Luchar contra el malware y las vulnerabilidades mediante la adici\u00c3\u00b3n de firmas al IDS.<\/p>\n
Parece pr\u00c3\u00a1cticamente inexcusable que a estas alturas cualquier red que se precie proteger cuente con mecanismos de detecci\u00c3\u00b3n de intrusos.<\/p>\n
De entre las m\u00c3\u00baltiples opciones que poseen los administradores, hay un sistema de detecci\u00c3\u00b3n bastante popular. Se trata de Snort<\/a>, un buen sistema de detecci\u00c3\u00b3n que adem\u00c3\u00a1s, es libre y gratu\u00c3\u00adto.<\/p>\n Una de las grandes ventajas de Snort es que admite la carga de firmas espec\u00c3\u00adficas para determinadas vulnerabilidades, factor interesante a tener en cuenta a la hora de minimizar el riesgo que proviene de la existencia de exploits masivos que puden atacar nuestra infraestructura.<\/p>\n As\u00c3\u00ad por ejemplo, a ra\u00c3\u00adz de la reciente publicaci\u00c3\u00b3n de MS06-042, sobre la que se habl\u00c3\u00b3 extensamente ayer en una-al-d\u00c3\u00ada<\/a>, han aparecido algunos exploits on the wild que pueden ser detenidos con ayuda de nuestro amigo Snort.<\/p>\n Para ello, basta con a\u00c3\u00b1adir firmas que permitan identificar estos exploits. Desde la firma m\u00c3\u00a1s gen\u00c3\u00a9rica, del tipo alert tcp any any -> any $RPC_PORTS (msg:\u00bbUS-CERT MS06-040 Indicator\u00bb; content:\u00bb| 90 90 EB 04 2B 38 03 78 |\u00bb; classtype:malicious-activity; sid:1000003; rev:1;), a firmas m\u00c3\u00a1s elaboradas<\/a>, que incluyen informaci\u00c3\u00b3n suficiente para identificar al vuelo los exploits conocidos para un determinado problema de seguridad.<\/p>\n Para entender la secuencia PCRE que sirve habitualmente como firma para un IDS como Snort, basta con acudir a una referencia Regular Expression Basic Syntax Reference<\/a>, en la que se estandariza la sintaxis adecuada para codificar firmas adecuadamente. Estas PCRE son las llamadas Perl Compatible Regular Expressions<\/a>, orientadas a ofrecer patrones de coincidencia (matching) en expresiones regulares.<\/p>\n Este tipo de firmas pueden ser consultadas y descargadas de servicios como Bleeding Edge Snort<\/a>. Otro ejemplo interesante de firma sirve para contrarrestar el reciente troyano que se comunica v\u00c3\u00ada t\u00c3\u00banel ICMP<\/a>, y sobre el que habl\u00c3\u00b3 Julio en nuestro blog del laboratorio<\/a>.<\/p>\n