Detección de intrusos mediante patrones con los programas Snort y Jueves, charla de Ismael Manzanera en BitUp.

IDS – Detección de intrusos mediante patrones con Snort y Jueves

Detectar a tiempo que alguien está intentando acceder a una red o dispositivo, es vital. Por ese motivo contar con herramientas y sistemas que ayuden en la monitorización, detección y contención de estos ataques resulta de vital importancia.

En las Jornadas de Ciberseguridad BitUp celebradas en Alicante, Ismael Manzanera (@Manza_Root) estudiante de Sistemas microinformáticos y redes de la modalidad dual y autodidacta y entusiasta del mundo de la ciberseguridad, centró su charla en los Sistemas de Detección de Intrusos (IDS) y explicó las posibilidades que tienen tanto Snort como Jueves para monitorizar los sistemas.

Los sistemas de detección de intrusos realizan principalmente dos tareas que son la prevención (mediante la monitorización) y la reacción. En función de las tareas de los mismos se distinguen entre IDS pasivos que son aquellos que realizan la prevención escuchando el tráfico (modo sniffer, monitorizando el tráfico de la red en tiempo real) o IDS activos que son los que realizan respuestas defensivas antes del ataque.

Hay tres tipos de IDS en función del lugar en el que se instalen en la red:

  • HIDS, Sistema de detección de intrusos de Host.
  • NIDS, Sistema de detección de intrusos de Red.
  • DIDS, Sistema de detección de intrusos distribuidos.

Sistemas de patrones en Snort y Jueves para detectar intrusiones

En la charla, que está disponible a continuación tanto en vídeo como en podcast como es habitual con los contenidos de Palabra de hacker, Ismael se centró en explicar el funcionamiento de Snort y Jueves, una herramienta que ha creado personalmente.

Ambas herramientas funcionan mediante la creación de patrones, pero en el caso de Jueves la tarea se simplifica ya que trabaja con Snort por debajo y ayuda en el proceso a aquellas personas que no controlen demasiado sobre este tema.

El funcionamiento en estos sistemas es sencillo, cuando alguno de los paquetes de tráfico en la red coincide con alguno de patrones que se han creado con las reglas que se hayan establecido esto se registra en un log lo que facilita conocer todos los detalles del ataque en el análisis posterior.

Snort, es una herramienta open source que puede funcionar como sniffer, como packet logger (registra los logs con las actividades detectadas) o en modo IDS. Funciona mediante patrones y se pueden configurar reglas, algunas de las cuales ya vienen preconfiguradas pero se pueden ajustar según las necesidades que se tengan de detección o defensa ante cualquier ataque.

Jueves, es un complemento basado en Snort que ha creado Ismael para simplificar los procesos. Está realizado en Python 3 y existe una versión en español y otra en inglés.

Trabaja con Snort por debajo y guarda un log con toda la actividad registrada y se encarga directamente de crear patrones aunque. En la charla enseña mediante dos demos cómo trabaja Jueves para detectar un posible escaneo de puertos con Nmap que se esté lanzando a nuestra red y un metaexploit enviado mediante un enlace.

En esta ocasión recomiendo complementar estos contenidos con la charla ‘Cómo montar un SOC en casa‘ (Centro de Operaciones de Seguridad), también la charla ‘Cómo defenderse de los malos con Cyber Threat Intelligence o inteligencia de amenazas‘ y la píldora ‘Análisis de un incidente de seguridad‘ así como revisar la lista de reproducción con todas las charlas de las Jornadas BitUp disponibles.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Quieres recibir todas las novedades por newsletter?

Nombre

Correo electrónico


Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL - PRIVACIDAD - COOKIES

¡Deja tu comentario! Tu correo electrónico no será publicado.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.