Herramienta de análisis de detección y capacidades de bloqueo de un IDS/IPS.

Se trata de la herramienta pytbull un marco de pruebas de sistemas de detección y prevención de intrusiones (IDS / IPS) como: Snort, Suricata y cualquier IDS / IPS que genere un archivo de registro de alertas. Puede ser utilizado para: probar la detección y capacidades de bloqueo de un IDS / IPS, comparar diferentes  IDS / IPS, comparar modificaciones de la configuración y validar configuraciones nuevas.

Pytbull contiene cerca de 300 pruebas agrupadas en 11 módulos:

• badTraffic: Los paquetes que no cumplen con RFC se envían al servidor para comprobar cómo se procesan.
• bruteForce: pone a prueba la capacidad del servidor para rastrear ataques de fuerza bruta (por ejemplo, FTP). Hace uso de reglas personalizadas en Snort y Suricata.
• clientSideAttacks: este módulo utiliza una shell inversa para proporcionar instrucciones al servidor para descargar archivos maliciosos remotos. Este módulo pone a prueba la capacidad de los IDS / IPS para proteger contra ataques del lado del cliente.
• denialOfService: pone a prueba la capacidad de los IDS / IPS para proteger contra los intentos de DoS .
• evasionTechniques: diversas técnicas de evasión que se utilizan para comprobar si los IDS / IPS pueden detectarlas.
• fragmentedPackets: diversas cargas de paquetes fragmentados que  se envían al servidor para poner a prueba su capacidad para recomponerlos y detectar los ataques.
• ipReputation: pone a prueba la capacidad del servidor para detectar el tráfico de los servidores de baja reputación.
• normalUsage: cargas útiles que corresponden a un uso normal.
• pcapReplay: permite reproducir archivos pcap.
• shellcodes: enviar varios shellcodes al servidor en el puerto 21/tcp para poner a prueba la capacidad del servidor para detectar y rechazar shellcodes.
• testRules: Pruebas de reglas básicas. Ataques basados en las reglas del popio IDS / IPS a probar.

Dentro de la arquitectura de funcionamiento de pytbull existen dos modos:

El modo remoto o autónomo:

En este modo, el IDS está enchufado en el puerto SPAN (port mirroring) del conmutador  y se configura en modo promiscuo. El IDS analiza todo el tráfico que pasa a través del switch. Los archivos maliciosos pueden ser descargados, ya sea por pytbull o por el servidor.

Modo local o gateway:

En este modo, los archivos que se descargan en el cliente pytbull y se pone en marcha a partir de tres tipos de configuración:

• Modo de IDS con el servidor a atacar en la DMZ,  en esta configuración, un servidor de seguridad de la red se divide en 3 partes (LAN, WAN, DMZ). El IDS está enchufado en un puerto SPAN (port mirroring) del conmutador con su interfaz configurada en modo promiscuo. Se analizará cada tráfico que se envía a la interfaz LAN del firewall.
• Modo de IPS,  en esta configuración un firewall divide la red en 3 partes: LAN, WAN y DMZ. El IDS está conectado entre el cliente pytbull y el firewall. Para dar a los IDS una oportunidad para detectar los archivos maliciosos. Para esta prueba pytbull tiene que descargar los archivos infectados.
• Modo de IPS con el servidor a atacar en la DMZ, en esta configuración, un firewall divide la red en 3 partes: LAN, WAN y DMZ. El IDS está conectado entre el cliente pytbull y el firewall. Archivos maliciosos tienen que ser descargados por el cliente pytbull  y enviados al servidor a atacar en la DMZ, analizando si el IDS los detecta.

Interfaz principal de Pytbull se basa en la línea de comandos. Para evitar una larga lista de argumentos, la mayoría de las opciones se proporcionan en el archivo de configuración. Durante la ejecución de las pruebas, los ensayos se muestran en tiempo real y los resultados detallados se pueden mostrar mediante el uso de la opción de depuración. Una vez que todas las pruebas se han procesado realiza  un informe completo en HTML. Las pruebas de pytbull se basan en una sintaxis muy completa que permite diseñar pruebas específicas propias.

Más información y descarga de Pytbull:
http://pytbull.sourceforge.net