tag:blogger.com,1999:blog-21555208.post7609300495009257648..comments2024-03-21T18:48:30.830+01:00Comments on Un informático en el lado del mal: Sistemas de Detección de Intrusiones Amor y odio (I de III)Chema Alonsohttp://www.blogger.com/profile/16328042715087424781noreply@blogger.comBlogger6125tag:blogger.com,1999:blog-21555208.post-88722844770472569662008-11-21T21:18:00.000+01:002008-11-21T21:18:00.000+01:00Interesante articulo como siempre :). Cuando he te...Interesante articulo como siempre :). <BR/>Cuando he tenido que trabajar con sistemas IDS me he encontrado con el dilema que nos propones :P. Normalmente suelo realizar este ultimo a base de evaluar los logs. Ya que depende de que sistemas el análisis puede dar una bajada de rendimiento enorme si hablamos de reglas realtime. Como por ejemplo ModSecurity. En este caso hay que definir un conjunto de reglas básicas que deben ser mantenidas según va creciendo la aplicación Web (obviamente podemos modular la infraestructura creando un proxy inverso para gestionar las peticiones). El trabajo es algo más tedioso pero a nivel Web da buen resultado. Para esto recomiendo Remo :) es un editor de reglas para mod_security que ayuda bastante a “asegurar” una aplicación Web. Por curiosidad estoy trabajando en un “modulo similar” en LigHTTPD. Gracias a mod_magnet y Lua :) y siendo “ágiles” podemos crear un escenario bastante seguro y de rápida respuesta. También para los que les interese el tema de monitorizar servicios MySQL pueden echarle un ojo a GreenSQL o dedicarle un rato a MySQL Proxy con unas buenas reglas en Lua :P. <BR/><BR/>saludos benignos :Plabshttps://www.blogger.com/profile/04408586355874033731noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-36798071515782020612008-11-21T18:08:00.000+01:002008-11-21T18:08:00.000+01:00Mi propuesta es tener un IDS basado en firmas para...Mi propuesta es tener un IDS basado en firmas para entrada y basado en correlación y estadísticas de tráfico para salida.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-20471757088128111332008-11-21T17:29:00.000+01:002008-11-21T17:29:00.000+01:00Además del tema de las reglas y el aprendizaje, en...Además del tema de las reglas y el aprendizaje, en mi opinión, uno de los problemas reales es el producido por la segmentación de red: el dispositivo (si no está basado en host) debe ser capaz de ver *todo* el tráfico.<BR/><BR/>Esto obliga a tener TAPs o puertos de mirroring. Ambas cosas difíciles de mantener en entornos de alta disponibilidad y alto rendimiento.<BR/><BR/>Saludos normales,<BR/>gatoAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-21555208.post-38278746513976107532008-11-21T13:33:00.000+01:002008-11-21T13:33:00.000+01:00Lo difícil es crear reglas equilibradas, como dice...Lo difícil es crear reglas equilibradas, como dice Chema o te pasas o no llegas, como en casi todo lo nuestro la búsqueda del plug and forget es una pérdida de tiempo, hay que supervisarlo, revisarlo y fusionar diferentes técnicas para adaptarse a los nuevos ataques y seguro que un ataque usando la última técnica te acabará afectando igual... siempre hay una primera vez...<BR/><BR/>saludos.Christian Hernándezhttps://www.blogger.com/profile/02048318207110029596noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-72833258554048396982008-11-21T13:27:00.000+01:002008-11-21T13:27:00.000+01:00OSSIM realmente es una bestia que hay que saber co...OSSIM realmente es una bestia que hay que saber controlar. Aquí en Expo estuvimos trabajando con OSSIM y realmente daba muy buenos resultados. Trabaja con Snort, Ntop, Nessus, OSSEC, etc y la verdad es que cuando se configura bien realmente es útil, como ha dicho anónimo tiene un sistema de ticketing y de reports bastante bueno. <BR/><BR/>Yo también soy un poco escéptico con los IDS aunque algunos implementan cosas muy potentes y curiosasAsfasfoshttps://www.blogger.com/profile/01836848245453150160noreply@blogger.comtag:blogger.com,1999:blog-21555208.post-90890977432460613042008-11-21T11:04:00.000+01:002008-11-21T11:04:00.000+01:00De hecho OSSIM no es solo un IDS o correlador prop...De hecho OSSIM no es solo un IDS o correlador propiamente dicho. También hace de monitor de red, escaner de vulnerabilidades (usa nessus), tiene sistemas de ticketing para interactuar con el cliente....Anonymousnoreply@blogger.com