Hoy en d\u00eda se encuentra ampliamente difundido el estudio de intrusos mediante la utilizaci\u00f3n de honeypots. Uno de los problemas que se presentan en el intento de an\u00e1lisis y clasificaci\u00f3n de intrusos es el procesamiento y reconocimiento de las sesiones SSH interactivas, ya que la mayor\u00eda del tr\u00e1fico generado por los intrusos a la hora de ingresar comandos se realiza por este protocolo.<\/p>\n
El Laboratorio de Investigaci\u00f3n en Seguridad Inform\u00e1tica Si6 de CITEFA necesitaba solucionar el problema del reconocimiento de sesiones SSH interactivas. En el mes de Septiembre del 2006 se cre\u00f3 el Grupo de Estudio en Seguridad Inform\u00e1tica de la Universidad FASTA sede Mar del Plata, en convenio con el Si6 para abordar este problema.<\/p>\n
Se clasifica al tr\u00e1fico SSH en dos grandes tipos: las conexiones que lograron acceder al honeypot por poseer la contrase\u00f1a correcta y las conexiones intentan adivinar la contrase\u00f1a. Ambos tipos de conexiones se pueden producir manualmente o de forma autom\u00e1tica. Si la contrase\u00f1a es correcta los intrusos ingresan para ejecutar comandos de forma interactiva. Se torn\u00f3 esencial el reconocimiento de las sesiones SSH que ejecutaban comandos de forma interactiva entre el resto de las dem\u00e1s sesiones.<\/p>\n
Proyecto iniciado como Grupo de Estudio de Seguridad Inform\u00e1tica en la Universidad FASTA ( http:\/\/www.ufasta.edu.ar ), en Mar del Plata, Buenos Aires, Argentina.<\/p>\n
Agosto 20, 21 y 22, 2008 – JRSL – Jornadas Regionales de Software Libre – Buenos Aires – Argentina. <\/strong><\/p>\n D\u00eda de la Seguridad Inform\u00e1tica en la Universidad FASTA <\/strong><\/p>\n El archivo 2007-05-23_SG_3.tcpdump es un ejemplo de SSH con la primer clave err\u00f3nea, y la segunda clave correcta. Se utiliz\u00f3 un cliente \u00abOpenSSH_4.4p1, OpenSSL 0.9.8d\u00bb conectando a un servidor \u00abOpenSSH_4.4p1, OpenSSL 0.9.8d\u00bb.<\/p>\n\n
\n
\n
Ejemplos Tcpdump para analizar<\/h3>\n
\n