Patriot NG

Patriot NG es una herramienta de tipo Host IDS que permite monitorizar en tiempo real
cambios en sistemas Windows.
Se entiende por un IDS un programa usado para detectar accesos no autorizados a un
computador o una red.
Es necesario tener instalado Winpcap (http://www.winpcap.org/install/default.htm) para ser
completamente operativo.

Instalacin.
El proceso de instalacin es extremadamente sencillo. Una vez ejecutado el instalador, se
seguirn los pasos que indica el asistente.

Con estos pasos ya est instalado el programa en el equipo. Se podr comprobar viendo los
iconos de los programas activos en la barra de tareas.

Opciones
Una vez instalado, haciendo clic con el botn derecho sobre el icono de la barra de tareas nos
aparecen las diferentes opciones que nos ofrece:

Start: Inicia el programa en caso de que est parado o bien avisa que ya est
activo.
Stop: Detiene el programa
Status: Indica el estado en que se encuentra en ese momento.
Panel de control: Se configura el comportamiento de la aplicacin. Se explica
con ms profundidad en el siguiente punto.
Update NIDS rules: Actualiza las ltimas reglas de filtrado para Patriot.
HomePage: Abre un navegador con la URL www.security-proyects.com
About: Muestra pequea ventana con la direccin email del desarrollador
Exit: Sale del programa.

Panel de control

Las diferentes opciones disponibles son:

Explorer

Change in Registry settings: Windows utiliza un sistema para almacenar la

configuracin llamado registro. En l se encuentran configuraciones que son
alteradas por algunos programas maliciosos para infectar los ordenadores y
asegurarse su ejecucin al inicio del sistema. Esta proteccin monitoriza esas
claves importantes y genera alertas cuando detecta modificaciones en ellas.

Changes in the configuration of IExplorer: Una de las cosas que realiza el

software del tipo Spyware es alterar la configuracin de Internet Explorer para
poder monitorizar el tipo de Webs que se visitan o para forzar que se visiten
Webs no deseadas. Esta alerta avisa si se producen cambios en la
configuracin de Internet Explorer.

System

Files in Startup directories: Windows dispone de unos directorios

especiales conocidos como directorios startup donde se colocan ficheros para
que sean ejecutados durante el inicio del sistema. Cualquier ejecutable que
est colocado en esos directorios ser ejecutado durante el proceso de
arranque. Muchos programas de tipo troyano emplean estos directorios para
copiarse en ellos y de esa forma, asegurar su presencia en el sistema en cada
arranque. Esta proteccin genera alertas cuando detecta que un nuevo fichero
ha sido copiado en esos directorios.

New users on system: Esta proteccin alerta si se crean nuevos usuarios en

el sistema.

New services installed: Un servicio es un tipo de programa especial que

normalmente se ejecuta con los mximos privilegios. Suelen ser empleados de
forma legtima para aadir funcionalidades a Windows. En algunas ocasiones,
programas maliciosos se camuflan como este tipo de programas para infectar
el sistema. Esta proteccin alerta si aparecen nuevos servicios en el inicio.

Changes in the Hosts file: Windows dispone de un fichero llamado hosts en

el que se pueden almacenar nombres de hosts y sus direcciones IP para que el
sistema las tenga en cuenta de forma preferencial. Algunos troyanos o
Spyware alteran este fichero para redireccionar maliciosamente conexiones a
diversos hosts. Esta alerta avisa en el caso de que se produzcan
modificaciones en este fichero.

New scheduled jobs: Windows dispone de un sistema conocido como

Scheduler o planificador por el cual se pueden programar tareas para que el
sistema las ejecute. Existen programas malware que utilizan el planificador
como forma de preservar su presencia en el sistema. Esta alerta informa si
aparecen nuevos trabajos en el planificador.

New hidden windows: Pueden ser generadas por algn proceso de

instalacin de una aplicacin o como consecuencia de un ataque a nuestro
equipo. Cuando se vaya a ejecutar cualquiera de ella, dar un aviso.

Files in critical directories: Esta proteccin avisa si aparecen nuevos ficheros

ejecutables en directorios del sistema.

Instalation of new drivers: Algunos programas tipo rootkit (ocultan ficheros,

procesos, conexiones) se instalan en el sistema como drivers, sta alerta avisa
si aparecen nuevos drivers instalados en el sistema.

Networking

NetBios connections to the system: Esta proteccin alerta ante conexiones

que se realicen contra nuestro sistema utilizando el protocolo NetBios (recursos
compartidos). Generar alertas cuando alguien acceda a carpetas o archivos
en nuestro equipo.

New Netbios shares: Esta alerta avisa en el caso de que aparezcan nuevas
carpetas compartidas mediante NetBios.

TCP/IP defense: Informa de nuevos puertos abiertos, nuevas conexiones

realizadas, ARP Spoofing...

ARPWatch: Detecta nuevos host en la red.

NIDS: Sistema para detectar trfico anmalo que reciba el equipo. Se basar
en un fichero de reglas configurable, para poder personalizar los patrones de
trfico segn el entorno o la necesidad.

Cuando se instala Patriot NG, automticamente, comienza a ver qu haces. Lo prob en las
tareas normales que hago, y me lanz varias notificaciones. A continuacin les comento todo
lo que los creadores de este software dicen que este programa puede detectar y notificarnos:

Cuando hay alguna modificacin en el registro de Windows

Cuando se aaden o quitan ficheros en el inicio de Windows
Cuando se crean nuevos usuarios en el sistema operativo
Cuando se aaden nuevos servicios en Windows
A lo que se aaden Tareas programadas en el sistema
Cuando se instalan nuevos controladores en Windows
A lo que se crean ventanas ocultas en Windows
Cuando se abren o cierran puertos en la red
Cuando se detectan alteraciones en el protocolo TCP/IP

Pues bien, el modo de uso de Patriot NG es bastante sencillo. Est disponible para Windows7,
Vista, XP, etc., en espaol (y otros idiomas), y no debes configurar prcticamente nada porque
slo es necesario instalarlo y de modo predeterminado trae las configuraciones que son las
ms recomendadas para cualquier tipo de computadora.

A continuacin una muestra de una notificacin que me ha hecho Patriot NG:

Para editar la lista de puertos a monitorizar nos vamos a

Con el botn derecho del ratn seleccionamos stop

Luego nos vamos a

C:\Archivos de programa\Patriot NG
Donde podemos localizar un fichero llamado destports.ini
Una vez ah, editamos el fichero con notepad y vemos que la estructura del fichero es bastante
sencilla: [puerto]
Por tanto, aadimos el puerto al final del fichero:
Salvamos y desde el tray, volvemos a arrancar Patriot:

Con esto ya tenemos configurado Patriot para detectar intentos de conexin a ese puerto,
cada vez que alguien lo intente, podremos ver el intento y bloquear la IP

Gestin de reglas NIDS en Patriot-NG

Durante la instalacin se crean dos ficheros de configuracin del NIDS, por un lado
badtraffic.ini y por otro ownrules.ini la idea es que badtraffic.ini sea un fichero que *no* se
deba tocar y que se actualice va la interface de Patriot NG.

Como se puede ver en el tray, hay una opcin llamada Update NIDS rules que descargar la
ltima versin del servidor y la instalar. Por tanto, no es aconsejable tocar ese fichero a mano
ya que en la prxima actualizacin ser sobre-escrito.
El fichero orientado a que insertes tus propias reglas es ownrules.ini y ahora toca explicar
como se crean esas reglas:
Como podis ver el formato de cada regla es muy sencillo:
[Texto descriptivo]= [Patron]
As pues a la hora de hacer una regla lo primero es pensar un nombre que la asocie y buscar un
patrn en ese ataque que sirva para identificarlo. El patrn para la firma puede estar escrito o
en ascii o en hexadecimal, as pues algo como:
Cookie access = document.cookie
Es identico a:
Cookie access =646f63756d656e742e636f6f6b6965
Ya que 646f63756d656e742e636f6f6b6965 es la representacin en hexadecimal de
document.cookie.
Lo preferible es que siempre se intente escribir la regla en ascii y usar hex para representar
nicamente valores binarios.
A la hora de buscar patrones se pueden aadir varias cadenas de bsqueda unindolas con el
simbolo +
Por ejemplo, si pretendemos buscar por un lado document.cookie y por otro http
podemos crear la siguiente regla:
Cookie access = document.cookie+http
Que har match en un string como este:
http://www.dominio.com/script.php?document.cookie
Ya que en esa cadena se encuentra por un lado http y por otro document.cookie. El orden da
igual ya que se evala uno a uno, es decir, aunque en la regla el primer patrn de bsqueda
sea document.cookie y luego http, si en el paquete viene cambiado, seguir haciendo match.

Configuracin de alertas por intento de conexin

Adicionalmente a badtraffic.ini y ownrules.ini hay otro fichero de configuracin llamado
destports.ini, este fichero define que puertos consideramos sospechosos y sobre los que
queremos que se nos avise si hay un intento de conexin. El formato es muy sencillo
[139]
[445]
[80]
[21]
[1243]
[5800]
[5900]
[6776]
[31337]
Como es obvio la forma de aadir o quitar puertos es sencilla, simplemente aadir al final
[1234] y ese puerto sera monitorizado. Por cada cambio en la configuracin hay que hacer un
stop / start desde el tray.

Consideraciones sobre rendimiento

Este punto es algo peliagudo ya que como es lgico, el rendimiento / uso de CPU va a variar en
funcin del uso de la red que se le est dando, el proceso NIDS se ejecuta con una prioridad
baja, lo que en parte puede mitigar una saturacin, no obstante, est claro que si tienes un
montn de conexiones abiertas, descargando ficheros grandes, y todo eso en una red
ethernet, seguramente el proceso consuma una cantidad importante de recursos e incluso es
posible / probable que haya una perdida de paquetes a la hora de procesar tanto trfico.

En comparacin con SNORT lo encuentro ms sencillo de usar.