prelude-nids.org
Chaos Congress
Lista Linux UTFSM
kope IDS
![Page 81: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/81.jpg)
IntroduccionTipos de IDS
Riesgos
Preguntas, reclamos ?:
https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/gnucv
https://zeus.inf.ucv.cl/cgi-bin/mailman/listinfo/lut
kope IDS
![Page 82: Sistemas IDS Linux](https://reader034.vdocumento.com/reader034/viewer/2022052301/5571f89549795991698db689/html5/thumbnails/82.jpg)
IDS