Técnicas de prevención de intrusiones.

No solo los ciberataques continúan sino y se intensifican más. Guillaume Poupard, el Director General de la Agencia Nacional de Seguridad de los Sistemas de Información (ANSSI) declaró, y habla «Intensificación de los ataques cibernéticos contra las empresas franceses». Siempre de acuerdo con él, se han observado casos concretos de ataques cibernéticos, incluso si la información no siempre se transmite en los medios de comunicación.

m. Poupard dice que a partir de ahora, «Casi cualquiera puede ser el objetivo». Por lo tanto, las técnicas de prevención de intrusiones son esenciales.

y este punto es muy importante porque yo fui intervenido en una reunión de conciencia con los líderes empresariales, y a menudo los pusieron antes de que tuvieran poco riesgo de ser hackeado. Algunos sentían que si su negocio es poco conocido o muy pequeño, nadie vendrá a apuntar a ellos. Otros pensaron que era mejor dejar, solo los funcionarios de seguridad informática se ocupan de toda la seguridad de la compañía.

está mal.

El sistema de información de la empresa debe estar protegido en todos los niveles, Y va mucho más allá del uso de un antivirus en los postes.

Ya hemos hablado de seguridad a nivel humano y la importancia de la conciencia. El artículo de hoy será una introducción a las técnicas de prevención de intrusiones en el sistema y nivel de red.

IDS o IPS? ¿Prevención de intrusiones o detección de intrusos?

¿Qué es un IDS?

Condenamos a menudo sobre «Sistemas de detección de intrusos» (sistema de detección de intrusos en inglés) para referirse a los mecanismos para detectar un sospechoso Ataque o actividad.

Existen dos tipos principales de ID:

  • NIDS ( Sistema de detección de intrusión basada en la red ), que monitorea la actividad de la red.

Ellos trabajan en 3 etapas:

primero, el tráfico de la red se captura, en particular utilizando el famoso librero de captura de paquetes PCAP. Los paquetes capturados se filtran para refinar las búsquedas.

Luego se realiza un análisis de firma, con las desventajas similares a las de los análisis de antivirus convencionales. Dado que los ataques o fallas de los 0 días son difíciles de localizar al tener una base de datos de firma ya predefinida.

Finalmente, las alertas se generan y se almacenan en los archivos de registro en forma estándar.

  • hids ( Sistema de detección de intrusos basado en el host ), que monitorea la actividad a nivel del sistema (host).

hids operan como servicios de sistema operativo estándar que monitorean usuarios y procesos. El número y el tipo de procesos, los comandos utilizados, las fechas de inicio de sesión son parte de los muchos elementos que monitorearán un HIDS.

Por supuesto, dijeron las llamadas ID de «híbridos»: actúan en el Nivel de host y red al mismo tiempo. Una identificación híbrida es práctica, en particular, para analizar lo que se llama «correlación», es decir, el vínculo entre varios eventos. Esto lo convierte en un análisis mucho más preciso. Por ejemplo, si se genera un error HTTP 404, no es sospechoso como tal, pero si al mismo tiempo, varias consultas generan errores, hay una probabilidad de que el sitio sea atacado.

Estos sistemas también Dibuja conclusiones sobre los comportamientos sospechosos identificados o por el contrario aquellos que no lo son. Una especie de estudio de amenazas cibernéticas.

Configurar clásico con IDS SNORT

Usaré en esta pequeña versión tutorial 2.9.7.6 de Snort e lo instalaré en un Ubuntu 14.04 Máquina.

También puede ir al sitio web de snort.org para descargar la última versión de Snort.

Nota: AUTOSNORT es una serie de scripts que permiten configurar los resúmenes, pero también los requisitos previos y los complementos.. Si desea automatizar lo siguiente, y más puede pasar por AutoSnort directamente. En casa, parece ser un problema, por lo que no lo usaré.

Instalaremos primero los requisitos previos primero:

 sudo apt-get install -y build -essential libpcap -dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev 

Luego crearemos una carpeta en la que se descargará Snort:

 mkdir ~ / snort_srccd ~ / snort_src 

Instale ahora DAQ (biblioteca de adquisición de datos) que reemplaza las llamadas directas de las funciones libpcap para realizar un resoplido más flexible (asegúrese de usar la última versión de DAQ, posiblemente reemplazando «2.0.6»):

 wetts https://www.snort.org/downloads/snort/daq-2.0.6.tar.gztar -xvzf daq-2.0.6.tar.gzcd daq-2.0.6./configuremakesudo Hacer instalar 

Todavía tenemos que instalar el resoplido en sí mismo (asegúrese de usar la última versión de Snort, posiblemente reemplazar «2.9.7.6»):

 cd ~ / snort_srcwget https: //www.snort.org /downloads/snort/snort-2.9.7.6.tar.gztar -xvzf snort-2.9.7.6.ta R.GZCD Snort-2.9.7.6./configure -enable-sourceFirEmakesudo Hacer instalar 

Dos últimas cosas que establecer (actualizar bibliotecas compartidas y enlace simbólico):

 sudo ldconfigsudo ln -s / usr / local / bin / snort / usr / sbin / snort 

Debe estar listo para usar Snort. Debe ser necesario saber que hay tres modos de uso de Snort:

  • Modo de olfatificación de moda: para observar la información del encabezado.
  • Modo de paquete de registro: para observar paquetes en una fecha posterior.
  • MODO IDS: Compare paquetes con respecto a las reglas establecidas.

Para usarlo en el modo IDS, activará una cuenta especial para Snort ( No queremos usar la cuenta raíz) y copiaremos los archivos de configuración necesarios en «/ etc / snort» con los derechos que toma:

 sudo groupadd snortudo useraddd snort -c snort_ids -g snorstudo mkdir / etc / snortsudo mkdir / etc / snort / rulessudo mkdir / etc / snort / preproc_rulessudo touch /etc/snort/rules/white_list.rules / etc /snort/rules/lack_list.rules /etc/snort/rules/local.rulessudo mkdir / var / log / snortsudo mkdir / usr / local / lib / snort_dynamicrulessayo chmod -r 5775 / etc / snortudo chmod -r 5775 / var / log / log / snorstudo chmod -r 5775 / usr / local / lib / snort_dynamicrulessayo c Hown -R Snort: Snort / etc / Snortsudo Chown -R Snort: Snort / Var / Log / Snortsudo Chown -R Snort: Snort / USR / local / lib / snort_dynamicrulessayo cp ~ / snort_src / snort-2.9.7.0 / etc / *.conf * / etc / snortudo cp ~ / snort_src / snort-2.9.7.0 / etc / *. Mapa / etc / snort 

Justo antes de lanzarlo, editaremos el archivo de configuración:

 sudo vi /etc/snort/snort.conf 

→ ET Agregar nuestra dirección IP, así como las rutas de la derecha para las reglas (modifique las siguientes variables):

 ipvar home_net 10.0. 2.15 / 24 #place su dirección IP local aquíIpvar External_net! $ Home_netvar regling_path / etc / snort / reglasvar so_rule_path / etc / snort / so_rulesvar preproc_ruple_path / etc / snort / preproc_rulesvar white_list_path / etc / snort / reglasvar black_list_path / etc / etc / etc snort / reglas 

Las reglas (designadas por Incluir un nombre de archivo) se descargarán automáticamente a través de PulledPork, para que podamos comentar sobre ellos:

 sudo sed -i 's / incluyen $ regla_path / # Incluye $ reglas_path / '/etc/snort/snort.conf

A esto solo que el siguiente archivo de reglas se puede comentar para agregar una regla y probarlo (elimine la libra antes de "incluir"):

 incluyen $ reglas_path / local.rules 

Tomemos una prueba de configuración:

 sudo snort -t -c /etc/snort/snort.conf 

Importante 'Snort Indica el siguiente texto, todo es bueno:

 Snort validado con éxito! Snort que sale 

Entonces, agreguemos una regla simple en el archivo "/etc/snort/rules/local.rules":

 alerta ICMP CUALQUIER CUALQUIER - $ HOME_NET CUALQUIER (MSG: "PRUEBA DE ICMP"; SID: 10000001; Rev: 001;) 

Snort Lanes:

 sudo / usr / local / bin / snort -a consola -q -u snort -g snort -c / etc / snort / snort.conf -i eth0 

y haga un ping a una máquina al aire libre para observar la alerta:

La parte superior de la imagen muestra el resoplido en acción, nuestra alerta se activa en cada ping Consulta mostrada en la parte inferior.

desde allí, queda por crear sus propias reglas o para descargar directamente al sitio web oficial.

¿Qué es qué IPS?

IPS Trabaja simplemente a IDS pero tome medidas, se llama "activo".

No hablamos de nidos y hids, sino pellizcos y caderas. Normalmente, una PEPS puede renunciar o cancelar una conexión TCP sospechosa y las caderas pueden matar un proceso y eliminar un programa sospechoso.

Snort también juega el papel de las IPs a través de los complementos como Snortsam.

El IPS más conocido es probablemente Fail2ban, lo que observa los registros de sistemas en busca de patrones específicos al prohibir a los usuarios en consecuencia.

Protección de la empresa con un IPS

No es tan rosa para la intrusión Sistemas de detección y prevención. Los ataques se diversifican y se especializan, las técnicas de los días también siguen siendo difíciles de luchar.

Para ser lo más eficiente posible, un buen sistema de prevención de intrusiones debe integrar ciertos puntos fundamentales.

el mismo La revisión ha publicado una infografía en las 12 reglas de oro de un IPS. Ya le reservo las primeras 3 reglas a continuación y no dude en consultar los otros 9 directamente en el sitio: revise: 12 Reglas de oro de un IPS

para ir más allá: los pasos para comenzar con el pirateo

E-book pdf 6 errores adorados por informáticos portátiles

que siempre lo hará vulnerable en los mitos de Lino del antivirus perfecto... lo que saben los piratas sobre youtc...

Descargo mi guía gratuita ×

¿En qué dirección de correo electrónico le gustaría recibir la guía?

artículos similares

Los grandes hacks del año 2022 y el pronóstico para 2022

Como se esperaba el año pasado, el número de ataques cibernéticos todavía está arriba, y el año 2022 ha sido todavía un año cargado de Hacards. Aquí para comenzar algunos hechos que vienen de Kaspersky: en 2022, el 58% de las computadoras en el negocio bloqueó al menos un ataque de software malintencionado. Kaspersky...

De nuevo en los ataques cibernéticos de 2022 + regalos Para ganar!

El año 2022 termina, y con la frecuencia, me gusta hacer un poco de regreso durante el año pasado. Pero también quería ofrecerte regalos, y le diré cómo ganarlos al final de este artículo. 2022, ¿el año del ransomware? 2022 ha sido lo que ha esperado un año ocupado...

Entendiendo el CRGPD desde el punto de vista del usuario

Ahora tiene el hábito: la famosa diadema de galletas está presente en casi todos los sitios web y le pide que aceptes cookies para continuar su navegación. El 25 de mayo de 2022, un nuevo reglamento europeo nace y fortalece la seguridad de los datos personales. ¿Por qué fortalecer...

Deja un comentario

Tu dirección de correo electrónico no será publicada.