Ids sistema de deteccion de intrusos (2)
Descargar como PPT, PDF1 recomendación3,120 vistas
Este documento describe los sistemas de detección de intrusos (IDS) y el software de código abierto Snort IDS. Explica que un IDS monitorea la actividad en una red o sistema para detectar amenazas de seguridad no autorizadas. Luego describe los tipos de IDS (NIDS, HIDS, DIDS) y los beneficios de usar Snort, como el análisis de paquetes en tiempo real y la detección de ataques. Finalmente, resume los componentes clave de Snort como la captura de paquetes, el motor de dete
Ids sistema de deteccion de intrusos (2)
- 1. IDS Sistemas de Deteccion de Intrusos (Intrusion Detection System)
- 2. I D S Es una elemento a nivel de Hardware, Software o ambos, que nos permite determinar actividad o accesos no autorizados a nuestra plataforma informatica y tomar una accion pertinente para contrarestar el ataque por medio de mecanismos de defensa integrados como Firewalls o normas definidas para respuesta inmediata dependiendo de su complejidad y componentes.
- 3. TIPOS DE IDS NIDS : Network-IDS. Capturan los paquetes que viajan por los medios (cable, wireless) de la red, se realiza la comparación con la reglas definidas y si corresponden a las firmas de algun tipo de ataque se genera una alerta del incidente y se guarda el registro en un repositorio de información como una Base de Datos o archivo. HIDS : Host-IDS, se instala en un equipo como un agente son reactivos, revisan los logs del sistema y sus actividades en busca de rastros de una actividad de intrusión. Pueden activarse en modo promiscuo, activando el sniffer, pasar a ser proactivos y entregar alertas en tiempo real. DIDS : Distribuido-IDS, conjunto de NIDS actuando como sensores y centralizan la información de posibles ataques, se pueden fijar reglas por segmentos de red.
- 4. BENEFICIOS DE UN IDS Analisis de paquetes y Detección de Ataques Implementación de IDS en sitios claves para puntos de acceso criticos Monitoreo de politicas en la Plataforma Informatica (encriptacion, revision de aquellos programas no autorizados, como servicios de Mensajeria, P2P, etc.) Intentos de Intrusión en tiempo real o aposteriori Registros de auditoria que permitan analizar el comportamiento de un ataque Evaluacion de recursos, firewall, appliance, proxys, etc. El uso adecuado es la ubicación de NIDS para analizar el trafico de Red e identificando los intentos de intrusión (OutSide), y los HIDS detectan las acciones en las maquinas y las consecuencias posibles en Equipos criticos (InSide).
- 5. SNORT - IDS Es una aplicación Open Source, que permite sniffar y analizar el trafico de una red para determinar los posibles intentos de intrusión por medio de un potente motor de detección de ataques y barrido de puertos, alertando, registrando y actuando contra un incidente en tiempo real o aposteriori, almacenando sus logs en modo de archivos de texto o un motor de Base de Datos privadas o free como MySql y de integración total con gestores de informes (ACID), librerias de Graficación (JpGraph OO Graphic Library), utilidades de Bloqueo en tiempo real (SnortSam), Servidores Web (Apache), sistemas de Log (Swatch, SnortAlog), script (SnorSnarf, PhPlot, PigSentry, Oinkmaster,php), etc. Excelente alternativa a productos pagos como ISS RealSecure y Cisco IDS
- 6. Por que SNORT ?? Es Free Ampliamente usado Es configurable Integracion con diversas herramientas, utilidades y script Multiplataforma Permanente actualización y soporte Costo / Beneficio Analisis de Trafico en Linea y logs Usos de firmas o metodos de anomalias Eficiente y Efectivo Automatizado Centraliza la administración Visualiza los ataques a nivel de paquete Verifica el cumplimiento de Politicas, Sistemas Operativos y Servicios Identifica y correlaciona las conductas inapropiadas de sus sistemas
- 7. COMPONENTES DE SNORT ?? Libcap / Wincap – librería de captura de paquetes y los filtra para Snort, actua sobre la capa 2 (enlace) del modelo OSI. El Decoder Packet (paquete decodificador). Toma los datos enviados en la capa 2, decodifica el frame del enlace de datos (Ethernet, TokenRing, 802.11), seguido el protocolo IP, TCP o UDP para su posterior procesamiento. Preprocesador. Se activan los plug-in sobre los paquetes decodificados estos seran descartados o clasificados antes de ser enviados al motor de detección Motor Detección. Toma la información preparada inicialmente y opera en la capa de transporte capa y aplicación (4 y 5 del modelo OSI) comparando los paquetes con las reglas basadas en los plug-in (contienen las firmas de ataques). Salida. Cuando un plug-in se activa, registra la información y logs necesarios Snort tiene una gran variedad de plug-ins de salida, desde formatos en texto, binarios y bases de datos
- 8. SNORT EN UNA RED CON DMZ Y NAT
- 9. SNORT ADICIONAL MONITOREANDO SUBNETS SEPARADAS
- 10. Dejemos tanta chachara!!! Y vamonos a implementar Snort-IDS en Plataformas Windows y Linux Good Luck!! Enjoy!!