12 junio, 2013

Patriot NG HIDS


Sobre las herramientas que puedes usar para asegurar tu sistema no puede faltar Patriot NG

 ¿Que es Patriot NG?

 Es un  HIDS, desarrollado por el español Yago Jesús, colaborador habitual del Blog Security by Default. Es un Host IDS gratuito para los sistemas operativos Windows, este Host IDS es una herramienta que detecta cambios “sospechosos” en la configuración del sistema y/o ataques en nuestra red de área local.






Las características de esta aplicación son:
  • Monitorización de cualquier cambio en las “claves” del Registro de Windows
  • Alertar sobre creación de nuevos usuarios y servicios en el Sistema
  • Alertar sobre la configuración de nuevos programas en el registro de inicio automático en el bootloader del Sistema
  • Detección de cambios en el archivos “host” del Sistema Windows
  • Modificación de la configuración de Internet explorer
  • Detección de cambios en las tareas programadas (ejecución planificadas de aplicaciones)
  • Alerta sobre posibles ataques MiTM, monitorizando los cambios en la tabla ARP.
  • Control sobre la instalación de nuevos drivers en el Sistema.
  • Detección de la compartición de nuevos recursos en la red.
  • Sistema de protección en las conexiones de Red, previniendo la creación de nuevas conexiones sin autorización previa (ventanas de notificación y alerta).
  • Monitorización de cambios sobre archivos críticos del Sistema (DLL, etc) y prevención de técnicas de ocultación de ficheros en Windows.
  • Detección de tráfico anómalo en la red, y prevención de ataques ARP Spoof



Contiene una opción llamada ‘Update NIDS rules’ que descargará la última versión del servidor y la instalará.



El fichero orientado a que insertes tus propias reglas es ownrules.ini y ahora toca explicar como se crean esas reglas:
Como podéis ver el formato de cada regla es muy sencillo:
[Texto descriptivo]= [Patron]
Así pues a la hora de hacer una regla lo primero es pensar un nombre que la asocie y buscar un patrón en ese ataque que sirva para identificarlo. El ‘patrón’ para la firma puede estar escrito o en ascii o en hexadecimal, así pues algo como:
Cookie access = document.cookie
Es identico a:
Cookie access =646f63756d656e742e636f6f6b6965
Ya que  646f63756d656e742e636f6f6b6965 es la representación en hexadecimal de document.cookie.
Lo preferible es que siempre se intente escribir la regla en ascii y usar hex para representar únicamente valores binarios.
A la hora de buscar patrones se pueden añadir varias cadenas de búsqueda uniéndolas con el simbolo +
Por ejemplo, si pretendemos buscar por un lado “document.cookie” y por otro “http” podemos crear la siguiente regla:
Cookie access = document.cookie+http
Que hará match en un string como este:
Ya que en esa cadena se encuentra por un lado “http” y por otro document.cookie. El orden da igual ya que se evalúa uno a uno, es decir, aunque en la regla el primer patrón de búsqueda sea document.cookie y luego http, si en el paquete viene cambiado, seguirá haciendo match.
Configuración de alertas por intento de conexión
Adicionalmente a badtraffic.ini y ownrules.ini hay otro fichero de configuración llamado destports.ini, este fichero define que puertos consideramos ‘sospechosos’ y sobre los que queremos que se nos avise si hay un intento de conexión. El formato es muy sencillo
[139]
[445]
[80]
[21]
[1243]
[5800]
[5900]
[6776]
[31337]
Como es obvio la forma de añadir o quitar puertos es sencilla, simplemente añadir al final [1234] y ese puerto sería monitorizado. Por cada cambio en la configuración hay que hacer un stop / start desde el tray

Puedes descargar Patriot NG desde su Pägina Oficial

0 comentarios:

Publicar un comentario