Herramientas para para deteccin de intrusos

Qu es y para qu sirve
Snort es un Sistema de Deteccin de Intrusos (IDS) basado en red (IDSN). Dispone de un
lenguaje de creacin de reglas en el que se pueden definir los patrones que se utilizarn a
hora de monitorizar el sistema. Adems, ofrece una serie de reglas y filtros ya
predefinidos que se pueden ajustar durante su instalacin y configuracin.
Se trata de un sistema basado en red que monitoriza todo un dominio de colisin y
funciona detectando usos indebidos. Estos usos indebidos (o sospechosos) se reflejan en
una base de datos formada por patrones de ataques. Dicha base de datos se puede
descargar tambin desde la propia pgina web de Snort, donde adems se pueden
generar bases de patrones "a medida" de diferentes entornos (por ejemplo, ataques
contra servidores web, intentos de negaciones de servicio, exploits...).
En la pgina oficial de snort (http://www.snort.org) se puede comprobar que es uno de los
IDS ms usados y populares entre los sistemas de deteccin de intrusos, ya que cuenta
con multitud de descargas diarias. Esta popularidad puede ser debida a que se puede
adquirir mediante licencia GPL gratuita ya que es cdigo abierto y funciona bajo
plataformas Unix/Linux y Windows.
Es usual utilizarlo en combinacin con herramientas del tipo Honeyput (tarro de miel) con
el fn de monitorizar e interpretar ataques reales en un escenario controlado.
IDS
Un Sistema de Deteccin de Intrusos (IDS) es una herramienta de seguridad que trata de
detectar y monitorizar cualquier intento de comprometer la seguridad en un sistema o una
red. Se pueden definir previamente una serie dereglas que impliquen una actividad
sospechosa en dicho sistema o red y generar una alerta en consecuencia.
Los IDS incrementan la seguridad de nuestro sistema o red y, aunque no estn diseados
para detener un determinado ataque, si que se pueden configurar para responder
activamente al mismo.
Tipos de IDS
Los IDS se pueden clasificar segn el alcance de su proteccin:
HIDS (Host IDS): Protege contra un Host (Servidor o PC). Posibilita la monitorizacin de
gran cantidad de eventos para un posterior anlisis detallado de las actividades
sospechosas de manera que se determina con precisin cuan involucrados se encuentran
los usuarios en una determinada accin. Todo ello ocurre en modo local, dentro del propio
sistema.
NIDS (Net IDS): Protege un sistema basado en red. Son sniffers del trfico de red, ya que
capturan los paquetes de red y los analizan, normalmente en tiempo real, segn las reglas
con las que ha sido configurado en busca de algn tipo de ataque.
DIDS (Distributed IDS) Protege un sistema con una arquitectura basada en cliente-
servidor formada por un conjunto de NIDS que actan recopilando toda la informacin en
una base de datos central. La ventaja de este sistema es que cada NID se puede
configurar con las reglas especficas de control que se aplicarn a un determinado
segmento de red.
Tambin se pueden clasificar segn el tipo de respuesta que generan:
Pasivos: En este tipo de IDS, la herramienta recopila los datos que se generan como
consecuencia de las reglas que se han configurado y genera las alertas pertinentes,
notificando de posibles ataques al administrador de red, en su caso, pero no acta en
consecuencia para evitar el ataque por si mismo.
Activos: Los IDS activos s que responden a las actividades sospechosas que han sido
configuradas, tratando de evitar el posible ataque, cerrando la conexin, reprogramando
el cortafuegos, etc.
Como funciona
En la versin de Windows, es necesario instalar WinPcap. Este software consiste en un
driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y
una librera que facilita a las aplicaciones acceder a la capa de enlace saltndose la pila
de protocolos.
Snort puede funcionar en:
Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la red
en que Snort es configurado.
Modo packet logger (registro de paquetes), en el que se almacena en un sistema de log
toda la actividad de la red en que se ha configurado Snort para un posterior anlisis.
Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la
actividad de la red a travs de un fichero de configuracin en el que se especifican las
reglas y patrones a filtrar para estudiar los posibles ataques.








Qu es Nmap?

Nmap es una herramienta de cdigo abierto para exploracin de red y auditora de seguridad. Se
dise para analizar rpidamente grandes redes, aunque funciona muy bien contra equipos
individuales. Nmap utiliza paquetes IP "crudos" (raw, N. del T.) en formas originales para
determinar qu equipos se encuentran disponibles en una red, qu servicios (nombre y versin de
la aplicacin) ofrecen, qu sistemas operativos (y sus versiones) ejecutan, qu tipo de filtros de
paquetes o cortafuegos se estn utilizando as como docenas de otras caractersticas. Aunque
generalmente se utiliza Nmap en auditoras de seguridad, muchos administradores de redes y
sistemas lo encuentran til para realizar tareas rutinarias, como puede ser el inventariado de la red,
la planificacin de actualizacin de servicios y la monitorizacin del tiempo que los equipos o
servicios se mantiene activos.


Qu es Nessus?
Qu es Nessus?
Nessus es un programa de escaneo de vulnerabilidades. Consiste en dos partes nessusd, el daemon Nessus,
que es el encargado de realizar el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o
grfico) que muestra el avance y resultados de los escaneos.
Desde la consola nessus puede ser programado con cron para hacer escaneos o actualizar la base de datos
de plugins.
En operacin normal, nessus comienza escaneando los puertos con nmap o con su propio escaneador de
puertos, para buscar puertos abiertos y despus intentara usar varios exploits para atacarlo.
Las pruebas de vulnerabilidad, disponibles como una larga lista de plugins, son escritos en NASL (Nessus
Attack Scripting Language, Lenguaje de Scripting de Ataque Nessus por sus siglas en ingls), un lenguaje
scripting optimizado para interacciones personalizadas en redes.
Adicionalmente, Nessus es capaz de exportar los resultados del escaneo en varios formatos, como texto
plano, XML, HTML, y LaTeX. Los resultados tambin pueden ser guardados en una base de datos como
referencia en futuros escaneos de vulnerabilidades.
OJO!
Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos
se corrompan y caigan.
Podis evitar esto desactivando unsafe test (pruebas no seguras) antes de escanear.


http://books.google.com.mx/books?id=dG4lAwAAQBAJ&pg=PA170&lpg=PA170&dq=herramientas+para+la+s
eguridad+politicas+de+seguridad&source=bl&ots=N46TxSN4B8&sig=mkJ3A64tCANXoCNZS1lypLdApy8&hl=
es&sa=X&ei=51hgU66vIILE2wX3poDYDg&ved=0CHAQ6AEwCQ#v=onepage&q=herramientas%20para%20la
%20seguridad%20politicas%20de%20seguridad&f=false