Skip to content

Evasión en sistemas de detección de intrusos de red

Publicado por Sergio Hernando el 27 diciembre 2005

Volvemos a la carga tras unos días de inactividad vacacional :)

Interesante documento el publicado en Securityfocus sobre técnicas de evitación de sistemas de detección de intrusos de red (NIDS, Network Intrusion Detection System). Un NIDS es un sistema que permite el análisis de tráfico en una red, en tiempo real, buscando en el tráfico los paquetes que tengan un patrón sospechoso, que puedan ser debidos a acciones potencialmente maliciosas y encaminadas a la intrusión, como denegaciones de servicio, escucha de puertos, etc. El NIDS por excelencia es Snort, muy popular y además, de código abierto.

El documento es una revisión de un documento anterior, al que particularmente no había tenido acceso. Evading NIDS, revisited narra principalmente cómo es posible evitar los sistemas NIDS para, evidentemente, pasar inadvertidos en nuestras acciones de intrusión.

Especialmente interesante es la mención y descripción de los ataques basados en fragmentos solapados, overlapping fragments, una técnica de evasión compleja pero efectiva basada en los distintos reensamblados de fragmentos que hacen distintos sistemas operativos, y cómo se puede aprovechar esto para que no salten las alarmas de los sistemas de detección.

Una lectura de gran interés, sobre todo porque particularmente soy de la opinión que buenos sistemas de detección y buenas configuraciones reducen a la mínima expresión la probabilidad de intrusión, pero en condiciones reales, ahí fuera, lo raro es encontrar sistemas de detección bien configurados en sistemas correctamente securizados, con lo que en líneas generales, muchos sistemas no están preparados ni para contener ni para recabar evidencias de las acciones externas ilegítimas.

Saludos :)

Be Sociable, Share!

Categoría/s → Seguridad

3 comentarios
  1. 25 febrero 2006

    Un articulo interesantísimo, he bajado la version para win32, espero probarlo y poder dar mejores comentarios, pero desde ya felicitaciones por el Dato, siempre tratando de mejorar y aprender, sobre todo en Administracion de Red.
    Bye J.C.A. Soporte Tecnico

  2. 25 febrero 2006

    Juan Carlos,

    Yo no empleo la versión Windows, así que si quieres relatarnos tu experiencia en un futuro, eres bienvenido.

    Atentamente,

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS