-
Deteccin de intrusiones
MSC. Jesus Bernardo Ruiz Flores
-
Definicin Es un proceso o dispositivo activo que analiza la
actividad del sistema y la red
Entradas no autorizadas
Actividades Maliciosas
Detectar el ataque antes de que el sistema sufra algn dao
-
Tipos de IDS Basados en conocimiento
Alertan de un ataque antes de que sucedan utilizando una base de
datos de ataques comunes
Basados en comportamientos
Seguimiento de los recursos usados buscando cualquier anomala,
lo que es una seal positiva de actividad maliciosa
Sistema estndar, configuraciones modificadas y registro
detallado, combinando la experiencia del operador
Adicionalmente puede ser basado en hosts y basado en red
-
Basado en Host Se instalan en cada Host. Considerado el mas
completo
Analiza reas del sistema operativo para determinar el uso
incorrecto.
Kernel
Sistema
Servidores
Firewall
Comparan los registros contra una base de datos interna de
peculiaridades internas comunes sobre ataques conocidas.
-
Basado en Host
Los basados en Linux y Unix hacen uso extensivo de syslog
Tambin pueden verificar la integridad del sistema de archivo,
utilizando md5sum o sha1sum. Envia mensajes en caso de cambios en
los valores almacenados
-
Basados en Hosts Tripwire
http://www.tripwire.org/
RPM
Manejador de paquetes de Linux
rpm -V nombre-paquete
Si no da error, el archivo es paquete es el correcto
rpm -Va
Verifica todos los paquetes instalados
-
Basados en Hosts rpm -Vf /bin/ls
Verifica los archivos individuales de un paquete instalado
rpm -K application.rpm
Verifica la suma de verificacin md5 y la firma GPG de un archivo
de paquetes rpm
Da el siguiente error en caso de falloapplication-1.0.i386.rpm
(SHA1) DSA sha1 md5 (GPG) NOT OK
(MISSING KEYS: GPG#897da07a)
-
Basados en Hosts SWATCH
Utiliza syslog para alertar anomalias
http://sourceforge.net/projects/swatch/
LIDS
Parche de kernel y una herramienta de administracin que tambin
puede controlar la modificacin de archivos.
Protege los archivos inclusive del root
http://www.lids.org/
