Download Intrusion y respuesta - La web de Sistemas Operativos (SOPA)

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
Document related concepts

Open Source Security Information Management wikipedia , lookup

Snort wikipedia , lookup

Herramienta de seguridad de red wikipedia , lookup

BackupPC wikipedia , lookup

Nmap wikipedia , lookup

Transcript 
Intrusion y Respuesta
Oscar Alejandro Ferrer Bernal
Facultad de Informática – Universidad de Las Palmas de Gran Canaria
Deteccion de Intrusiones
La deteccion de intrusiones es la practica de utilizar
herramientas inteligentes y automaticas para
detectar intentos de intrusion en tiempo real.
Dichas herramientas se llaman Sistemas de
Deteccion de Intrusiones (IDS)
Deteccion de Intrusiones

IDS (Intrusion Detection Systems)
Es un proceso o dispositivo que analiza el sistema y la actividad de red en busca de
operaciones no autorizadas o actividad maliciosa.

Metodos
deen
reaccion
o basados en Host
Basados
host /reaccion
  Metodos
preventivos
o basados en Red
Basados
en red/prevension
Ataques usuales






IP spoofing
Denegacion de servicios
Arp cache poisoning
DNS name corruption
Man in the middle
Exploits
Scanners

Herramientas que scanean las redes en
busca de host y servicios activados.




NMAP
QueSo
Saint (no es gratuito)
NMap
QueSo
QueSo es una herramienta para descubrir que tipo de sistema operativo se ejecuta
en un host remoto. Se basa en las diferencias entre las implementaciones del
protocolo TCP en cada sistema operativo. Por defecto prueba el puerto 80
aunque podemos especificar un puerto alternativo. Es facilmente filtrable por
firewalls.
Herramientas de deteccion






ippl
snort
tcplogd
HostSentry
Sistema Colibri
AAFID
IPPL
Ippl es un demonio que logea conexiones tcp, udp y icmp recividas por el host
SNORT
Es una herramienta de IDS capaz de analizar el trafico de red en tiempo real. Es
capaz de realizar analisis de protocolos y busqueda de patrones.
Puede usarse para detectar una amplia variedad de ataques



Snort utiliza tanto el metodo de reaccion como el de prevension
Dispone de una base de datos de ataques a los que reaccionar
mediante envio de alertas o logeo de actividad
Puede ser usado facilmente en redes heterogenas (puede enviar avisos
a estaciones windows via samba)
SNORT
Cada norma debe proporcionar:

Accion a llevar a cabo (alert, log, pasar)

Protocolo

Direccion origen

Puerto origen

Ip destino

Puerto destino

Opciones adicionales
TCPLOGD
Herramienta de deteccion de rastreos silenciosos tipicos de scanners como nmap o
QueSo.
HostSentry
Herramienta de deteccion de intrusiones basada en python que detecta anomalias en
el login. HostSentry bysca logins y logs del sistema y genera su propia
informacion de log.
Anomalias:

Comportamientos extraños (un usuario que nunca usa su shell comienza
a entrar con ella y a compilar codigo)

Anomalias de tiempo (un usuario realiza logins en horarios no
habituales)

Anomalias de lugar (un usuario hace login desde lugares anormales o
incluso imposibles)
Sistema Colibri
El sistema Colibri es un sistema de deteccion de intrusiones para redes extensas.
Esta formado por un conunto completo de herramientas que da el poder de
distribuir seguridad e informacionn de deteccion de intrusiones entre varios
hosts. Tambien puede ser utilizado para detectar ataques sofisticados en los
que se mezclan y coinciden multiples ataques y objetivos.
Esta muy bien documentado
Sistema AAFID
AAFID es un sistema de supervision y deteccion de intrusiones que emplea
pequeños programas independientes (agenteS) para realizar funciones de
supervision en los hosts de una red. Su mayor defecto es el tiempo necesario
para su correcta configuracion
Respuesta
Por mas tecnicas y herramientas que se utilizen para mantener la seguridad en la red
y los host antes o despues ya sea por un ataque o un fallo de software/hardware
parte del sistema puede fallar y ser necesaria su recuperacion. Por lo tanto es
necesario estar preparado para tal situacion.
Respuesta
Construccion de una red linux

Normalizacion Hardware

Usar hardware identico en todos los host, con soporte expreso

bajo linux.


Normalizacion Software

Precisar el software necesario en cada host y mantener un historial
de aplicaciones instaladas, asi como sus ficheros de configuracion


Realizar copias de seguridad habitualmente
Respuesta
Copias de seguridad



tar/gzip
dump/restore
Paquetes especializados (Kbackup,
BRU,AMANDA)
TAR/GZIP
A veces, para pequeños trabajos no es necesario utilizar grandes sistemas de copias
de seguridad automatizados. Para realizar copias de seguridad rapidas de
archivos especificos o parte del arbol de directorios es posible utilizar las
herramientas tar y gzip
DUMP/RESTORE
Dump examina un sistema de archivos y determina que archivos necesitan copiarse.
Inicialmente se realiza una copia de seguridad completa, en copias susecivas se
realiza una copia incremental, es decir unicamente los archivos que han
cambiado
DUMP/RESTORE

-level#


-f


especifica el directorio o dispositivo donde se realizara la
copia
-zcompression level


# es el nivel de la copia. Si es 0 se realizara un volcado
completo, el resto de los niveles indican una copia
incremental con respecto al ultimo
comprime los ficheros volcados con la librería zlib
-W


muestra estadisticas sobre el sistema de ficheros volcado
mas recientemente
DUMP/RESTORE
El comando restore realiza la operacion inversa a dup. Restarua una copia de
seguridad completa de un sistemas de archivos y subsecuentemente todas las
copias incrementales.
DUMP/RESTORE

-C


-f



especifica el directorio o dispositivo donde esta almacenada la
copia de seguridad
-r


restore debe comparar el contenido de la copia de seguridad con
los archivos de la unidad de disco duro
indica que restore debe restaurar el sistema de archivos
especificado
-v

muestra informacion detallada del proceso

indica a restore que trabaje en modo interactivo
-i
KBackup
Kbackup utiliza tar para archivos y ofrece un aaproximacion basada en dialog. Esta
especialmente indicado para trabajar con soportes de copias de seguridad tipo
cintas.
BRU
BRU es un sistema completo para realizar copias de seguridad. No utiliza tar, dump
ni ningun otro de los programas basicos incluidos en linux pero ofrece un amplio
soporte de hardware.

Copias de seguridad completas e incrementales.

Verificacion de integridad de los archivos a medida que son
copiados

Proteccion de sobreescritura de archivos

Estado de comparacion y almacenamiento de archivos

Chequeos de nombres de unidades, tamaños, etc.

Interfaz X atractiva y de facil uso


AMANDA
Es un sistema de copias de seguridad de la universidad de Maryland basado en
dump y restore. Permite que un host de la red actue como servidor de copias de
seguridad para mantener los volcados de ficheros de un multiples hosts de la
red.
FIN
Related documents
2.4. Tipos de Sistemas de detección de intrusos
2.4. Tipos de Sistemas de detección de intrusos
implementación de un sistema de protección y
implementación de un sistema de protección y
El sistema operativo GNU/Linux y sus herramientas libres en
El sistema operativo GNU/Linux y sus herramientas libres en
Análisis forense con distribuciones GNU/LINUX
Análisis forense con distribuciones GNU/LINUX
prueba de intrusión al sistema operativo windows server 2003 de
prueba de intrusión al sistema operativo windows server 2003 de
Diseño de Sistemas Operativos: o de Sistemas Operativos:
Diseño de Sistemas Operativos: o de Sistemas Operativos:
MaX 6.5. Administración de sistemas
MaX 6.5. Administración de sistemas
SEGURIDAD EN EL SISTEMA OPERATIVO GNU/LINEX (kernel 2.4
SEGURIDAD EN EL SISTEMA OPERATIVO GNU/LINEX (kernel 2.4
View/Open - Repositorio PUCE
View/Open - Repositorio PUCE
Sistemas Operativos en entornos Monousuario y Multiusuario
Sistemas Operativos en entornos Monousuario y Multiusuario
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE
HERRAMIENTA DE APOYO PARA EL ANÁLISIS FORENSE DE