Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Patriot NG es una herramienta de tipo Host IDS que permite monitorizar en tiempo real
cambios en sistemas Windows.
Se entiende por un IDS un programa usado para detectar accesos no autorizados a un
computador o una red.
Es necesario tener instalado Winpcap (http://www.winpcap.org/install/default.htm) para ser
completamente operativo.
Instalacin.
El proceso de instalacin es extremadamente sencillo. Una vez ejecutado el instalador, se
seguirn los pasos que indica el asistente.
Con estos pasos ya est instalado el programa en el equipo. Se podr comprobar viendo los
iconos de los programas activos en la barra de tareas.
Opciones
Una vez instalado, haciendo clic con el botn derecho sobre el icono de la barra de tareas nos
aparecen las diferentes opciones que nos ofrece:
Start: Inicia el programa en caso de que est parado o bien avisa que ya est
activo.
Stop: Detiene el programa
Status: Indica el estado en que se encuentra en ese momento.
Panel de control: Se configura el comportamiento de la aplicacin. Se explica
con ms profundidad en el siguiente punto.
Update NIDS rules: Actualiza las ltimas reglas de filtrado para Patriot.
HomePage: Abre un navegador con la URL www.security-proyects.com
About: Muestra pequea ventana con la direccin email del desarrollador
Exit: Sale del programa.
Panel de control
Explorer
System
Networking
New Netbios shares: Esta alerta avisa en el caso de que aparezcan nuevas
carpetas compartidas mediante NetBios.
NIDS: Sistema para detectar trfico anmalo que reciba el equipo. Se basar
en un fichero de reglas configurable, para poder personalizar los patrones de
trfico segn el entorno o la necesidad.
Cuando se instala Patriot NG, automticamente, comienza a ver qu haces. Lo prob en las
tareas normales que hago, y me lanz varias notificaciones. A continuacin les comento todo
lo que los creadores de este software dicen que este programa puede detectar y notificarnos:
Pues bien, el modo de uso de Patriot NG es bastante sencillo. Est disponible para Windows7,
Vista, XP, etc., en espaol (y otros idiomas), y no debes configurar prcticamente nada porque
slo es necesario instalarlo y de modo predeterminado trae las configuraciones que son las
ms recomendadas para cualquier tipo de computadora.
Con esto ya tenemos configurado Patriot para detectar intentos de conexin a ese puerto,
cada vez que alguien lo intente, podremos ver el intento y bloquear la IP
Como se puede ver en el tray, hay una opcin llamada Update NIDS rules que descargar la
ltima versin del servidor y la instalar. Por tanto, no es aconsejable tocar ese fichero a mano
ya que en la prxima actualizacin ser sobre-escrito.
El fichero orientado a que insertes tus propias reglas es ownrules.ini y ahora toca explicar
como se crean esas reglas:
Como podis ver el formato de cada regla es muy sencillo:
[Texto descriptivo]= [Patron]
As pues a la hora de hacer una regla lo primero es pensar un nombre que la asocie y buscar un
patrn en ese ataque que sirva para identificarlo. El patrn para la firma puede estar escrito o
en ascii o en hexadecimal, as pues algo como:
Cookie access = document.cookie
Es identico a:
Cookie access =646f63756d656e742e636f6f6b6965
Ya que 646f63756d656e742e636f6f6b6965 es la representacin en hexadecimal de
document.cookie.
Lo preferible es que siempre se intente escribir la regla en ascii y usar hex para representar
nicamente valores binarios.
A la hora de buscar patrones se pueden aadir varias cadenas de bsqueda unindolas con el
simbolo +
Por ejemplo, si pretendemos buscar por un lado document.cookie y por otro http
podemos crear la siguiente regla:
Cookie access = document.cookie+http
Que har match en un string como este:
http://www.dominio.com/script.php?document.cookie
Ya que en esa cadena se encuentra por un lado http y por otro document.cookie. El orden da
igual ya que se evala uno a uno, es decir, aunque en la regla el primer patrn de bsqueda
sea document.cookie y luego http, si en el paquete viene cambiado, seguir haciendo match.