xtingra.log

@sarnold i'd like to welcome everyone to tonight's last lecture @sarnold there -may- be english translation in #redes @sarnold questions and comments should go in #qc @sarnold Gustavo Gonzalez y Carlos Olaya hacen parte del grupo Kazak, @sarnold una sociedad de 5 estudiantes universitarios dedicados a la investigacion @sarnold y difusion de las diversas areas de las tecnologias de software libre. @sarnold Participando por segunda vez en infosec, esta vez con la charla: @sarnold "Herramientas Libres para reconocimientos de intrusos" @sarnold La charla esta orientada a usuarios de nivel medio y esperamos que sea @sarnold de su completo agrado, muchas gracias. @sarnold preguntas en #qc, inglish en #redes -- maybe @sarnold xtingray, por favor... @xtingray gracias sarnold :) @xtingray buenas noches a todos (para los que ya es de noche ;) @xtingray esta vez cuento con ayuda de un compan~ero : Necr0man @xtingray el estara en #qc atendiendo sus posibles inquietudes @xtingray mientras que yo expondre la charla que hemos preparado para ustedes @xtingray sin mas preambulos... entremos en materia: @xtingray Un sistema detector de intrusos (IDS por sus siglas en ingles) @xtingray es una herramienta que busca patrones especificos que usualmente @xtingray indican intentos sospechosos o maliciosos de acceder a un sistema. @xtingray Se dice que un sistema detector de instrusos esta basado en red @xtingray cuando busca estos patrones a traves de una interfaz promiscua @xtingray escuchando y analizando todo el trafico de red. @xtingray Y se dice que un sistema detector de intrusos esta basado en @xtingray maquina cuando realiza su monitoreo a traves de los archivos @xtingray de logs del sistema buscando actividad sospechosa o a traves de caracteristicas de desempen~o de la maquina. @xtingray Cada uno de estos modos de deteccion tiene sus ventajas sobre el otro. @xtingray Por ejemplo un sistema basado en red puede detectar ataques de tipo DoS basados @xtingray en IP buscando los encabezados de los paquetes que atraviesan una red, @xtingray ataques de tipo LAND y TEARDROP son detectados por estos. @xtingray Ademas, los IDS basados en red detectan, responden y notifican de @xtingray forma rapida ante ataques. Por ejemplo un intento de DoS basado en TCP puede @xtingray ser detenido rapidamente por el IDS enviando una señal RST al atacante para @xtingray cerrar la conexion y evitar cualquier daño. En un IDS basado en maquina muchas @xtingray veces la notificacion de los eventos podria ocurrir despues de haber ocurrido @xtingray el daño, con lo que resta eficiencia. @xtingray Sin embargo un IDS basado en maquina puede rapidamente monitorear la actividad @xtingray de un usuario, su entrada y salida, o los accesos a un archivo del sistema. @xtingray Una forma de tener un sistema para detectar intrusos es manejar un buen @xtingray sistema de LOGS, la mayoria de redes que desean mantener seguros sus sistemas @xtingray y ademas tener un buen registro de eventos deberian enviar sus LOGS a otro @xtingray equipo de la red, de esta forma, si un atacante logra acceso a un sistema, @xtingray tendremos registro de aquella entrada, el atacante tendria que ademas entrar @xtingray en el otro equipo si quisiera borrar sus huellas, significaria violar dos @xtingray sistemas que seguramente seran muy diferentes. @xtingray Las estrategias para proteger dicha informacion pueden variar tanto como se desee proteger el sistema. @xtingray Un ejemplo de un IDS basado en maquina es el PortSentry (http://www.linux-sxs.org/files/ @xtingray psionic/), @xtingray Repito url: http://www.linux-sxs.org/files/psionic/ @xtingray la utilidad de esta herramienta esta en tener una lista de puertos a donde no @xtingray deberia haber acceso, si una persona realiza un scanneo de puertos y se conecta @xtingray a un puerto que hayamos especificado al PortSentry, inmediatamente el IP del @xtingray atacante sera bloqueado mediante diferentes formas como ipfwadm, ipchains, iptables @xtingray o tcp_wrappers. Un ejemplo del archivo de configuracion donde especificamos los puertos @xtingray con PortSentry es: @xtingray -- inicio segmento @xtingray # Use these if you just want to be aware: @xtingray TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,2 @xtingray 0034,31337,32771,32772,32773,32774,40421,49724,54320" @xtingray UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771,32772,32773,32774,31 @xtingray 337,54321" @xtingray -- fin segmento @xtingray Podriamos combinar el uso de PostSentry con otra herramienta llamada Logcheck, @xtingray que se puede obtener del mismo sitio dado anteriomente, la funcion de esta herramienta @xtingray es leer la informacion de los LOGS como /var/log/messages y separar informacion @xtingray relevante como intentos de intrusion, accesos no autorizados. @xtingray La herramienta consta de un binario en C (logtail) y un script en sh (logcheck.sh) @xtingray que va leyendo y almacenando la informacion obtenida de los LOGS. @xtingray El uso de la herramienta es mediante un crontab que ejecuta dicho script @xtingray y periodicamente envia a un usuario especifico un correo con los resultados obtenidos. @xtingray Ademas de verificar el contenido del archivo, tambien alerta de una posible modificacion @xtingray deliberada del archivo, en caso de alguien que haya borracho sus huellas quitando @xtingray las lineas de ese archivo. @xtingray Un IDS mas avanzado y uno de los mas usados es el SNORT (www.snort.org), este es @xtingray un IDS basado en red, el cual es un sniffer capaz de analizar el trafico de red @xtingray en tiempo real, puede detectar ataques de tipo buffer overflows, port scans, @xtingray ataques CGI, examinadores SMB entre otros. @xtingray Su sistema de alerta puede ser a traves de syslog, un archivo especifico, @xtingray un socket unix, o mensajes samba a equipos windows traves de winpopup. @xtingray La instalacion es simple y requiere de la libreria Lipcap para su uso, @xtingray mantiene una base de datos con patrones conocidos de ataque que se va actualizando constantemente @xtingray con nuevas formas de ataque. @xtingray Una forma de cargar la aplicacion seria usando: @xtingray snort -l /var/log/snort -c /usr/local/etc/snort.conf -i eth0 -N -D @xtingray A partir de ese momento, la interfaz pasa a modo promiscuo guardando toda la informacion @xtingray relevante que pase a traves de la red. @xtingray La forma de guardar los eventos que va registrando varia dependiendo de los parametros d @xtingray adosados @xtingray al momento de ejecutar la aplicacion, los registros podrian guardarse en un archivo llamado "alert" @xtingray ubicado en /var/log/snort, otra forma es creando subdirectorios con los ips de donde se detecte @xtingray actividad, lo hacemos quitando la opcion -N de la linea de ejecucion. @xtingray Hay un modulo para Snort llamado ACID que permite generar reportes via web usando PHP y MySQL @xtingray (aunque tambien es posible usando PostgreSQL), una guia de instalacion se puede obtener de @xtingray http://www.andrew.cmu.edu/~rdanyliw/snort/acid_config.html @xtingray Es importante tener en cuenta que los IDS no son herramientas infalibles. @xtingray para los interesados en investigar a fondo toda la teoria alrededor de las vulnerabilidades de un IDS, @xtingray les recomendamos la siguiente lectura: @xtingray Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection @xtingray que se encuentra disponible en: @xtingray http://secinf.net/info/ids/idspaper/idspaper.html @xtingray Para finalizar... @xtingray queremos mencionar algunas herramientas que nos pueden ayudar a probar nuestros sistemas para deteccion de intrusos @xtingray es importante darnos cuenta de si nuestras medidas de deteccion realmente estan trabajando ;) @xtingray Dentro de las opciones para probar, encontramos: @xtingray Firewall Tester by Andrea Barisani @xtingray http://www.infis.univ.trieste.it/~lcars/ftester/ @xtingray El Fragroute... disponible en http://www.monkey.org/~dugsong/fragroute/ @xtingray Ademas de los IDS mencionados anteriormente, otras opciones para revisar que encontramos son: @xtingray http://imsafe.sourceforge.net/ @xtingray Una herramienta de deteccion de intrusos basada en la maquina @xtingray y http://www.tigersecurity.org/ @xtingray Otra herramienta que ademas ofrece un sistema de auditoria en seguridad. @xtingray ... @xtingray Esperamos que esta charla haya servido como abrebocas al tema, para todos aquellos que desean ahondar en esta area. @xtingray Gracias a todos por su atencion... y gracias a Necr0man por su ayuda. @xtingray Feliz noche desde Colombia :) @sarnold alguin preguntas? @sarnold clap clap clap EMPEROR plas plas plas plas plas plas plas @sarnold clap clap clap EMPEROR plas plas plas plas plas plas plas EMPEROR plas plas plas plas plas plas plas damage bravo! @garoeda clap clap clap EMPEROR felicidades xtingray ducky clap clap @xtingray gracias a todos :) ducky clap clap ducky bien hecho parce RaD|Tz clap clap clap @sarnold gracias para xtingray y Necr0man :) EMPEROR hoi hoi colombia! diego muy buena charla, gracias EMPEROR :) Mejnour clap clap clap clap clap Mejnour clap clap clap clap clap Mejnour clap clap clap clap clap Mejnour muy buena Mejnour gracias ducky bien intesante la charla StRAvAgaN gracias :) badtz CLAP!! badtz CLAP!! badtz CLAP!! ahd si bastante StRAvAgaN yo tengo acid+snort+mysql en freebsd anda bastante bien supreme Me la perdi =( Modo666 clap damage supreme: yo tengo los log, pronto seran publicados con MJesu_ Modo666 clap clap clap dejavu como va damage nonroot ke bueno! damage hola dejavu nonroot colomba rulx! supreme damage: donde los vas a publicar? @sarnold tomorrow's presentations will be arrigo triulzi, "about ipv6 security", seth arnold (me) "cryptomark2, kernel-enforced signed executables", and oscar e. ruiz bermudez, "test of penetration in a data network" damage supreme: eso preguntaselo a MJesu_ damage supreme: en estos momentos no esta supreme Ok. RaD|Tz supreme: siempre se publican en uninet dejavu si simepre encontraras los log ai dejavu :d supreme Gracias. Generated by irclog2html.pl 2.1 by Jeff Waugh - find it at freshmeat.net!

`@sarnold`	`i'd like to welcome everyone to tonight's last lecture`
`@sarnold`	`there -may- be english translation in #redes`
`@sarnold`	`questions and comments should go in #qc`
`@sarnold`	`Gustavo Gonzalez y Carlos Olaya hacen parte del grupo Kazak,`
`@sarnold`	`una sociedad de 5 estudiantes universitarios dedicados a la investigacion`
`@sarnold`	`y difusion de las diversas areas de las tecnologias de software libre.`
`@sarnold`	`Participando por segunda vez en infosec, esta vez con la charla:`
`@sarnold`	`"Herramientas Libres para reconocimientos de intrusos"`
`@sarnold`	`La charla esta orientada a usuarios de nivel medio y esperamos que sea`
`@sarnold`	`de su completo agrado, muchas gracias.`
`@sarnold`	`preguntas en #qc, inglish en #redes -- maybe`
`@sarnold`	`xtingray, por favor...`
`@xtingray`	`gracias sarnold :)`
`@xtingray`	`buenas noches a todos (para los que ya es de noche ;)`
`@xtingray`	`esta vez cuento con ayuda de un compan~ero : Necr0man`
`@xtingray`	`el estara en #qc atendiendo sus posibles inquietudes`
`@xtingray`	`mientras que yo expondre la charla que hemos preparado para ustedes`
`@xtingray`	`sin mas preambulos... entremos en materia:`
`@xtingray`	`Un sistema detector de intrusos (IDS por sus siglas en ingles)`
`@xtingray`	`es una herramienta que busca patrones especificos que usualmente`
`@xtingray`	`indican intentos sospechosos o maliciosos de acceder a un sistema.`
`@xtingray`	`Se dice que un sistema detector de instrusos esta basado en red`
`@xtingray`	`cuando busca estos patrones a traves de una interfaz promiscua`
`@xtingray`	`escuchando y analizando todo el trafico de red.`
`@xtingray`	`Y se dice que un sistema detector de intrusos esta basado en`
`@xtingray`	`maquina cuando realiza su monitoreo a traves de los archivos`
`@xtingray`	`de logs del sistema buscando actividad sospechosa o a traves de caracteristicas de desempen~o de la maquina.`
`@xtingray`	`Cada uno de estos modos de deteccion tiene sus ventajas sobre el otro.`
`@xtingray`	`Por ejemplo un sistema basado en red puede detectar ataques de tipo DoS basados`
`@xtingray`	`en IP buscando los encabezados de los paquetes que atraviesan una red,`
`@xtingray`	`ataques de tipo LAND y TEARDROP son detectados por estos.`
`@xtingray`	`Ademas, los IDS basados en red detectan, responden y notifican de`
`@xtingray`	`forma rapida ante ataques. Por ejemplo un intento de DoS basado en TCP puede`
`@xtingray`	`ser detenido rapidamente por el IDS enviando una señal RST al atacante para`
`@xtingray`	`cerrar la conexion y evitar cualquier daño. En un IDS basado en maquina muchas`
`@xtingray`	`veces la notificacion de los eventos podria ocurrir despues de haber ocurrido`
`@xtingray`	`el daño, con lo que resta eficiencia.`
`@xtingray`	`Sin embargo un IDS basado en maquina puede rapidamente monitorear la actividad`
`@xtingray`	`de un usuario, su entrada y salida, o los accesos a un archivo del sistema.`
`@xtingray`	`Una forma de tener un sistema para detectar intrusos es manejar un buen`
`@xtingray`	`sistema de LOGS, la mayoria de redes que desean mantener seguros sus sistemas`
`@xtingray`	`y ademas tener un buen registro de eventos deberian enviar sus LOGS a otro`
`@xtingray`	`equipo de la red, de esta forma, si un atacante logra acceso a un sistema,`
`@xtingray`	`tendremos registro de aquella entrada, el atacante tendria que ademas entrar`
`@xtingray`	`en el otro equipo si quisiera borrar sus huellas, significaria violar dos`
`@xtingray`	`sistemas que seguramente seran muy diferentes.`
`@xtingray`	`Las estrategias para proteger dicha informacion pueden variar tanto como se desee proteger el sistema.`
`@xtingray`	`Un ejemplo de un IDS basado en maquina es el PortSentry (http://www.linux-sxs.org/files/`
`@xtingray`	`psionic/),`
`@xtingray`	`Repito url: http://www.linux-sxs.org/files/psionic/`
`@xtingray`	`la utilidad de esta herramienta esta en tener una lista de puertos a donde no`
`@xtingray`	`deberia haber acceso, si una persona realiza un scanneo de puertos y se conecta`
`@xtingray`	`a un puerto que hayamos especificado al PortSentry, inmediatamente el IP del`
`@xtingray`	`atacante sera bloqueado mediante diferentes formas como ipfwadm, ipchains, iptables`
`@xtingray`	`o tcp_wrappers. Un ejemplo del archivo de configuracion donde especificamos los puertos`
`@xtingray`	`con PortSentry es:`
`@xtingray`	`-- inicio segmento`
`@xtingray`	`# Use these if you just want to be aware:`
`@xtingray`	`TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,2`
`@xtingray`	`0034,31337,32771,32772,32773,32774,40421,49724,54320"`
`@xtingray`	`UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,32770,32771,32772,32773,32774,31`
`@xtingray`	`337,54321"`
`@xtingray`	`-- fin segmento`
`@xtingray`	`Podriamos combinar el uso de PostSentry con otra herramienta llamada Logcheck,`
`@xtingray`	`que se puede obtener del mismo sitio dado anteriomente, la funcion de esta herramienta`
`@xtingray`	`es leer la informacion de los LOGS como /var/log/messages y separar informacion`
`@xtingray`	`relevante como intentos de intrusion, accesos no autorizados.`
`@xtingray`	`La herramienta consta de un binario en C (logtail) y un script en sh (logcheck.sh)`
`@xtingray`	`que va leyendo y almacenando la informacion obtenida de los LOGS.`
`@xtingray`	`El uso de la herramienta es mediante un crontab que ejecuta dicho script`
`@xtingray`	`y periodicamente envia a un usuario especifico un correo con los resultados obtenidos.`
`@xtingray`	`Ademas de verificar el contenido del archivo, tambien alerta de una posible modificacion`
`@xtingray`	`deliberada del archivo, en caso de alguien que haya borracho sus huellas quitando`
`@xtingray`	`las lineas de ese archivo.`
`@xtingray`	`Un IDS mas avanzado y uno de los mas usados es el SNORT (www.snort.org), este es`
`@xtingray`	`un IDS basado en red, el cual es un sniffer capaz de analizar el trafico de red`
`@xtingray`	`en tiempo real, puede detectar ataques de tipo buffer overflows, port scans,`
`@xtingray`	`ataques CGI, examinadores SMB entre otros.`
`@xtingray`	`Su sistema de alerta puede ser a traves de syslog, un archivo especifico,`
`@xtingray`	`un socket unix, o mensajes samba a equipos windows traves de winpopup.`
`@xtingray`	`La instalacion es simple y requiere de la libreria Lipcap para su uso,`
`@xtingray`	`mantiene una base de datos con patrones conocidos de ataque que se va actualizando constantemente`
`@xtingray`	`con nuevas formas de ataque.`
`@xtingray`	`Una forma de cargar la aplicacion seria usando:`
`@xtingray`	`snort -l /var/log/snort -c /usr/local/etc/snort.conf -i eth0 -N -D`
`@xtingray`	`A partir de ese momento, la interfaz pasa a modo promiscuo guardando toda la informacion`
`@xtingray`	`relevante que pase a traves de la red.`
`@xtingray`	`La forma de guardar los eventos que va registrando varia dependiendo de los parametros d`
`@xtingray`	`adosados`
`@xtingray`	`al momento de ejecutar la aplicacion, los registros podrian guardarse en un archivo llamado "alert"`
`@xtingray`	`ubicado en /var/log/snort, otra forma es creando subdirectorios con los ips de donde se detecte`
`@xtingray`	`actividad, lo hacemos quitando la opcion -N de la linea de ejecucion.`
`@xtingray`	`Hay un modulo para Snort llamado ACID que permite generar reportes via web usando PHP y MySQL`
`@xtingray`	`(aunque tambien es posible usando PostgreSQL), una guia de instalacion se puede obtener de`
`@xtingray`	`http://www.andrew.cmu.edu/~rdanyliw/snort/acid_config.html`
`@xtingray`	`Es importante tener en cuenta que los IDS no son herramientas infalibles.`
`@xtingray`	`para los interesados en investigar a fondo toda la teoria alrededor de las vulnerabilidades de un IDS,`
`@xtingray`	`les recomendamos la siguiente lectura:`
`@xtingray`	`Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection`
`@xtingray`	`que se encuentra disponible en:`
`@xtingray`	`http://secinf.net/info/ids/idspaper/idspaper.html`
`@xtingray`	`Para finalizar...`
`@xtingray`	`queremos mencionar algunas herramientas que nos pueden ayudar a probar nuestros sistemas para deteccion de intrusos`
`@xtingray`	`es importante darnos cuenta de si nuestras medidas de deteccion realmente estan trabajando ;)`
`@xtingray`	`Dentro de las opciones para probar, encontramos:`
`@xtingray`	`Firewall Tester by Andrea Barisani`
`@xtingray`	`http://www.infis.univ.trieste.it/~lcars/ftester/`
`@xtingray`	`El Fragroute... disponible en http://www.monkey.org/~dugsong/fragroute/`
`@xtingray`	`Ademas de los IDS mencionados anteriormente, otras opciones para revisar que encontramos son:`
`@xtingray`	`http://imsafe.sourceforge.net/`
`@xtingray`	`Una herramienta de deteccion de intrusos basada en la maquina`
`@xtingray`	`y http://www.tigersecurity.org/`
`@xtingray`	`Otra herramienta que ademas ofrece un sistema de auditoria en seguridad.`
`@xtingray`	`...`
`@xtingray`	`Esperamos que esta charla haya servido como abrebocas al tema, para todos aquellos que desean ahondar en esta area.`
`@xtingray`	`Gracias a todos por su atencion... y gracias a Necr0man por su ayuda.`
`@xtingray`	`Feliz noche desde Colombia :)`
`@sarnold`	`alguin preguntas?`
`@sarnold`	`clap clap clap`
`EMPEROR`	`plas plas plas plas plas plas plas`
`@sarnold`	`clap clap clap`
`EMPEROR`	`plas plas plas plas plas plas plas`
`EMPEROR`	`plas plas plas plas plas plas plas`
`damage`	`bravo!`
`@garoeda`	`clap clap clap`
`EMPEROR`	`felicidades xtingray`
`ducky`	`clap clap`
`@xtingray`	`gracias a todos :)`
`ducky`	`clap clap`
`ducky`	`bien hecho parce`
`RaD\|Tz`	`clap clap clap`
`@sarnold`	`gracias para xtingray y Necr0man :)`
`EMPEROR`	`hoi hoi colombia!`
`diego`	`muy buena charla, gracias`
`EMPEROR`	`:)`
`Mejnour`	`clap clap clap clap clap`
`Mejnour`	`clap clap clap clap clap`
`Mejnour`	`clap clap clap clap clap`
`Mejnour`	`muy buena`
`Mejnour`	`gracias`
`ducky`	`bien intesante la charla`
`StRAvAgaN`	`gracias :)`
`badtz`	`CLAP!!`
`badtz`	`CLAP!!`
`badtz`	`CLAP!!`
`ahd`	`si bastante`
`StRAvAgaN`	`yo tengo acid+snort+mysql en freebsd anda bastante bien`
`supreme`	`Me la perdi =(`
`Modo666`	`clap`
`damage`	`supreme: yo tengo los log, pronto seran publicados con MJesu_`
`Modo666`	`clap clap clap`
`dejavu`	`como va damage`
`nonroot`	`ke bueno!`
`damage`	`hola dejavu`
`nonroot`	`colomba rulx!`
`supreme`	`damage: donde los vas a publicar?`
`@sarnold`	`tomorrow's presentations will be arrigo triulzi, "about ipv6 security", seth arnold (me) "cryptomark2, kernel-enforced signed executables", and oscar e. ruiz bermudez, "test of penetration in a data network"`
`damage`	`supreme: eso preguntaselo a MJesu_`
`damage`	`supreme: en estos momentos no esta`
`supreme`	`Ok.`
`RaD\|Tz`	`supreme: siempre se publican en uninet`
`dejavu`	`si simepre encontraras los log ai`
`dejavu`	`:d`
`supreme`	`Gracias.`