Infografia.- Ventajas de los IDS

Esta infografia viene a colación de una pregunta que me hizo un amigo hace una semana y la verdad es que por su cara, no creo que se enterara mucho de lo que le explicaba. Así que, para el va esta explicación y ademas en formato imagen. 

Sed Buenos ;) 

Security Onion.- Una Distro Para Monitorizarlo Todo

Security Onion no es una distribución Linux como las que estamos acostumbrados a ver sino que se dedica exclusivamente a hacer las funciones de IDS, network security monitoring y a la gestión de logs. Osea se, todo lo que una PiME necesitaría para monitorizar su seguridad puesto en una distribución que solo faltaría configurarla debidamente.

¿Que tipo de información es capaz de mostrarnos?

• Alertas HIDS desde OSSEC y NIDS desde Snort/Suricata
• Información de los Asset desde Prads y Bro
• Todo el contenido de la información desde la herramienta netsniff-ng
• La información del Host via OSSEC y syslog-ng
• La información de Sesión desde Argus, Prads, y Bro
• Información de Transacciones desde los logs http/ftp/dns/ssl/other de Bro

Si quereis descargar la distribución os recomiendo que vayais a la fuente de esta noticia donde encontrareis mas información: 

•  http://www.kitploit.com/2015/11/security-onion-linux-distro-for.html

La verdad es que la configuración y el uso de cada una de las herramientas daría para un libro (guiño guiño patada patada)

Sed Buenos ;) 

Inteco.- El Servicio AntiBotnet de OSI

Ya hemos hablado de [INTECO] bastantes veces en este blog pero nunca he caído en hablaros de la [OSI] la Oficina de Seguridad del Internauta. Esta oficina virtual se dedica a proporcionar la información y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden existir en Internet. Así que si no sabéis como actuar cuando tengáis algún problema de seguridad dirigiros rápidamente a OSI. 

Una vez hablado de esta oficina, me gustaría entrar en un servicio que me ha llamado mucho la atención y que, en mi opinion, va a ayudar a mucha gente. Se trata del Servicio AntiBotnet de OSI. Este servicio utiliza tu IP Publica para comprobarla con su base de datos de IP que utilizan las Botnet ya conocidas. De esta manera te podrán avisar si has sido o estas siendo una victima mas en una de las miles de Botnets que hay en el mundo 

Mas Información: 

• http://www.osi.es/servicio-antibotnet/informacion

Podéis descargaros el plugin para Google Chrome desde aquí:

• https://chrome.google.com/webstore/detail/osi-servicio-antibotnet/hhljghnmjahiaofikeljkjnhbeoiclbh?hl=es

Sed Buenos ;) 

Slide.- Juro Que Es la Penúltima Entrada (IDS,IPS,Wireles, Peritaje)

Ultimo de la formación antes del examen. Espero no ser muy cansino con las slides pero la verdad es que gran parte del tiempo que puedo dedicar a la seguridad informática al dia se ha ido en la creación de todas estas slides. Aun así, espero que os estén gustando a todos y que os sirva para aprender o refrescar algunos temas.

Hoy le ha tocado el turno a los IDS/IPS, al Wireles en general y al Peritaje informático. Os dejo las slides. 

Se que en la clase he dicho que hoy no estarian, pero he tenido un hueco xD

Sed Buenos ;) 

Pytbull.- Testeando IDS e IPS

Hace muchísimo que hablamos sobre los [Sistemas IDS e IPS] (Intrusion Detection/Prevention System) los cuales los haces la vida mucho mas fácil y agradable a los paranoicos como yo. Pero, estamos seguros de que nuestros IDS o IPS funcionan y no han sido anulados por algún malware. Para eso me ha hecho gracia encontrarme con el Framework Pytbull el cual nos ayudará a testar el buen funcionamiento de estos sistemas. 

"pytbull is an Intrusion Detection/Prevention System (IDS/IPS) Testing Framework for Snort, Suricata and any IDS/IPS that generates an alert file. It can be used to test the detection and blocking capabilities of an IDS/IPS, to compare IDS/IPS, to compare configuration modifications and to check/validate configurations."

lo he estado probando un rato pero, aun me falta mucho para aprender sobre el ya que contiene un montón de testeos y necesito tiempo para profundizar en ellos. Pero, ese una herramienta la mar de completa y recomendable. 

Fuente:  http://www.ehacking.net/2014/02/pytbull-intrusion-detectionprevention.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+ehacking+%28Ehacking-+Your+Way+To+The+World+Of+IT+Security%29

Sed Buenos ;)

Sistemas IDS.- HIDS, NIDS

Hoy como me había dejados algunos puntos en el tintero para acabar con la [introducción a IDS], esta noche quiero ver la segunda temporada de Juego de tronos que se estrena en la Sexta y mañana me he levantar pronto para disfrutar del del congreso sobre reputación, legalidad y seguridad en la red [Brandcare]. Hoy, entraremos un poco en las diferencias que hay en un HIDS y un NIDS.

HIDS --> (Host Intrusion Detection Systems) el funcionamiento depende del intruso, es decir, si el intruso quiere hacer con en control de un equipo generalmente deja algún rasgo (a no ser que sea muy bueno). La faena de este tipo de IDS es detecar las variaciones que vaya haciendo el intruso y hacer un reporte. 

NIDS --> (Network Intrusion Detection Systems) Mientras que el sistama HIDS solo funcionaba con 1 solo host o equipo. El sistema NIDS se encargara de detectar esas variación en el segmento de la red en el que este instalado. Trabajando en modo "promiscuo" (que mal suena esa palabra xD) para poder capturar el trafico de red que convenga. (Like A Sniffer).

Sed Buenos ^^ 

IDS e IPS.- Esos Bellos Sistemas

Hoy después de unos días haberle dado fuerte y duro a los certificados, no me he podido parar en pensar en sistemas que nos ayuden a la detección y  a la prevención de posibles problemas que puedan aparecer. Por eso, hoy hablaremos largo un poco sobe que son los sistemas IDS e IPS. 

IDS -->  (Sistema de Detección de Intrusos) es un programa usado para detectar accesos no autorizados a un equipo. Estas herramientas se basan en el análisis del trafico de red, comparando las firmas de atacantes conocidos o de comportamientos sospechosos, como por ejemplo un escaneo de puertos. 

IPS -->  (Sistema de Prevención de Intrusos) este tipo de herramientas se encargan de controlar el acceso en una red ante posibles atacantes. Un IPS ( y por eso dicen , algunos, que es un modulo de IDS) puede bloquear el host (equipo) que está realizando esa acción maliciosa impidiendo la entrada al servicio si fuera necesario. 

Un ejemplo de este tipo de programas seria el conocido Snort de código abierto. Pero, como hecha la ley hecha la trampa, ya hay maneras de evitarlo como por ejemplo [TOPERA]