TEMA 7 Deteccion Intrusiones

Embed Size (px)

DESCRIPTION

FFFF

Citation preview

  • Deteccin de intrusiones

    MSC. Jesus Bernardo Ruiz Flores

  • Definicin Es un proceso o dispositivo activo que analiza la

    actividad del sistema y la red

    Entradas no autorizadas

    Actividades Maliciosas

    Detectar el ataque antes de que el sistema sufra algn dao

  • Tipos de IDS Basados en conocimiento

    Alertan de un ataque antes de que sucedan utilizando una base de datos de ataques comunes

    Basados en comportamientos

    Seguimiento de los recursos usados buscando cualquier anomala, lo que es una seal positiva de actividad maliciosa

    Sistema estndar, configuraciones modificadas y registro detallado, combinando la experiencia del operador

    Adicionalmente puede ser basado en hosts y basado en red

  • Basado en Host Se instalan en cada Host. Considerado el mas completo

    Analiza reas del sistema operativo para determinar el uso incorrecto.

    Kernel

    Sistema

    Servidores

    Firewall

    Comparan los registros contra una base de datos interna de peculiaridades internas comunes sobre ataques conocidas.

  • Basado en Host

    Los basados en Linux y Unix hacen uso extensivo de syslog

    Tambin pueden verificar la integridad del sistema de archivo, utilizando md5sum o sha1sum. Envia mensajes en caso de cambios en los valores almacenados

  • Basados en Hosts Tripwire

    http://www.tripwire.org/

    RPM

    Manejador de paquetes de Linux

    rpm -V nombre-paquete

    Si no da error, el archivo es paquete es el correcto

    rpm -Va

    Verifica todos los paquetes instalados

  • Basados en Hosts rpm -Vf /bin/ls

    Verifica los archivos individuales de un paquete instalado

    rpm -K application.rpm

    Verifica la suma de verificacin md5 y la firma GPG de un archivo de paquetes rpm

    Da el siguiente error en caso de falloapplication-1.0.i386.rpm (SHA1) DSA sha1 md5 (GPG) NOT OK

    (MISSING KEYS: GPG#897da07a)

  • Basados en Hosts SWATCH

    Utiliza syslog para alertar anomalias

    http://sourceforge.net/projects/swatch/

    LIDS

    Parche de kernel y una herramienta de administracin que tambin puede controlar la modificacin de archivos.

    Protege los archivos inclusive del root

    http://www.lids.org/