Patriot NG es una sencilla aplicacin que se encarga de monitorizar nuestro

sistema Windows. Este programa nos avisa de los cambios que se producen
en nuestro ordenador, dndonos la posibilidad de permitirlos o denegarlos.

Existen mil maneras de mejorar la seguridad informtica de nuestra

computadora, y es que el usuario que no piense en eso est por muy mal
camino. Bsicamente, un Host-IDS significa realmente Sistema de
deteccin de intrusos en un Host donde Host es el equipo donde se ha
instalado dicho sistema. Patriot NG es una herramienta para Windows que
es un Host-IDS.

Patriot NG podra estar enfocado para usuarios avanzados, o para equipos

donde se pueden colar muchos procesos. Concretamente, lo que hace es
monitorizar todas las tareas que son ejecutadas en el sistema, y cuando
haya algo sospechoso, te lo notifica, e incluso, te permite, si es posible,
realizar acciones que impidan que sigan ejecutndose dicha tarea
sospechosa.

Cuando se instala Patriot NG, automticamente, comienza a ver qu haces.

Lo prob en las tareas normales que hago, y me lanz varias notificaciones.
A continuacin les comento todo lo que los creadores de este software dicen
que este programa puede detectar y notificarnos:

Cuando hay alguna modificacin en el registro de Windows

Cuando se aaden o quitan ficheros en el inicio de Windows
Cuando se crean nuevos usuarios en el sistema operativo
Cuando se aaden nuevos servicios en Windows
A lo que se aaden Tareas programadas en el sistema
Cuando se instalan nuevos controladores en Windows
A lo que se crean ventanas ocultas en Windows
Cuando se abren o cierran puertos en la red
Cuando se detectan alteraciones en el protocolo TCP/IP

Pues bien el modo de uso de Patriot NG es bastante sencillo. Primero que

todo les comento que est disponible para Windows7, Vista, XP, etc., en

espaol (y otros idiomas), y no debes configurar prcticamente nada porque

slo es necesario instalarlo y de modo predeterminado trae las
configuraciones que son las ms recomendadas para cualquier tipo de
computadora.

Vean a continuacin una muestra de una notificacin que me ha hecho

Patriot NG:

Con patriot vamos a detectar uno de los bugs que marcarn el 2012: EL bug
del protocolo RDP que permite comprometer remotamente cualquier
sistema Windows. Esta vulnerabilidad, para la que hay varios exploits
pblicos y que est siendo activamente explotada, es sin duda una de las
vulnerabilidades ms crtica que ha sido publicada recientemente para
sistemas Windows.

Dado que a da de hoy es uno de los bugs que ms inters despierta (y una
vez aadido el exploit a metasploit, con ms razn) viene bien monitorizar
quien est jugando con el.
Para ello, vamos a usar PATRIOT NG y su caracterstica de monitorizacin de
intentos de conexin a puertos.
El primer paso es detener Patriot, para ello buscamos el tray

Con el botn derecho del ratn seleccionamos stop

El siguiente paso es aadir el puerto del RDP (3389) a la lista de puertos

calientes, para ello nos situamos en:
C:\Archivos de programa\Patriot NG
Donde podemos localizar un fichero llamado destports.ini
Una vez ah, editamos el fichero con notepad y vemos que la estructura del
fichero es bastante sencilla: [puerto]
Por tanto, aadimos el puerto al final del fichero:
Salvamos y desde el tray, volvemos a arrancar Patriot:
Con esto ya tenemos configurado Patriot para detectar intentos de conexin
a ese puerto, cada vez que alguien lo intente, podremos ver el intento y
bloquear la IP

Hola a todos voy a poner la nueva informacin sobre patriot-NG 2.X que a
posteado nuestro amigo Yago Jesus (creador de la herramienta ) y
colaborador de Security By Default.
Gestin de reglas NIDS en Patriot-NG
Durante la instalacin se crean dos ficheros de configuracin del NIDS, por
un lado badtraffic.ini y por otro ownrules.ini la idea es que badtraffic.ini sea
un fichero que *no* se deba tocar y que se actualice va la interface de
Patriot NG.
Como se puede ver en el tray, hay una opcin llamada Update NIDS rules
que descargar la ltima versin del servidor y la instalar. Por tanto, no es
aconsejable tocar ese fichero a mano ya que en la prxima actualizacin
ser sobre-escrito.
El fichero orientado a que insertes tus propias reglas es ownrules.ini y ahora
toca explicar como se crean esas reglas:
Como podis ver el formato de cada regla es muy sencillo:
[Texto descriptivo]= [Patron]
As pues a la hora de hacer una regla lo primero es pensar un nombre que la
asocie y buscar un patrn en ese ataque que sirva para identificarlo. El
patrn para la firma puede estar escrito o en ascii o en hexadecimal, as
pues algo como:
Cookie access = document.cookie
Es identico a:
Cookie access =646f63756d656e742e636f6f6b6965
Ya que 646f63756d656e742e636f6f6b6965 es la representacin en
hexadecimal de document.cookie.
Lo preferible es que siempre se intente escribir la regla en ascii y usar hex
para representar nicamente valores binarios.
A la hora de buscar patrones se pueden aadir varias cadenas de bsqueda
unindolas con el simbolo +
Por ejemplo, si pretendemos buscar por un lado document.cookie y por
otro http podemos crear la siguiente regla:
Cookie access = document.cookie+http
Que har match en un string como este:
http://www.dominio.com/script.php?document.cookie

Ya que en esa cadena se encuentra por un lado http y por otro

document.cookie. El orden da igual ya que se evala uno a uno, es decir,
aunque en la regla el primer patrn de bsqueda sea document.cookie y
luego http, si en el paquete viene cambiado, seguir haciendo match.
Configuracin de alertas por intento de conexin
Adicionalmente a badtraffic.ini y ownrules.ini hay otro fichero de
configuracin llamado destports.ini, este fichero define que puertos
consideramos sospechosos y sobre los que queremos que se nos avise si
hay un intento de conexin. El formato es muy sencillo
[139]
[445]
[80]
[21]
[1243]
[5800]
[5900]
[6776]
[31337]
Como es obvio la forma de aadir o quitar puertos es sencilla, simplemente
aadir al final [1234] y ese puerto sera monitorizado. Por cada cambio en la
configuracin hay que hacer un stop / start desde el tray
Consideraciones sobre rendimiento
Este punto es algo peliagudo ya que como es lgico, el rendimiento / uso de
CPU va a variar en funcin del uso de la red que se le est dando, el proceso
NIDS se ejecuta con una prioridad baja, lo que en parte puede mitigar una
saturacin, no obstante, est claro que si tienes un montn de conexiones
abiertas, descargando ficheros grandes, y todo eso en una red ethernet,
seguramente el proceso consuma una cantidad importante de recursos e
incluso es posible / probable que haya una perdida de paquetes a la hora de
procesar tanto trfico.