lunes 7 de diciembre de 2009

IDS ¿Quien quiere entrar hoy?

ids (Intrusion Detection System) Como dice el título en Ingles es un Sistema de Detección de Intrusos...como a muchos nos ha pasado un día haciendo un netstat -a hemos visto una actividad un poco extraña y hemos llegado a la conclusión "hay un hacker" hacerca de esto pues un hacker no es ese que se te cola al sistema para hacerte daño pero si ahora mismo nos ponemos a discutir sobre filosofía de la historia de los hackers llegaríamos a mucho tiempo de estar discutiendo...


Pero para ese tipo de situaciones existen los IDS y/o IPS, mm un IDS que es de los que hablaremos es un tipo de herramienta mediante la cual podemos detectar a un intruso ya sea en nuestra red o en nuestra PC, normalmente estos ataques estan hechos por gente que usa expl0its para entrar pero nadie quita que lo pueda estar haciendo de manera manual...


Explicaré un poco el funcionamiento del IDS...Lo que hace nuestro IDS es hacer un continuo escaneo de nuestra PC o Red para estar al tanto de siertas actividades fuera de lo común, puede ser una mala conexión, raw data, un port scanning o algo que segun los algorítmos que use el IDS sea considere peligroso, los IDS funcionan parecido a un antivirus, se van actualizando segun los nuevos errores que se vayan encontrando y que puedan representar como una amenaza para su sistema.


Ahora que problema tienen los IDS... Pues los IDS no siempre son exactos para encontrar a los "Hackers", otra cosa es que los IDS lo que hacen es encontrar pero no eliminar es decir el IDS como ejemplo, te hara saltar una ventana que diga "ha sido encontrada una intrusión por el puerto 23" ese mensaje ha sido creado por mi imaginacion no es real pero en el caso de que lo fuera el IDS lo único que haría sería decirle eso pero no haría nada al respecto por eso el IDS se debe convinar con un Firewall o un dispositivo de enlase Internet <----> PC...


Hoy les quería hablar del SNORT este es un IDS muy interesante, lo que lo hace interesante antes que todo es que es Open-Source, esto quiere decir que lo podemos acomodas un poquito... el Snort cumple función de IPS y IDS es decir que te da consejos y aplica los consejos de seguridad para prevenir un ataque pero en el caso que se de el snort también te dice que es lo que esta pasando. El Snort, es cómodo y fácil de user, yo lo tengo puesto en mi Windows XP y pues eso convinado con un firewall y una configuración a mano hace un poco difícil que no me de cuenta si alguien esta adentro aun que como dije a todos nos ha pasado.


Dando Click aquí y les recomiendo como usuarios de Linux y Windows que usen mejor el Snort con Linux, es mas compatible, eso y una buena configuración de IP tables haría que todo este perfecto...


mas adelante haré un tutorial de como hacer una convinación de firewall e IDS para una seguridad respetable pero no invulnerable en sus PCs, por ahora pueden usar el Snort pero si quieren otros pueden comprar en algunos lugares online solo busquen en google...



Saludos
Dr.White

1 comentarios:

agux dijo...

Siento discernir sobre el tema. Muchas veces he intentado configurar Snort en un linux y se las trae. Yo diría que al final nunca he alcanzado el objetivo de bloquear los ataques deseados combinándolos con iptables. :(