Tecnologo en sistemas

Técnicas de Evasión de Nids (Marzo 2010)
Andres Bernal Javier Nieto Jonjar Guerrero Cesar Moscoso Javier marqués II. MARCO TEÓRICO A. Nids Aplicaciones encargada de la supervisión de paquetes enviados y/o recibidos desde un host o un segmento de red , El trabajo de los Nids se fundamentan en 2 métodos Reacción y Prevención, siempre visualiza los log en el sistema y cuando detecta una anomalíaactúa bloqueando el ataque , claro está siempre y cuando tenga información del ataque en la base de datos, trabaja también como Sniffer realizando un escaneo de los puertos , detectando paquetes de transito anormales y buscando patrones que supongan algún tipo de ataque.. La implementación de estas aplicaciones no garantiza la seguridad total de una red, también se necesitan aplicaciones como unFirewall para poner mayor restricción y control sobre los accesos que se hagan a nuestra red. Los Nids manejan archivos de Control que permiten habilitar o deshabilitar algún puerto, al igual manejar la restricción de las paginas que se visitan. Normalmente analizan el trafico de red en tiempo real , no solo trabajan a nivel de TCP/IP también lo pueden hacer a nivel de aplicación.

Los Nids sonherramientas de detección de intrusos, se denominan (Network Intruder Detection System) existen diferentes tipos de Nids, su estrategia se basa en el escaneo de puertos y en los análisis de paquetes que puede enviar y recibir una maquina. Uno de los Nids nas populares es el Snort ya que a su licenciamiento es una aplicación que es posible descargar de la web sin restricción , es una aplicaciónrobusta pero que con algunos técnicas realizaremos un ataque para no ser detectados por la aplicación.

I. INTRODUCCIÓN

E

l crecimiento acelerado y su bajo costo hacen que la internet sea un servicio a disposición de todo el mundo, con esto también crece la incertidumbre en seguridad para las grandes y pequeñas empresas, que al estar en internet son vulnerables y su seguridad está de por medio,es necesario contar con los mejores y para esto también se requieren de las mejores aplicaciones para tener una supervisión de que pasa por nuestra red. Existen gran cantidad de herramientas que nos permiten controlar los accesos que hacemos desde nuestra red, pero va mas allá , las técnicas utilizadas hoy en día para realizar hacking a las redes de las empresas y nuestros equipos son másinnovadoras y para ellos se requieren de aplicaciones robustas y de gran fidelidad. Aunque esto también atrae costos pero existen diferentes herramientas Free que nos permiten implementar en una red un impedimento mas para tratar de evitar que nuestra red sea vulnerada, aunque eso suene imposible. Lo que pretendemos realizar con este trabajo es describir como se realiza un ataque a un equipo que tieneinstalado Snort un Nids muy conocido hoy en día, es una aplicación robusta que maneja una base de datos con la información de los ataques soportados lo que lo hace un sistema seguro mas no confiable.

Imagen tomada de : http://www.secureworks.com/services/managed/network_intrusion_drawing. gif

B. Snort Snort es un sniffer de paquetes y un detector de intrusos basado en red. Es un software muyflexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Este IDS implementa un lenguaje de creación de reglas flexibles, potentes y sencillas. Durante suinstalación ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap, etc. C. NEGACION DE SERVICIO Uno de los ataques más populares, son los ataques de denegación de servicio (DoS) que intenta Comprometer la disponibilidad del un recurso. Entre los más conocidos se encuentran los SynFloods, MailBomb, PingFlod y el famosísimo “Ping de la Muerte”. Todos...