Herramienta para corregir falsos positivos en IDS.

Un IDS siempre es una buena solución para mejorar la seguridad de una red, pero para que sea efectivo en un entorno de red, tiene que tener unas reglas específicas adaptadas a los protocolos que se usan en dichas redes. Por eso se debe emplear herramientas para corregir falsos positivos para su correcta implementación y puesta a punto.

Realizar esta puesta a punto, de forma eficaz es posible con IDSwakeup, un conjunto de herramientas que permite poner a prueba los sistemas de detección de intrusiones de red.

El objetivo principal de IDSwakeup es generar falsos ataques que imitan ataques conocidos, con el fin, de ver si los IDS, los detectan y generan falsos positivos.

IDSwakeup se publico con la esperanza de que una metodología de prueba precisa pudiera ser aplicada al sistema de detección de intrusos, una tarea pendiente, hoy en día, en muchas implantaciones de IDS.

IDSwakeup incluye:

IDSwakeup,  la principal shell script que permite lanzar hping2 o iwu. Al ejecutarla sólo se tiene que elegir el ataque o una serie de ataques que se quieran imitar. También se puede fijar el TTL para producir un corto TTL y afectar sólo IDS y no a los servidores de la red. IDSwakeup requiere el paquete hping2.

 Modo de empleo:

 . /IDSwakeup <src addr> <dst addr> [ nb] [ ttl ]

Iwu, envía un datagrama a modo de tampón. Se permite cambiar la dirección de origen, la dirección de destino, el TTL (con el fin de producir un corto TTL) . También toma como parámetro el número de veces que el usuario quiere enviar el mismo datagrama. Iwu requiere el paquete libnet 1.x.

Modo de empleo:

. /Iwu <srcIP> <dstIP> <nb> <ttl> <ip-datagram>

Ejemplo:

. /Iwu 10.0.0.1 20.0.0.2 200 4 » 4500 0018 0003 4011 00F2 73dB 0101 0101 0202 0202 4494 e63e «

Más información y descarga de IDSwakeup:
http://www.hsc.fr/ressources/outils/idswakeup/index.html.en