Upload
vladimir-calle-mayser
View
217
Download
0
Embed Size (px)
DESCRIPTION
FFFF
Citation preview
Deteccin de intrusiones
MSC. Jesus Bernardo Ruiz Flores
Definicin Es un proceso o dispositivo activo que analiza la
actividad del sistema y la red
Entradas no autorizadas
Actividades Maliciosas
Detectar el ataque antes de que el sistema sufra algn dao
Tipos de IDS Basados en conocimiento
Alertan de un ataque antes de que sucedan utilizando una base de datos de ataques comunes
Basados en comportamientos
Seguimiento de los recursos usados buscando cualquier anomala, lo que es una seal positiva de actividad maliciosa
Sistema estndar, configuraciones modificadas y registro detallado, combinando la experiencia del operador
Adicionalmente puede ser basado en hosts y basado en red
Basado en Host Se instalan en cada Host. Considerado el mas completo
Analiza reas del sistema operativo para determinar el uso incorrecto.
Kernel
Sistema
Servidores
Firewall
Comparan los registros contra una base de datos interna de peculiaridades internas comunes sobre ataques conocidas.
Basado en Host
Los basados en Linux y Unix hacen uso extensivo de syslog
Tambin pueden verificar la integridad del sistema de archivo, utilizando md5sum o sha1sum. Envia mensajes en caso de cambios en los valores almacenados
Basados en Hosts Tripwire
http://www.tripwire.org/
RPM
Manejador de paquetes de Linux
rpm -V nombre-paquete
Si no da error, el archivo es paquete es el correcto
rpm -Va
Verifica todos los paquetes instalados
Basados en Hosts rpm -Vf /bin/ls
Verifica los archivos individuales de un paquete instalado
rpm -K application.rpm
Verifica la suma de verificacin md5 y la firma GPG de un archivo de paquetes rpm
Da el siguiente error en caso de falloapplication-1.0.i386.rpm (SHA1) DSA sha1 md5 (GPG) NOT OK
(MISSING KEYS: GPG#897da07a)
Basados en Hosts SWATCH
Utiliza syslog para alertar anomalias
http://sourceforge.net/projects/swatch/
LIDS
Parche de kernel y una herramienta de administracin que tambin puede controlar la modificacin de archivos.
Protege los archivos inclusive del root
http://www.lids.org/