Los sistemas de detección y prevención de intrusiones (IDS/IPS) son fundamentales para proteger adecuadamente en el perímetro de la red, muy cerca del firewall ya que trabajan conjuntamente para impedir que usuarios malintencionados puedan acceder a nuestra organiación. La configuración de IDS/IPS como Snort o Suricata es fundamental para proteger adecuadamente nuestra red, y para comprobar dicha configuración tenemos el framework Pytbull.
pytbull es un framework que prueba la configuración de sistemas de detección y prevención de intrusiones tipo Snort y Suricata. Este framework generará alertas en el propio IDS/IPS y comprobaremos que funciona adecuadamente. Pytbull se puede utilizar para comprobar las diferentes configuraciones y el nivel de seguridad que nos proporciona un IDS/IPS en comparación con otro.
Principales ataques a IDS/IPS que realiza pytbull
Los principales ataques que realiza esta herramienta a un IDS/IPS es la de enviar paquetes malformados al servidor, para comprobar cómo son procesados por el IDS/IPS y si pueden causar una denegación de servicio, asimismo también es capaz de enviar paquetes fragmentados. Otro ataque muy útil es el de fuerza brutal, si tenemos un servidor FTP dentro de la organización podremos probar miles de contraseñas, si el IDS/IPS no ha parado el ataque antes (tendremos que poner en el IDS/IPS) unas reglas específicas.
Otros ataques que realiza pytbull son ataques del lado del cliente, este módulo utiliza una shell inversa para proporcionar al servidor instrucciones para descargar software malicioso del exterior. Este test comprueba si el IDS/IPS nos protege frente a este tipo de ataques en los clientes.
El ataque más popular es el de DoS, comprobará si nuestro sistema protege adecuadamente el perímetro de la red de ataques de denegación de servicio. pytbull también utiliza técnicas de evasión para no ser detectado por el IDS/IPS, dependiendo de la configuración de nuestro sistema detectaremos este tipo de ataques o no.
Por último, otras de las características de pytbull es la de comprobar la reputación de direcciones IP maliciosas, es muy típico que en nuestro IDS/IPS bloqueemos IP no solo por regiones sino también IP que están catalogadas como maliciosas (por SPAM o porque se ha detectado que pertenecen a una botnet). Pytbull permite ejecutarlo en dos modos diferentes, el modo remoto y el modo local, aunque el funcionamiento es bastante sencillo ya que automatiza todos los ataques.
Os recomendamos acceder a la página web oficial de pytbull donde encontraréis el enlace de descarga y también toda la documentación sobre el framework
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
