Consejos Prácticos en la detección de Intrusos Consejos Prácticos en la detección de Intrusos Introducción • Ataque: Intento de traspasar el control de seguridad de un sistema • Backdoor: Es un programa depositado por los intrusos para posteriormente poder accesar al sistema sin dejar h sobre los controles de seguridad • Bug: Una propiedad del software o hardware que causa un mal funcionamiento. • SIA (Sistema de Información Automatizada) : Cualquier equipo o sistema que manipule datos. • Denial of Service(DoS) : Acciones que impiden a cualquier SIA funcionar de acuerdo con su propósito. • Hacker: Una persona que disfruta explorando los detalles de las computadoras y de cómo extender sus capacid • Cracker: Similar al anterior pero con la diferencia que éste saca algún tipo de beneficio del sistema que explor • Intruso: Aquella persona que con una variedad de acciones intenta comprometer un recurso, puede ser por har software. • Firewall: Un sistema de combinaciones de sistemas que fija los límites entre dos o más redes y restringe la ent de la información. • Modo Promiscuo: Normalmente interfaz ethernet que permite leer toda la información sin importar su destino un segmento de red. • Rootkit: Software que permite a los intrusos depositar puertas traseras, caballos de troya y diversos mecanism tener control. • Sniffer: Programa que captura los datos que cruzan en un segmento de una red de computadoras. • Caballo de Troya: Programa aparentemente útil el cual contiene código adicional escondido. • Vulnerabilidad: Hardware, firmware o software que deja a un SIA abierto para su explotación potencial • Detección de Intrusos: Sistemas que conglomeran un conjunto de técnicas cuyo propósito es detectar las intrus computadora o un sistema. • Rootkit : Es un conjunto de programas que permiten a un intruso implementar puertas traseras (backdoors) par regreso al sistema atacado, y al mismo tiempo esconderse del resto de los usuarios del sistema, en particular d administrador. • Buffer Overflow : En términos simples, es cuando un programa (generalmente un servidor o demonio) recibe mayor a la que espera, sobreescribiendo, por tanto, áreas críticas de memoria. Esto genera que se ejecute cierto generalmente proporcionando al usuario acceso al sistema como root. Para mayor información sobre buffer overflows, verificar un excelente documento escrito por Aleph One en: 1 Consejos Prácticos en la detección de Intrusos ftp://ftp.technotronic.com/rfc/phrack49−14.txt • Sniffer : Es un programa que permite escuchar furtivamente en redes de medios de comunicación compartidos Ethernet). Se ejecuta en una máquina que está conectada a la red y captura el tráfico de todo el segmento de re Generalmente los sniffers se utilizan para depurar problemas de red, pero un intruso puede usarlos para capturar contra viajan sin cifrar a través de la red. Las contraseñas sin cifrar son comunes en el protocolo TCP. Algunos servicios bási como telnet, rlogin, ftp y pop mail, usan contraseñas sin cifrar para autenticar al usuario. Técnicas usadas por los intrusos Hoy en día una de las técnicas más usadas para irrumpir en los sistemas es mediante el barrido de puertos y búsqueda vulnerabilidades, aprovechando fallas en servicios RPC principalmente. ¿En qué consiste el barrido de puertos? Para llevar a cabo un barrido de puertos, el intruso lleva a cabo los siguientes pasos: 1. Conformar una base de datos de direcciones lógicas (IP) como posibles blancos. Generalmente este barrido aleatorio. 2. Rastrear los puertos de una máquina, varias o un segmento completo de ellas, en búsqueda de datos tales co ◊ Dirección IP (y tal vez nombre canónico) de la máquina. ◊ Sistema operativo y versión. ◊ Puertos abiertos. ◊ Servicios de red activos. ◊ Vulnerabilidades asociadas. ◊ Nivel de dificultad para ser atacada. 3. Intentar entrar a los sistemas escaneados aprovechando sus vulnerabilidades. 4. Buscar privilegios de root haciendo uso de un exploit. 5. Trabajar en el sistema. 6. Asegurar el regreso (uso de rootkits, caballos de troya). 7. Borrar huellas (en su caso).. 8. Salir del sistema y regresar posteriormente. ¿Qué herramientas usan los intrusos para escanear mis máquinas? Entre las herramientas más usadas hoy en día están : ◊ nmap ◊ mscan ◊ sscan ◊ queso 2 Consejos Prácticos en la detección de Intrusos ◊ nessus ◊ Trino ◊ Back Oriffice ◊ Tribe Flood Network Patrón de comportamiento de los intrusos El esquema de comportamiento de los intrusos en un sistemna puede ser muy variado, debido a las múltiples técnicas personalidades con las que nos podemos encontrar. Sin embargo un esquema general de cómo pueden los intrusos com nuestros sistema se detalla a continuación. ◊ Entrar al sistema ◊ Si no se tienen privilegios de root, entonces explotar un fallo en el sistema operativo para obtenerlos. ◊ Controlar el sistema. ¿Cómo puede un intruso controlar mi sistema? ◊ Copiando /etc/passwd o /etc/shadow para intentar adivinar contraseñas. ◊ Instalando un sniffer para capturar contraseñas de otros sistemas. ◊ Instalando caballos de Troya para asegurar su regreso al sistema. ¿Qué puede hacer un intruso en mi sistema? ◊ Leer e−mail ajeno. ◊ Causar daños al sistema. ◊ Modificar páginas web. ◊ Borrar archivos. ◊ Producir un ataque de negación de servicio. ◊ Cambiar las contraseñas de usuarios legítimos. 1.− Pasos a seguir en la Detección de Intrusos 1.− Lo primero que debe de hacer, es mantenar la calma En ocasiones pensamos que ha entrado alguien a nuestro sistema, pero en muchas ocasiones esto no es cierto. En la las ocasiones, es fácil saber si alguien a entrado a nuestro sistema, ya que estos siguen un patrón detectable la mayorí veces. Si algún intruso entra al sistema y solo entra como usuario normal, intentará explotar algún fallo del sistema para ob ó lo que es lo mismo , privilegios de superusuarios. Ahora si el logra accesar como superusuario intentara controlar e dejando mecanismos para volver cuando así lo desee, por ejemplo: copiará el archivo /etc/passwd y el /etc/shadow que utilice Shadow), también puede instalar un sniffer, troyanos, leer correos ajenos, etc. Y si este intruso es malicioso, modificaría páginas web, borraría archivos o los robaría, produciría un DoS (Denial cambiaria passwords, etc., etc., etc. 2.− Revisión de bitácoras Lo primero que veremos es como revisar las bitácoras del sistema, por si no tenemos instalada ninguna herramienta. 3 Consejos Prácticos en la detección de Intrusos Las bitácoras son una gran ventaja, pero con frecuencia son ignoradas. Aquí veremos como sacar solo la informació estas bitácoras. 1. Lo primero que debemos hacer es un plan. ⋅ Enseguida definiremos que es lo que queremos conocer. ⋅ Determinar que información necesitamos de las bitácoras. 1. El segundo paso es identificar que bitácoras contienen esa información. ⋅ Revisar los accesos a la cuenta comprometida (utilizando last) ⋅ Revisión de Archivos de Bitácoras: • syslog • messages • maillog • xferlog • secure • tcpdlog(si se cuenta con ella) Cabría aquí hacer notar que en diversas ocasiones los intrusos modifican las bitácoras, por lo que no podemos confiarn totalmente en la lectura de las mismas. Bitácora /var/log/messages ó /var/adm/messages En esta bitácora podemos identificar ataques del tipo bufferoverflow por varios tipos de ataques como mountd. Se pu cosas similares en la bitácora maillog en el cual podemos ver ataques como imapd. Un ataque de buffer overflow puede aparecer de la siguiente manera: Apr 14 04:20:51 mozart mountd[6688]: Unauthorized access by NFS client 192.168.11.200. Apr 14 04:20:51 mozart syslogd: Cannot glue message parts together Apr 14 04:20:51 mozart mountd[6688]: Blocked attempt of 192.168.11.200 to mount ~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~P~ P~P~P3Û3À°^[Í~@3Ò3À~KÚ°^FÍ~@þÂuô1À°^BÍ~@~EÀubëb^V¬<ýt^FþÀt^Këõ I^FþÈ~IF^D°^F~IF^H°f1ÛþÃ~IñÍ~@~I^F°^Bf~IF^L°*f~IF^N~MF^L~IF^D1À~IF fþÃÍ~@°^A~IF^D°f³^DÍ~@ë^DëLëR1À~IF^D~IF^H°fþÃÍ~@~Hð?1ÉÍ~@°?þÁÍ~ I^F¸.sh!@~IF^D1À~HF^G~Iv^H~IF^L°^K~Ió~MN^H~MV^LÍ~@1À°^A1ÛÍ~@èE ADMcrew~P(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H (−^E^H(−^E^H(−^E^H(Apr 14 04:20:51 mozart 4 Consejos Prácticos en la detección de Intrusos ^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H (−^E^H(−^E^H(−^E^H(−^ E^H(−^E^H−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^H (−^E^H(−^E^H(−^E^H(−^E ^H(−^E^H−^E^H(−^E^H(−^E^H(−^E^H(−^E^H(−^E^ H (−^E^H(−^E^H(−^E^H(−^E^H(−^E ^H(−^E^H(−^E Cuando aparezca algo similar significará que alguien ha intentado explotar una vulnerabilidad del automount de tu sis difícil determinar si fue exitoso o no. Una forma de saber si lo logro, es viendo si hay conexiones de lugares remotos a tu sistema. Otra forma de ver si tuvie buscando cuentas como "moof", "rewt", "crack0" o "w0rm ó algunas otras, que se hayan agregado recientemente siste específicamente a tu tabla /etc/passwd. Estas cuentas con UID 0, son agregadas por algunos scripts de explotación comunes. Una vez que esta adentro, lo ma que limpien las bitácoras e instalen troyanos para las bitácoras. De aquí en adelante ya no se recibirán bitácoras prove sistema. También en esta bitácora podemos ver si hemos sido rastreados (scaneados) recientemente y nos podremos dar cuent encontramos algo parecido a lo siguiente: Apr 14 21:08:58 mozart imapd[11682]: ttloop: peer died: Invalid or incomplete multibyte or character Apr 14 21:03:12 mozart ftpd[11688]: FTP session closed La bitácora /var/log/xferlog ó /var/adm/xferlog Si el sistema comprometido tiene servicio de FTP, en este archivo se encontrara todos los procesos ejecutados del FTP Podemos examinar que tipo de herramientas y software ha introducido en nuestro sistema el intruso y que archivos nu encuentran dentro de su home o en el sistema completo. La bitácora /var/log/maillog También en esta bitácora podemos ver si hemos sido rastreados y podemos encontrar algo similar a lo siguiente: Apr 14 21:01:58 mozart imapd[11667]: command stream end of file, while reading line user=??? Host=[192.168.11.200] Apr 14 21:01:58 mozart ipop3d[11668]: No such file or directory while reading line user=??? Host=[192.168.11.200] Apr 14 21:02:05 mozart sendmail[11675]: NOQUEUE:[192.168.11.200]:expn root La bitácora /var/log/secure En este archivo buscar por intentos de conexiones repetidas intentando entrar por diversos servicios, si aparecen intent conexiones como : 5 Consejos Prácticos en la detección de Intrusos Apr 14 19:18:56 mozart in.telnetd[11634]: connect from 192.168.11.200 Apr 14 19:18:56 mozart imapd[11635]: connect from 192.168.11.200 Apr 14 19:18:56 mozart in.fingerd[11637]: connect from 192.168.11.200 Apr 14 19:18:56 mozart ipop3d[11638]: connect from 192.168.11.200 Apr 14 19:18:56 mozart in.telnetd[11639]: connect from 192.168.11.200 Apr 14 19:18:56 mozart in.ftpd[11640]: connect from 192.168.11.200 Podremos notar que nustro sistema ha sido rastreado por la dirección que aparece. 3.− Búsqueda de archivos ocultos Buscar aquellos archivos que empiecen con un ´.´(punto) pero revisar exhaustivamente todos los archivos ocultos, es con un simple ls, estos se utilizan para esconder herramientas para romper la seguridad del sistema, por ejemplo un pro o también contener el /etc/passwd del sistema o de otros sistemas a los que ha entrado el intruso. Muchos intrusos suelen crear directorios ocultos utilizando nombres como ´...´(punto−punto−punto), ´..´´(punto−punt ´..^g´(punto−punto control+g). También se dan casos en los cuales utiliza nombres como ´.x´ o hasta ´.mail´. • Buscar archivos ocultos o inusuales en el sistema (.*). find / −name .* −print • Buscar programas adivinadores de contraseñas (crack, John The Ripper, Cracker Jack, Hades, etc.) find / −name \( −name *crack*−o −name *Crack* \) −print 4.− Buscar archivos SETUID Se debe buscar cuidadosamente archivos SETUID o SETGID (especialmente los que pertenecen a root). Para eso pod , el comando find. ♦ find / −group wheel −perm −2000 −print ♦ find / −user root −perm −4000 −print −xdev ♦ ncheck −s /dev/rsd0g Este ultimo comando 'ncheck' nos permite buscar archivos SETUID por particiones. 5. Revisar archivos binarios Buscar archivos que contengan caballos de troya en los archivos binarios. Esta es una de las tareas principales de un i cuando ha comprometido la seguridad de un servidor. Una lista de los binarios generalmente más usados y preferidos intrusos, pero no completa de posibles binarios que se pueden sustituir es la siguiente: 6 Consejos Prácticos en la detección de Intrusos login find df libc ls telnet netstat sync su du ifconfig w, who También hay herramientas que podemos utilizar para detectar estos troyanos, por otro lado los intrusos también tiene como son los conocidos rootkits. 6.− Examinar los archivos que son ejecutados por 'cron' y at Algunos intrusos depositan puertas traseras mejor conocidas como backdoors, que les permitan volver al sistema au niegue el acceso al mismo. Hay que asegurarse que todos los archivos son nuestros y que no tiene permisos de escritura. 7.− Buscar sniffers(capturadores de red). Tenemos que buscar sniffers, ya que esta es una de las opciones favoritas y más utilizadas por los intrusos, ya que los capturar todo el tráfico de nuestra red, incluyendo las sesiones de ftp y telnet a otros sistemas. • Buscar sniffers (linsniff, esniff, solsniff, sunsniff, sniffit, etc.) find / −name *sniff* −print De este modo puede obtener cuentas de usuarios (logins) y passwords. Podemos ver el sistema en modo promiscuo en /var/log/messages , pero no debe pasar mucho tiempo después de que el sistema fue comprometido, por ejemplo en Li de la siguiente forma : Apr 27 17:03:38 mozart kernel:eth0:Setting promiscuous mode Apr 27 17:03:43 mozart kernel:eth0:Setting promiscuous mode Algunos de los sniffers más conocidos son los siguientes: ◊ linsniff666.c ◊ sunsniff.c ◊ esniff.c ◊ sniffit ◊ solsniff.c 8.− Examinar el archivo /etc/inetd.conf Hay que buscar en especial entradas que ejecuten un shell (por ejemplo: /bin/sh o /bin/csh) y comprobar que todos lo son legítimos y no troyanos. De igual forma hay que revisar que los demonios de los programas como telnet, ftp y todos los servicios que preste nu 7 Consejos Prácticos en la detección de Intrusos máquina. En especial hay que buscar entradas con el signo ´+´ o servidores de máquinas no apropiados en archivos como /etc/h /etc/hosts.lpd y en todos los archivos .rhost del sistema, con especial interés los de r 9.−Buscar alteraciones en el sistema y en los archivos. oot, uucp y ftp. Estos archivos no deberían tener atributo de escritura. . 10. Examinar los equipos de nuestrea red local Hay que buscar indicios de que la red ha sido comprometida. En particular aquellos equipos que compartan NIS+ o N sistemas listados en el /etc/hosts.equiv. Lógicamente también revisar los sistemas que los usuarios comparten mediant del .rhosts 11.− Examinar el archivo /etc/passwd Hay que buscar alteraciones en las cuentas de los usuarios o la creación de cuentas nuevas, especialmente aquellas co que no tienen password, etc. Otra cosa que hará el intruso es obtener la tabla de passwords, al cual le correrá un progra buscar passwords débiles y así obtener mas cuentas para entrar al sistema. 12.−Utilizar comando finger Ejecutando el comando ´finger´ intentaremos sacar información del intruso y de donde provino la intrusión, por ejemp ⋅ finger @intruso.net ⋅ finger [email protected] Si tenemos suerte podremos sacar información de la máquina de la cual provino la intrusión. ¿Qué hacer si el intruso se encuentra en el sistema? A continuación señalamos algunos de los consejos más comunes para llevar a cabo si detectamos a un intruso en sesió • Asegurarse de tener respaldos recientes y en buen estado. • Ignorarlo, tratar de hablar con él (write, talk) o monitorear sus actividades (tcpdump, snoop). • Sacarlo del sistema (matar sus procesos, cambiar su contraseña, desconectar la máquina de la red, tirar los serv apagar la máquina). ps [−fea | aux] | grep cuenta_intruso | grep −v grep | xargs kill −9 • Rastrearlo usando los comandos who, w, last, lastcomm, netstat, whois, nslookup, finger, telnet, strings /var/ad /var/adm*, obtener información del ruteador, examinar los archivos de historia ($HOME/.history, $HOME.sh_ • Si existe un teléfono de contacto, llamar al encargado y hacerle saber el problema. NO USAR E−MAIL, a me única opción, en cuyo caso se deberá ser discreto). • Contactar a otros administradores involucrados y dar aviso. • Contactar a un organismo de seguridad. 8 Consejos Prácticos en la detección de Intrusos En México: Área de Seguridad en Cómputo, DGSCA, UNAM Tel.: +52 (01) 5622−8169 Fax: +52 (01) 5622−8043 [email protected] http://www.asc.unam.mx ftp://ftp.asc.unam.mx En EUA: CERT/CC (Computer Emergency Response Team / Coordination Center). [email protected] http://www.cert.org Prevención Desactivación de Servicios(Puertos) no utilizados Una de los métodos más recomendados para le prevención al barrido (Scaneo) de puertos es la desactivación de servic encuentren en uso en mi sistema. El problema principal del barrido de puertos es que los principales servicios menores 1024 o mejor conocidos como puertos privilegiados son vulnerables a diversos tipos de ataques. Es importante saber para que nos sirve cada puerto y el servicio que proporciona mi equipo, recomendamos que ante m servicios menores serán las probabilidades de intrusión en mi sistema. En seguida enumeramos el número de puerto y que proporciona dicho puerto. • Echo (7/tcp,udp)Se utiliza únicamente para depuración. • systat (11/tcp/udp)Muestra información acerca del servidor, información tal como usuarios conectados, carga procesos en funcionamiento, etc.. • chargen (19/tcp,udp) Se utiliza únicamente para depuración. • telnet (23/tcp,udp)Muy Vulnerable .Sugerimos utilizar en su lugar otras soluciones como SSH. • smtp (25/tcp,udp)Históricamente la mayoría de las entradas en los servidores han venido a través de este puert FILTRAR este puerto y mantener SIEMPRE la última versión estable conocida de cualquier programa de corr especialmente si trabajamos con sendmail. • time (37/tcp,udp) Devuelve la hora del sistema en un formato legible por la máquina (4 bytes mas o menos). • nameserver (42/tcp,udp)Si dispone de una red privada, debe instalar un servidor de nombres para ella. Bloque dicho servidor desde el exterior, y utilice siempre la última versión de BIND para resolver nombres. • tftp (69/tcp,udp)Falta de autentificación. Usado en el pasado principalmente bajo el protocolo UDP. • private dialout (75/tcp,udp) − − − [RFC1700]Recomendamos deshabilitarlo, usado internamente. • finger (79/tcp,udp)Puede obtenerse información acerca de usuarios concretos, información que puede utilizars adivinar claves de acceso. 9 Consejos Prácticos en la detección de Intrusos • http (80/tcp,udp)Puerto usado para el servidor WEB. Conviene redirigir el acceso a un puerto no privilegiado unix. • npp (92/tcp,udp) − [Network Printing Protocol] Impresión remota vía red. • objcall (94/tcp,udp) − [Tivoli Object Dispatcher] Utilizado por la herramienta de Gestión de redes Tivoli. • sunrpc (111/tcp,udp)Especialmente peligroso sobre UDP. Usado en servicis NFS. • auth (113/tcp,udp) usado para la authenticación de usuarios (puede utilizarse para realizar un portscan). • ntp (123/tcp,udp) [Network Time Protocol] Se utiliza para sincronizar los relojes de las máquinas de una subre • netbios (137,138,139/tcp,udp)Según los RFC2001 y 2002 NetBIOS es capaz de funcionar correctamente a pes estén enviando bloques de datos con información errónea o corrompida. • snmp (161/tcp,udp)Se puede obtener mucha información a través de este servicio, como por ejemplo estado de interfaces de red, conexiones concurrentes en la máquina, etc... • snmp−trap (162/tcp,udp)A través de este puerto se realizan solicitudes que pueden cambiar la configuración d • irc (194/tcp,udp) Generalmente conviene bloquear los puertos 6666, 6667 y 6668 ya que son a los que se enga servidores de IRC. • exec (512/tcp) Ejecuta ordenes en estaciones remotas. Hace uso de los comandos 'r' (rexec, rcp, rlogin). • biff (512/udp)Notifica de la llegada de correo. • login (513/tcp) − rlogin. (ver exec) • who (513/udp)Muestra quien está utilizando el servidor remoto. • cmd (514/tcp) Similar a exec (512/tcp.) • syslog (514/udp)Maneja la bitácoras y eventos del sistema. • printer (515/tcp,udp) • router (520/tcp,udp) − Local routing process. • ingreslock (1524/tcp) En la mayoría de los Unix se puede encontrar esta entrada en /etc/services. Ya que está y es un puerto no privilegiado es un buen lugar para una puerta trasera (no sería la primera vez que ocurre). Le ASC−0003−99. Consideraciones Generales A continuación enumeramos una serie de pasos que recomendamos para la prevención futura de intrusiones en tu siste forma recomendamos aplicar las que más se adecuen a tus necesidades de cómputo y requerimientos de tus usuarios. 10 Consejos Prácticos en la detección de Intrusos ♦ Aplicación de parches de seguridad. ♦ Tomar una foto del sistema LIMPIO (md5, cops−crc.chk, tripwire) ♦ Bloqueo de puertos. ♦ Realizar respaldos periódicamente ♦ Considerar la instalación de un firewall ♦ Educación de usuarios y administradores. ♦ Instalar y configurar herramientas de seguridad tales como ssh, logdaemon, PGP, S/key, Opie, IPsec, COPS, TCP−Wrappers, Tiger, Swatch, ssyslogd, syslog−ng, etc. ♦ Reducir el uso de programas como telnet y ftp y sustituirlos paulatinamente por ssh y scp, respectivam ♦ Usar contraseñas seguras (fuertes). ♦ Evitar el uso de mecanismos de confianza entre máquinas y/o usuarios. ♦ Utilizar sistemas de detección de intrusos académicos (como AAFID) o comerciales (como Network F Recorder). ♦ Recompilar syslogd para leer un archivo de configuración diferente a /etc/syslog.conf y enviar las bitá servidor remoto (de preferencia que este servidor sea dedicado). ♦ Desarrollar e implementar políticas de seguridad. ♦ Si no se necesitan, desinstalar compiladores. ♦ Activar sólo los puertos, cuentas y servicios de red realmente necesarios y configurarlos adecuadamen ♦ En su caso, configurar de manera segura el servidor de FTP anónimo. ♦ Asegurarse de tener las últimas versiones de sendmail, ftpd, BIND, httpd, fingerd, herramientas de seg qpopper, majordomo, etc. ♦ Revisar constantemente y de manera impredecible las bitácoras del sistema y las generadas por las her seguridad instaladas. Preguntas más frecuentes en la Deteccion del Intruso Referencias Parches de Seguridad • Linux http://www.linuxhq.com/kpatch22.html • Solaris/SunOS http://www.sunsolve.sun.com • IRIX http://www.sgi.com/Support/security/security.html • SCO http://www.sco.com/security/ 11 Consejos Prácticos en la detección de Intrusos • AIX ftp://aix.software.ibm.com/aix/efixes/security/ • HP−UX ftp://us−ffs.external.hp.com • NetBSD http://www.NetBSD.ORG/Security Herramientas de Seguridad ♦ http://www.asc.unam.mx ♦ ftp://ftp.asc.unam.mx/pub/tools ♦ http://www.core−sdi.com ♦ ftp://ftp.coast.cs.purdue.edu/pub/tools ♦ ftp://ftp.info.cert.org/pub/tools ♦ Autonomous Agents for Intrusion Detection (AAFID) http://www.cs.purdue.edu/coast/projects/autonomus−agents.html ♦ ISS (Internet Security Scanner) SAFE Suite http://www.iss.net ♦ NFR (Network Flight Recorder) http://www.nfr.net/nfr ♦ IDES/NIDES (Intrusion Detection Expert System/Next−Generation IDES) http://www.sri.com ♦ Datalinx (Guardian, Stalker y suGuard) http://www.dlxguard.com Lecturas Recomendadas Intrusion Detection Knowing when someone is knocking on your door Lance E. Spitzner [email protected] Known Your Enemy Parts I,II y III The Tools and Methodologies of the Script Kiddie Lance E. Spitzner [email protected] 1999 12 Consejos Prácticos en la detección de Intrusos Unix Computer Security Checklist (Version 1.1.) Australian Computer Emergency Response Team (AUSCERT) 1995 Watching Your Logs How to automate your log filtering Lance E. Spitzner [email protected] Ataques informáticos: efectos, detección y defensa Diego Zamboni Purdue University Taller DISC 97 1997 Remote Sniffer Detection David Wu and Frederick Wong University of California, Berkeley 1998 El Primer Incidente de Seguridad Juan Carlos Guel López Área de Seguridad en Cómputo DGSCA − UNAM Congreso General de Cómputo 1998 DISC 98 1998 Deteción de Intrusos en Unix César Vega Calderón Área de Seguridad en Cómputo Seminario GASU, DGSCA, UNAM 1999 Detección de Intrusos en UNIX Juan Carlos Guel López, José Agustín Miranda Rente ría y César Vega Calderón Congreso General de Cómputo 99 Seguridad en Cómputo 99 1999 13