Charlas 5-12-2000 Ummet'2000

Charlas del 5/12/2000

Log de la conferencia. Se han suprimido las líneas correspondientes a entradas y salidas de diferentes personas en el canal durante la conferencia

[19:35] (Fernand0) Empecemos
[19:36] (Ricardo) :)
[19:36] (Fernand0) Hola,
[19:36] (Fernand0) hoy es un día dedicado en UMEET a las ponencias
[19:36] (Fernand0) Teníamos
[19:36] (Fernand0) previstas tres presentaciones para hoy, pero uno de los ponentes no ha
[19:36] (Fernand0) podido acudir.
[19:36] (Fernand0) En cualquier caso, tenemos el gusto de presentarles hoy a Juan Manuel
[19:36] (Fernand0) Pascual Escribá que nos va a hablar sobre:
[19:36] (Fernand0) Network Intrusion Detection Systems. Snort based NIDS
[19:36] (Fernand0) El es Ingeniero Industrial en Electronica y Automatica, y trabaja como
[19:36] (Fernand0) Administrador de sistemas, en una importante empresa de Barcelona,
[19:36] (Fernand0) además de un buen amigo, colaborador y administrador de UniNet.
[19:36] (Fernand0) No es la primera conferencia virtual que dá y me gustaría destacar que es
[19:36] (Fernand0) un habitual de las listas de seguridad, habiendo mandado informes sobre
[19:36] (Fernand0) algunos bugs en diversos programas.
[19:37] (Fernand0) Agradecer al ponente su interés en este congreso y su presentación
[19:37] (Fernand0) asi como a todos ustedes por su presencia aqui
[19:37] (Fernand0) Juan Manuel ....
[19:37] (MJesus)plas plas plas plas plas plas plas plas
[19:37] (MJesus)plas plas plas plas plas plas plas plas
[19:37] (MJesus) clap clap clap clap clap clap clap clap
[19:37] (MJesus)plas plas plas plas plas plas plas plas
[19:37] (MJesus) clap clap clap clap clap clap clap clap
[19:37] (MJesus)plas plas plas plas plas plas plas plas
[19:37] (MJesus)plas plas plas plas plas plas plas plas
[19:37] (MJesus) clap clap clap clap clap clap clap clap
[19:37] (MJesus)plas plas plas plas plas plas plas plas
[19:37] (MJesus) clap clap clap clap clap clap clap clap
[19:37] (JMPascual) Sistemas para la deteccion de Intrusiones en redes
[19:37] (JMPascual) por Juan Manuel Pascual Escriba pask@uninet.edu
[19:38] (JMPascual) 1.- INTRODUCCION
[19:38] (JMPascual) 2.- SYSLOG CENTRALIZADO
[19:38] (JMPascual) 3.- SISTEMAS DE DETECCION DE INTRUSIONES EN REDES
[19:38] (JMPascual) 3.1.- DONDE COLOCAR UN NIDS.
[19:38] (JMPascual) 3.2.- QUE HARDWARE ES NECESARIO. LIMITACIONES
[19:38] (JMPascual) 3.3.- NECESITO MAS DE UN NIDS ?
[19:38] (JMPascual) 3.4.- COMO IMPLEMENTO UN NIDS ?
[19:38] (JMPascual) 3.5.- ES VULNERABLE UN NIDS ?
[19:38] (JMPascual) 3.6.- MODOS DE "VULNERAR" UN NIDS.
[19:38] (JMPascual) 4.- REFERENCIAS Y AGRADECIMIENTOS.
[19:39] (JMPascual) Todo lo que *intento* explicar a continuacion esta pensado para
[19:39] (JMPascual) entornos de produccion que deben funcionar 24x7 y evidentemente ofrecer
[19:39] (JMPascual) servicios. No para maquinas conectadas por ppp 3 horas al dia.
[19:39] (JMPascual) 1.- INTRODUCCION
[19:39] (JMPascual) Actualmente existen muchas formas para intentar detectar un
[19:39] (JMPascual) intrusion o intento, en nuestra red. Por tanto las soluciones son varias y
[19:39] (JMPascual) lo mejor es buscar la coexistencia de ellas. Existen varios principios que
[19:39] (JMPascual) convendria respetar, uno de ellos y para mi el mas importante es DIVIDE Y
[19:40] (JMPascual) VENCERAS.
[19:40] (JMPascual) La aplicacion a la deteccion de intrusiones de esta frase es
[19:40] (JMPascual) sencilla, conviene replicar siempre que sea posible los logs de nuestros
[19:40] (JMPascual) servers en estaciones de gestion de logs. De esta forma a un intruso le
[19:40] (JMPascual) resultara mucho mas dificil eliminar sus huellas, ya que para ello debera
[19:40] (JMPascual) acceder a todas y cada una de estas maquinas e intentar eliminar sus
[19:40] (JMPascual) huellas.
[19:41] (JMPascual) 2.- SYSLOG CENTRALIZADO
[19:41] (JMPascual) Este tipo de maquinas conviene implementarlas, como todas las
[19:41] (JMPascual) maquinas destinadas a seguridad, sobre SO lo mas heterogeneos posibles. De
[19:41] (JMPascual) esta forma evitaremos que un mismo bug pueda afectar a todas ellas al
[19:41] (JMPascual) mismo tiempo.
[19:41] (JMPascual) Es por tanto interesante destinar una maquina para que recoja los
[19:41] (JMPascual) logs, implementada sobre un SO poco comun y lo mas seguro posible como
[19:41] (JMPascual) pudiera ser OpenBSD,Solaris sobre Intel o versiones de Linux como Inmunix.
[19:42] (JMPascual) Una vez instalado, deberemos eliminar cualquier tipo de servicio, tanto
[19:42] (JMPascual) gestionado por inetd como cualquier daemon. La maquina SOLO debe ser
[19:42] (JMPascual) accesible por CONSOLA y tener el puerto de syslogd.
[19:42] (JMPascual) Una vez hecho esto deberemos activar reglas del FW local que
[19:42] (JMPascual) impidan la E/S de paquetes de esta maquina (buscamos un mini-agujero
[19:42] (JMPascual) negro). Denegaremos todo por defecto y activaremos reglas que permitan
[19:42] (JMPascual) recibir los logs de las maquinas. Un ejemplo seria el siguiente:
[19:43] (JMPascual) Supongamos que nuestra maquina que recibira logs esta corriendo
[19:43] (JMPascual) Linux 2.2.16 con IP 62.22.37.65 y empleamos ipchains para construir su FW.
[19:43] (JMPascual) Vamos a recibir logs de las maquinas
[19:43] (JMPascual) diable.company.com -) 62.22.37.100 / 255.255.255.192
[19:43] (JMPascual) spirit.company.com -) 62.22.37.101 / 255.255.255.192
[19:43] (JMPascual) [root@dimoniet /]# ipchains -P input DENY
[19:43] (JMPascual) [root@dimoniet /]# ipchains -P output DENY
[19:44] (JMPascual) [root@dimoniet /]# ipchains -A input -s 62.22.37.100/26 -d 62.22.37.65/26
[19:44] (JMPascual) 514 -p udp -j ACCEPT
[19:44] (JMPascual) [root@dimoniet /]# ipchains -A input -s 62.22.37.101/26 -d 62.22.37.65/26
[19:44] (JMPascual) 514 -p udp -j ACCEPT
[19:44] (JMPascual) Con estas reglas, recibira el syslog desde la maquinas diable y spirit,
[19:44] (JMPascual) ¿pero como se envian ?
[19:44] (JMPascual) Para exportar el syslog a otra maquina, debemos añadir al
[19:44] (GUAPO) ER
[19:44] (JMPascual) /etc/syslog.conf de spirit y diable
[19:45] (JMPascual) *.* @dimoniet.company.com
[19:45] (JMPascual) y para que dimoniet reciba los logs deberemos lanzar su syslogd con los
[19:45] (JMPascual) parametros
[19:45] (JMPascual) /sbin/syslogd -r -m 0
[19:45] (JMPascual)
[19:45] (JMPascual) Ahora tendriamos una maquina que recibiria los logs de otras
[19:46] (JMPascual) maquinas, podriamos tener tantas como quisieramos. De esta forma si
[19:46] (JMPascual) accedieran a las maquinas spirit y diable y borraran los logs, estos
[19:46] (JMPascual) quedarian registrados en dimoniet.
[19:46] (JMPascual) Este tipo de maquinas debe instalarse en la parte mas interna de
[19:46] (JMPascual) la red de forma que sean lo mas dificilmente alcanzables por un intruso.
[19:46] (JMPascual) Tambien debemos tener en cuenta que este tipo de maquinas tiene un gran
[19:46] (JMPascual) problema si dejamos la instalacion asi. El problema es el siguiente:
[19:46] (JMPascual) Supongamos que un intruso supone que nuestros servidores exportan
[19:47] (JMPascual) los logs (cosa realmente comun), y es evidente que sabe que los propios
[19:47] (JMPascual) servidores tienen sus logs (es de perogrullo). Ahora supongamos que 136.prodigy.net.mx]: No route to host)
[19:47] (JMPascual) spoofea un millon de inicios de conexion a ftp,telnet,smtp,pop y cualquier
[19:47] (JMPascual) servicio que escribe los logs via syslog entre otros.
[19:47] (JMPascual) Este tipo de ataques lo podriamos llamar log-storming y tiene como
[19:47] (JMPascual) objetivo llenar las particiones destinadas a logs. El intruso podria
[19:47] (JMPascual) generar un par de horas de peticiones saturando nuestras particiones y
[19:47] (JMPascual) haciendo inutil nuestro sistema de deteccion de intrusiones .... por que
[19:47] (JMPascual) que particion de logs permite 10-15 Gb ? Cuanto mas paranoico sea el
[19:48] (JMPascual) intruso mas tiempo, maquinas, etc destinara para saturar nuestro
[19:48] (JMPascual) sistema.
[19:48] (JMPascual) Lo que debemos hacer ante esto es vigilar el crecimiento de la
[19:48] (JMPascual) particion de logs, al llegar a cierto tamaño (70%) enviaremos un mail,
[19:48] (JMPascual) SMS, etc a los admin. Al llegar al 80 % cortaremos el syslog.log y lo
[19:48] (JMPascual) enviaremos a una DAT, DLT, DLT Library via red relanzando el syslogd
[19:48] (JMPascual) posteriormente.
[19:49] (JMPascual) mv /var/log/syslog /var/log/syslog-`date |cut -c 0-16`
[19:49] (JMPascual) killall -HUP syslogd
[19:49] (JMPascual) /sbin/dump 0unbdsf ...... archivo user@machine:/dev/nst 0
[19:49] (JMPascual) rm /var/log/syslog-`date |cut -c 0-16`
[19:49] (JMPascual) Este tipo de maquinas deberian ser comunes en nuestras redes.
[19:49] (JMPascual) 3.- SISTEMA DE DETECCION DE INTRUSIONES EN REDES (IDS, NIDS)
[19:50] (JMPascual) Otro tipo de maquinas destinadas a la deteccion de intrusiones son
[19:50] (JMPascual) los IDS (Intrusion Detection Systems) y los NIDS (Network IDS). Estas
[19:50] (JMPascual) ultimas, se encargan de monitorizar el trafico en nuestra red y compararlo
[19:50] (JMPascual) con patrones de ataques, permitiendo actuar en el caso que se detecte
[19:50] (JMPascual) alguno. El numero de patrones detectados y el ancho de banda capaz de
[19:50] (JMPascual) tratar en funcion del tamaño de trama (redes ethernet) pueden ser algunas
[19:50] (JMPascual) de las medidas mas interesantes a la hora de evaluar la calidad de un NIDS
[19:50] (JMPascual) aunque conviene tener en cuenta otras caracteristicas como interfaz,
[19:50] (JMPascual) posibilidad de indexacion de ataques en BBDDs, etc.
[19:51] (JMPascual) El software NIDS es principalmente un sniffer, la diferencia
[19:51] (JMPascual) primordial con un sniffer convencional (tcpdump) por ejemplo es que un
[19:51] (JMPascual) NIDS permite decodificar la informacion del paquete a nivel de aplicacion
[19:51] (JMPascual) con lo que se puede comparar una vez decodificado con los patrones
[19:51] (JMPascual) (reglas) que podemos introducir en la configuracion.
[19:51] (JMPascual)
[19:51] (JMPascual) La implementacion de este tipo de maquinas es un poco mas compleja
[19:51] (JMPascual) y si debemos destinar una maquina exclusivamente para esta labor. Los
[19:51] (JMPascual) factores que se deben tener en cuenta a la hora de implantar un NIDS son:
[19:52] (JMPascual) Donde coloco el NIDS en mi red ?
[19:52] (JMPascual) Que tipo de Hardware necesito ?
[19:52] (JMPascual) Necesito mas de un NIDS ?
[19:52] (JMPascual) Que modificaciones es interesante realizar al NIDS ?
[19:52] (JMPascual)
[19:52] (JMPascual) Voy a intentar responder a estas preguntas en la medida de lo
[19:52] (JMPascual) posible. Seguramente muchos de vosotros se os ocurriran otras respuestas
[19:52] (JMPascual) para vuestras topologias de red, paranoias, etc.
[19:53] (JMPascual) 3.1.- DONDE COLOCAR UN NIDS.
[19:53] (JMPascual) Supongamos una red con una topologia mas o menos bien diseñada
[19:53] (JMPascual) desde el punto de vista de la seguridad.
[19:53] (JMPascual) DMZ ext Red Red [19:53] (JMPascual) Perimetral Interna [19:53] (JMPascual) INET <-) ROUTER <---) | <---) FW1 <---) | <---) FW2 <---) | [19:54] (JMPascual) | | | [19:54] (JMPascual) | |-SERVER 1 |-WKS LOGS [19:54] (JMPascual) | |-SERVER 2 |-RED Dsrrllo [19:54] (JMPascual) | |-DNS prim ext |-DNS int [19:54] (JMPascual) | |-DNS seg ext |-DDBB serv [19:54] (JMPascual) | | [19:54] (JMPascual) | [19:54] (JMPascual) Hub 10 Mbps Switch 100 Mbps Switch 100 Mbps

[19:55] (JMPascual) Supongamos que tenemos un acceso 2 Mbps construimos la DMZ externa
[19:55] (JMPascual) con un hub 10 Mbps, no necesitamos mejor hardware porque el cuello de
[19:55] (JMPascual) botella esta en el acceso a internet y no vamos a tener muchas colisiones
[19:55] (JMPascual) ya que solo tenemos 3 interfaces pinchados en el.
[19:55] (JMPascual) Donde colocariamos un NIDS ?
[19:55] (JMPascual) Podriamos colocarlo en varios sitios. Los cuatro sitios en los que
[19:55] (JMPascual) logicamente se puede pensar en colocar el IDS serian:
[19:56] (JMPascual) En la DMZ externa
[19:56] (JMPascual) En la red Perimetral
[19:56] (JMPascual) En la red interna
[19:56] (JMPascual) En algun FW.
[19:56] (JMPascual) Llegados a este punto habria que pensar que es lo que queremos
[19:56] (JMPascual) detectar. En primer lugar parece logico pensar que la mayoria de ataques
[19:56] (JMPascual) vendran desde el exterior, provocados por script-kiddies, o gente
[19:56] (JMPascual) interesada en nuestra red en particular. Cabe decir que la mayoria de
[19:57] (JMPascual) ataques externos son scaneos masivos en busca de agujeros muy
[19:57] (JMPascual) documentados.
[19:57] (JMPascual) Si pensaramos de esta forma, situariamos nuestro IDS en la DMZ
[19:57] (JMPascual) externa detectando todos los paquetes que llegan a nuestra red antes de
[19:57] (JMPascual) que sean bloqueados por el FW1. Si nuestra empresa es pequeña y
[19:57] (JMPascual) "confiamos" en nuestros colegas, desde luego seria el punto mas razonable.
[19:57] (JMPascual) Si estamos administrando una red grande de una empresa con un
[19:58] (JMPascual) elevado numero de empleados y por lo tanto de usuarios de la red.
[19:58] (JMPascual) Deberiamos documentarnos mas y asumir que en la actualidad casi el 80% de
[19:58] (JMPascual) los ataques que se producen en las redes, provienen del interior y no del
[19:58] (JMPascual) exterior. El numero de empleados descontentos y con elevados conocimientos
[19:58] (JMPascual) de las topologias de red utilizadas, politicas de passwords, etc. Los
[19:58] (JMPascual) convierten en posibles intrusos con informacion privilegiada.
[19:58] (JMPascual) Si consideramos que nos encontramos en este tipo de redes, lo
[19:58] (JMPascual) logico seria colocar un NIDS en la red interna, de este modo
[19:58] (JMPascual) localizariamos los ataques que causan los empleados a los servidores de la
[19:59] (JMPascual) red perimetral y los ataques producidos entre empleados.
[19:59] (OSCAR) gh
[19:59] (andres) j
[19:59] (JMPascual) Estas 2 opciones son las mas razonables para mi y son donde
[19:59] (torombolo) k
[19:59] (JMPascual) colocaria las maquinas dedicadas exclusivamente a ejercer de NIDS.
[19:59] (JMPascual) La colocacion de NIDS en los FW no es demasiado conveniente por
[19:59] (JMPascual) dos motivos:
[19:59] (JMPascual) Estariamos sobrecargando una maquina con 2 funciones muy
[19:59] (JMPascual) criticas. La funcion de NIDS necesita de E/S critica en momentos de
[20:00] (JMPascual) saturacion de la red. Lo que puede hacer que el rendimiento del FW baje.
[20:00] (JMPascual) Si de algun modo se consiguiera causar un DoS al software del NIDS
[20:00] (JMPascual) que afectara al sistema, se produciria un DoS en toda la red. Los
[20:00] (JMPascual) Firewalls suelen ser puntos de fallo unicos (a menos que se opte por
[20:00] (JMPascual) soluciones de alta disponibilidad y NIDS distintos) por lo tanto debemos
[20:00] (JMPascual) cuidarlos y mimarlos lo mas posible.
[20:00] (JMPascual) En este tipo de maquinas cuantos menos procesos y un kernel mas depurado
[20:00] (JMPascual) mucho mejor. Por lo tanto no me parece correcto colocar un NIDS en un
[20:01] (JMPascual) Firewall. Estos dos servicios deben correr en maquinas distintas.
[20:01] (JMPascual) En la colocacion de IDS debemos tener en cuenta la electronica de
[20:01] (JMPascual) red que estamos utilizando. Evidentemente si utilizamos hubs no tendremos
[20:01] (JMPascual) ningun problema para monitorizar todo el trafico en cualquier puerto. Si
[20:01] (JMPascual) utilizamos switches para construir nuestra red, deberemos pinchar nuestro
[20:01] (JMPascual) IDS en los monitor/span port que tienen algunos switches.
[20:01] (JMPascual) Una opcion mixta y que podria servir en determinadas arquitecturas
[20:01] (JMPascual) de red, seria la siguiente:
[20:02] (JMPascual) INET <-) ROUTER <---) | <---) FW1 <---) | <---------) FW2 <---) | [20:02] (JMPascual) | | | | | [20:02] (JMPascual) | |-SERVER 1 | |-WKS LOGS [20:02] (JMPascual) | |-SERVER 2 | |-RED i+d [20:02] (JMPascual) | |-DNS prim ext | |-DNS int [20:02] (JMPascual) | |-DNS seg ext | |-DDBB svr [20:02] (JMPascual) | | [20:02] (JMPascual) | | [20:02] (JMPascual) |_______ IDS ___________|

[20:03] (JMPascual) Se podria pinchar un interfaz mas en cada Firewall y forzar a que
[20:03] (JMPascual) enrutaran todo el trafico hacia el IDS, de esta forma podriamos colocar el
[20:03] (JMPascual) IDS y evitarnos el problema que tenemos con los switches.
[20:03] (JMPascual)
[20:03] (JMPascual) Otra solucion mucho mas logica en una topologia de red mejor
[20:03] (JMPascual) diseñada y implementada sobre switches modulares o apilables y basada en
[20:03] (JMPascual) VLANs seria colocar el NIDS en un puerto monitor/span, de esta forma
[20:04] (JMPascual) veriamos todo el trafico que pasa por el backplane del conmutador.
[20:04] (JMPascual) Asi pues, la pregunta de donde coloco el NIDS esta resuelta,
[20:04] (JMPascual) aunque queda en el aire el considerar como una opcion el colocar el NIDS
[20:04] (JMPascual) en la red perimetral. En principio confio "suficiente" en los colegas de
[20:04] (JMPascual) trabajo y prefiero enterarme de lo que pasa en el exterior. La colocacion
[20:04] (JMPascual) en la red perimetral queda descartada si tenemos que colocar un solo NIDS,
[20:04] (JMPascual) este ultimo caso detectaria lo mismo que si estuviera en la DMZ externa
[20:04] (JMPascual) menos lo bloqueado por el FW1. Mi opinion sobre esta opcion es que solo
[20:04] (JMPascual) vemos unos cuantos arboles del bosque, cuando podemos verlos todos.
[20:05] (JMPascual) El orden en que colocaria los NIDS seria:
[20:05] (JMPascual) DMZ externa, Red Interna, Red Perimetral.
[20:05] (JMPascual) Espero que llegado este punto este claro donde se debe colocar un
[20:05] (JMPascual) IDS. Voy entonces a intentar responder a una pregunta, que hardware
[20:05] (JMPascual) necesito para implementar un IDS. Vale con un Pentium 200 ?.
[20:06] (JMPascual) 3.2.- QUE HARDWARE ES NECESARIO. LIMITACIONES
[20:06] (JMPascual) Todo depende del ancho de banda que tengamos que ser capaces de
[20:06] (JMPascual) tratar. La maquina debera tener una CPU lo suficientemente rapida y E/S
[20:06] (JMPascual) adecuada al ancho de banda de la red para poder tratar todo el trafico.
[20:06] (JMPascual) Con un enlace de 2 Mbps es mas que suficiente con un Celeron 400
[20:06] (JMPascual) Mhz y un HD UDMA2 9 Gb. Si quisieramos tratar trafico en redes mas rapidas
[20:06] (JMPascual) 100Mbps por ejemplo deberiamos pensar en maquinas mas potentes con HD mas
[20:06] (JMPascual) rapidos UWSCSI, U2WSCSI, U3WSCSI, etc La mejor forma de saber si la
[20:07] (JMPascual) maquina es suficientemente rapida es realizar ataques masivos y ver si es
[20:07] (JMPascual) capaz de tratarlos.
[20:07] (JMPascual) De todos modos, para realizar tests hay que tener en cuenta que el
[20:07] (JMPascual) verdadero cuello de botella no esta en el numero de Mbps que vamos a
[20:07] (JMPascual) transferir. Muchos IDS comerciales son capaces de tratar 100Mbps con
[20:07] (JMPascual) paquetes de 1500 bytes (tipica MTU ethernet), pero muy pocos seran capaces
[20:07] (JMPascual) de tratar 100 Mbps con paquetes de 60 bytes (50.000 pps). Para atajar
[20:07] (JMPascual) anchos de banda superiores OC-3, OC-12, Gigabit, etc. Se desarrollan IDS
[20:07] (JMPascual) distribuidos.
[20:08] (JMPascual) Para tratar una conexion de 416 kbps DSL es suficiente con un
[20:08] (JMPascual) pentium 90 con 6 Gb de HD, para capturar todos los paquetes y despues unos
[20:08] (blas) hola
[20:08] (botijo) niihau, blas
[20:08] (JMPascual) cuantos scripts para eliminar los innecesarios.
[20:08] (JMPascual) Un PC actual (PIII 500 UDMA2) tiene prestaciones mas que
[20:08] (JMPascual) suficentes para ejercer sobradamente de NIDS en redes Ethernet, por lo
[20:08] (JMPascual) tanto es capaz de monitorizar cualquier enlace de menor ancho de banda.
[20:09] (JMPascual) Asi mismo es capaz de monitorizar redes Fast Ethernet con poca saturacion,
[20:09] (JMPascual) sin nigun problema.
[20:09] (JMPascual)
[20:09] (JMPascual) 3.3.- NECESITO MAS DE UN NIDS ?
[20:09] (JMPascual) La pregunta de si necesito mas de un NIDS, es dificil de
[20:09] (JMPascual) contestar. Depende de los datos que tengamos. Si estamos en una empresa en
[20:10] (JMPascual) la que la seguridad es un punto critico, cuantos mas recursos destinemos a
[20:10] (JMPascual) mejorarla mas tranquilos podremos dormir. Mi opinion es que es interesante
[20:10] (JMPascual) asociar NIDS con DMZ y colocarlos siempre juntos. En redes perimetrales e
[20:10] (JMPascual) internas construidas sobre un switch, como he dicho anteriormente no
[20:10] (JMPascual) podremos colocar el NIDS directamente pinchado a el, a menos que tengamos
[20:10] (JMPascual) un puerto de monitorizacion cosa bastante comun en la actualidad.
[20:10] (JMPascual) Si nuestro switch no posee un puerto de monitorizacion podemos
[20:10] (JMPascual) añadir otro iface del FW1 de forma que el FW1 enrute el mismo trafico al
[20:11] (JMPascual) IDS que a la red perimetral.
[20:11] (JMPascual) La configuracion seria algo como lo siguiente:
[20:11] (JMPascual) ______ [20:11] (JMPascual) | |<-------) IDS2 [20:11] (JMPascual) ---->| FW 1 | [20:11] (JMPascual) |______|<-------) RED PERIMETRAL <-----) FW2

[20:12] (JMPascual)
[20:12] (JMPascual)
[20:12] (JMPascual) 3.4.- COMO IMPLEMENTO UN NIDS ?
[20:12] (JMPascual) Los IDS deben ser agujeros negros. No responder a nada, ni
[20:12] (JMPascual) tener ningun demonio corriendo que permita conexiones remotas. Este tipo
[20:12] (JMPascual) de maquinas debe ser accesible via consola EXCLUSIVAMENTE. Tener la eth
[20:13] (JMPascual) configurada con noarp puede ayudar.
[20:13] (JMPascual) Ademas de implementarlas con linux, es una buena opcion considerar
[20:13] (JMPascual) para ellas, la familia BSD. Tanto FreeBSD como OpenBSD son dos buenas
[20:13] (JMPascual) alternativas para construir este tipo de maquinas.
[20:13] (JMPascual) Existe bastante software al respecto pero la mayoria como casi
[20:13] (JMPascual) siempre, es propietario. Podemos encontrar una lista de productos para
[20:14] (JMPascual) implementar IDS que puede ser obtenida en http://www.cs.purdue.edu/coast/ids
[20:14] (JMPascual) ALGUNOS IDS COMERCIALES:
[20:14] (JMPascual) Se puede obtener comentarios a cerca de soluciones
[20:14] (JMPascual) comerciales en http://www.nwc.com/1023/1023f19.html. Algunos ejemplos son:
[20:14] (JMPascual) * BlackICE de Network ICE (http://www.networkice.c om)
[20:15] (JMPascual) Existen versiones para PC de sobremesa con Firewall incorporado
[20:15] (JMPascual) para Windows . Puede ser que estas opciones no resulten demasiado
[20:15] (JMPascual) interesantes. La lista de ataques detectados esta disponible en
[20:15] (JMPascual) http://www.networkice.com/advICE/Intrusions. Las caracteristicas mas
[20:15] (JMPascual) importantes son:
[20:15] (JMPascual) Analisis completo en:
[20:16] (JMPascual) * 7 capas
[20:16] (JMPascual) * Stateful protocol Detection. (Deteccion que recuerda el
[20:16] (JMPascual) estado del protocolo).
[20:16] (JMPascual) * Tecnicas anti-evasion ( Trato de la fragmentacion,
[20:16] (JMPascual) modificacion de los patrones de deteccion de ataques)
[20:16] (JMPascual)
[20:16] (JMPascual) * CyberCorp Monitor de NAI (http://www.nai.com)
[20:17] (JMPascual) * RealSecure de Internet Security Systems
[20:17] (JMPascual) Es el unico producto que incluye la deteccion de intrusiones ( ISS
[20:17] (JMPascual) RealSecure) y un detector de vulnerabilidades (ISS Internet Scanner. Tiene
[20:17] (JMPascual) mas de 400 patrones de deteccion de ataques.
[20:17] (JMPascual) * NetRanger de WheelGroup/Cisco (http://www.wheel group.com)
[20:18] (JMPascual) * NetProwler de Axent (http://www.axent.com)
[20:18] (JMPascual) * Centrax de CyberSafe (http://www.cybersafe.com/sol utions/
[20:18] (JMPascual) centrax.html)
[20:18] (JMPascual) * Dragon de Security Wizards (http://www.network-def ense.com)
[20:18] (JMPascual) * eTrust Intrusion Detection By Computer Associates
[20:19] (JMPascual) El producto se llama eTrust Intrusion Detection. Las
[20:19] (JMPascual) caracteristicas pueden ser consultados http://www.cai.com/solutions/
[20:19] (JMPascual) enterprise/etrust/intrusion_detection.
[20:19] (JMPascual) * Network Flight Recorder
[20:19] (JMPascual)
[20:19] (JMPascual) Una descripcion general del producto puede ser encontrada en
[20:19] (JMPascual) http://www.nfr.net/forum/publications/LISA-97.htm.
[20:20] (JMPascual) NFR tiene una version, shareware/desarrollo que viene en un CD
[20:20] (JMPascual) bootable. La caracteristica mas importante es el lenguaje de programacion
[20:20] (JMPascual) optimizado para la deteccion de intrusiones llamado N-code. Numerosos
[20:20] (JMPascual) N-Code scripts pueden encontrarse en la pagina de L0pth.
[20:20] (JMPascual)
[20:20] (JMPascual)
[20:20] (JMPascual) ALGUNOS IDS DE CODIGO LIBRE:
[20:21] (DaniT) 3.3- do I need more than one NIDS?
[20:21] (JMPascual) * Bro
[20:21] (JMPascual)
[20:21] (JMPascual) Desarrollado por Vern Paxson, desarrollador de libpcap. Libreria
[20:21] (JMPascual) en la que se basan otros IDS como NFR y Dragon. Se puede encontrar
[20:21] (JMPascual) informacion en http://ftp.ee.lbl.gov/papers/bro-usenix98- revised.ps.Z
[20:21] (JMPascual) * Snort (http://www.clark.net/~roesch/security.html
[20:22] (JMPascual)
[20:22] (JMPascual) Desarrollado por Martin Roesch lo podemos encontrar en numerosos
[20:22] (JMPascual) sites. Esta basado en libpcap y es uno de los productos mas populares,
[20:22] (JMPascual) facil de utilizar, etc.
[20:22] (JMPascual) Es el codigo que mas he utilizado ya que nos permite detectar
[20:22] (JMPascual) numerosos ataques con las reglas que incorpora ademas de ser realmente
[20:22] (JMPascual) sencillo añadir nuevas reglas que detecten los ataques que van
[20:22] (JMPascual) apareciendo.
[20:23] (JMPascual) Snort tiene la caracteristica de permitir enviar las alertas en
[20:23] (JMPascual) tiempo real a otras maquinas bien sea a traves de syslog o a traves de
[20:23] (JMPascual) alertas SMB. Esta es una cualidad que es interesante aunque considero que
[20:23] (JMPascual) por lo dicho anteriormente estas maquinas deben ser verdaderos agujeros
[20:23] (JMPascual) negros y reportar las alertas por consola y no a traves de la red.
[20:23] (JMPascual) Snort introduce la mayoria de mejoras que podemos encontrar en IDS
[20:23] (JMPascual) comerciales como NetRanger y RealSecure. Una de las caracteristicas mas
[20:24] (JMPascual) interesantes la podemos encontrar en los preprocesadores que introduce.
[20:24] (JMPascual) Estos preprocesadores realizan tareas determinadas. En la version 1.6
[20:24] (JMPascual) podemos encontrar los siguientes:
[20:24] (JMPascual) http_decode: Se encarga de traducir los caracteres de escape %20,
[20:24] (JMPascual) %2E a caracteres ASCII, de esta forma detecta los ataques que se produzcan
[20:24] (JMPascual) utilizando este tipo de caracteres.
[20:25] (JMPascual) minfrag: Se encarga de logear los paquetes con un tamaño demasiado
[20:25] (JMPascual) pequenyo y que "no han podido" ser producidos por ninguna electronica de
[20:25] (JMPascual) red o maquina. Se supone que un paquete con un tamanyo menor de 128 bytes
[20:25] (JMPascual) no puede ser producido por ningun tipo de software comercial o dispositivo
[20:25] (JMPascual) embebido. (???) Lo que corresponderia con tramas runt en redes ethernet.
[20:25] (JMPascual) Tamaños de paquete muy pequeños pueden ser indicativos de
[20:25] (JMPascual) actividades "extranyas" en nuestra red. TearDrop & Family suelen ser
[20:25] (JMPascual) detectados con este tipo de preprocesador.
[20:26] (JMPascual)
[20:26] (JMPascual) Modo de funcionamiento:
[20:26] (JMPascual) Existen varios modos de funcionamiento. El que suelo utilizar y
[20:26] (JMPascual) que con la version 1.6 funciona correctamente es el siguiente:
[20:27] (JMPascual) ./snort -dev -l /var/log/snort -c /etc/snort/snort.conf
[20:27] (JMPascual) No es el metodo mas optimo pues traduce los paquetes y no los vuelca
[20:27] (JMPascual) directamente tal como los captura. Ciertamente tengo suficiente maquina
[20:27] (JMPascual) como para tratar el ancho de banda de mi conexion con ese modo de
[20:27] (JMPascual) funcionamiento.
[20:27] (JMPascual) Con versiones mas antiguas 1.5, etc este modo de funcionamiento no era
[20:27] (JMPascual) demasiado estable y habia que "vigilar" el proceso.
[20:28] (JMPascual) Una opcion interesante es -o. Con esta opcion cambiamos el orden en el que
[20:28] (JMPascual) se aplican las reglas a la hora de logear los paquetes. El cambio es
[20:28] (JMPascual) Alert->Pass->Log a Pass->Alert->Log
[20:28] (JMPascual) De esta forma nos evitamos el logear trafico que realmente solo queremos
[20:28] (JMPascual) que sea logeado en determinados casos. Por ejemplo si la regla que aporta
[20:29] (JMPascual) snort es el de alertar de todos los icmp que salen de nuestra red. Es
[20:29] (JMPascual) intersante aplicar esta opcion en lugar de andar modificando todas las
[20:29] (JMPascual) reglas de icmp.
[20:29] (JMPascual) snort logea los paquetes y los deposita en el directorio que indicamos con
[20:29] (JMPascual) -l con la estructura IP/TIPO_DE_PAQETE. Ademas crea 2 archivos en los
[20:29] (JMPascual) que almacena las alertas y los comportamientos que pueden ser
[20:29] (JMPascual) entendidos como un portscan. Asi pues una estructura tipica que podemos
[20:29] (JMPascual) encontrar es:
[20:30] (JMPascual) ./68.22.34.12/IP_FRAG
[20:30] (JMPascual) ./alert
[20:30] (JMPascual) ./portscan
[20:30] (JMPascual) 3.5 ES VULNERABLE UN NIDS ?
[20:31] (JMPascual)
[20:31] (JMPascual) Como todos sabemos llegados a este punto la funcion de un NIDS es
[20:31] (JMPascual) la de detectar y alertar de un ataque. Cualquier ataque no detectado se
[20:31] (JMPascual) debe a una que el atacante ha vulnerado el NIDS.
[20:31] (JMPascual) Un NIDS que opere en una red con mucho trafico no puede tratar
[20:31] (JMPascual) todo el trafico que pasa a traves de el. Podemos indicar que logee el
[20:31] (JMPascual) trafico de los servidores mas importantes y que logee lo que considera
[20:32] (JMPascual) como alertas.
[20:32] (JMPascual) Seguramente nuestra politica de seguridad nos indicara que un
[20:32] (JMPascual) SYN scan es una actividad ilicita y que debemos reportar. Bien, snort por
[20:32] (JMPascual) ejemplo detecta un comportamiento como portscan cuando se reciben paquetes
[20:32] (JMPascual) que van a 7 puertos diferentes en menos de 2 segundos. Que ocurre si
[20:32] (JMPascual) scaneamos una red/maquina con la opcion -T Polite de nmap? ocurre que no
[20:32] (JMPascual) es detectado como escaneo de puertos, aunque eso si podamos registrar todo
[20:33] (JMPascual) el trafico.
[20:33] (JMPascual) Otros modos de vulnerar un IDS es mediante fragmentacion. Podemos
[20:33] (JMPascual) enviar la informacion fragmentada a nuestro objetivo destino. El NIDS ha
[20:33] (JMPascual) de ser capaz de reensamblarla si no es capaz de hacerlo no podra detectar
[20:33] (JMPascual) nuestros *movimientos*. Una forma de generar esto es mediante una utilidad
[20:33] *** BoloTron (bolo@SC1-1A-u-0526.mc.onolab.com) has joined #linux
[20:33] (JMPascual) denominada fragrouter.
[20:33] (BoloTron) buenas
[20:33] (JMPascual) Esta utilidad se puede conseguir en
[20:34] (JMPascual) http://www.anzen.com/research/nidsbench/
[20:34] (JMPascual) El modo de funcionamiento es el siguiente
[20:34] (JMPascual) attack fragmented attack [20:34] (JMPascual) +-------+ +------------+ +---------+ [20:35] (JMPascual) |intruso|------->| fragrouter |- - - - - - - - - - ->| victima | [20:35] (JMPascual) +-------+ +------------+ | +---------+ [20:35] (JMPascual) V [20:35] (JMPascual) +------+------+ [20:35] (JMPascual) | network IDS | [20:35] (JMPascual) +-------------+ [20:35] (JMPascual)

[20:35] (JMPascual) Fragrouter tiene un tres caracteristicas que debemos tener en
[20:36] (JMPascual) cuenta:
[20:36] (JMPascual) 1.- No se puede usar las caracteristicas de fragrouter desde la
[20:36] (JMPascual) misma maquina en la que esta corriendo.
[20:36] (JMPascual) 2.- La maquina del intruso y la maquina en la que corre fragrouter
[20:36] (JMPascual) han de estar en la misma red, mientras que la maquina a la que se ataca
[20:36] (JMPascual) puede estar en otra red. Esto es debido a que vamos a tener un routing
[20:37] (JMPascual) asimetrico.
[20:37] (JMPascual) 3.- Debemos tener en cuenta que si corremos un sniffer en la
[20:37] (JMPascual) maquina en la que corremos fragrouter, la latencia puede aumentar mucho y
[20:37] (JMPascual) el reenvio de paquetes puede verse relentizado.
[20:37] (JMPascual) Mejoras.
[20:38] (JMPascual) Con las peticiones clasificadas de ataques por los IDS, podria
[20:38] (JMPascual) modificar las reglas de los FW, generando ambientes de "seguridad
[20:38] (JMPascual) proactiva". Snort tiene un script que utiliza los logs para modificar
[20:38] (JMPascual) reglas del firewall.
[20:38] (JMPascual) Este script se denomina guardian y con los logs de snort modifica
[20:38] (JMPascual) reglas con ipchains. Uno de los parametros deconfiguracion de guardian es
[20:38] (JMPascual) un archivo Ignorehosts. No se añadiran reglas del firewall que
[20:39] (JMPascual) contengan los hosts contenidos en este archivo como source del ataque.
[20:39] (JMPascual) Hay que llevar *MUCHO* cuidado con este script porque podemos
[20:39] (JMPascual) tener muchos problemas con el.
[20:39] (JMPascual) 1.- En primer lugar muchas de las reglas que posee snort son
[20:39] (JMPascual) informativas y no siempre coinciden con un ataque realmente.
[20:39] (JMPascual) 2.- Un atacante que spoofeara direcciones de posibles atacantes a
[20:40] (JMPascual) nuestros sistemas conseguiria que nuestro FW bloqueara esas conexiones
[20:40] (JMPascual) pudiendo en caso extremo causar un auto-DoS.
[20:40] (JMPascual) Supongamos en este caso un scaneo con nmap y con -D activado con
[20:40] (JMPascual) 50 direcciones entre las que se encuentran proxys de ISPs.... me parece
[20:40] (JMPascual) que no es necesario que continue..... };-))
[20:40] (JMPascual) Existe una solucion ante esto y es habilitar temporalmente estas
[20:40] (JMPascual) reglas mas o menos 1-1.5 minutos a la IP y despues dejarlo como estaba
[20:41] (JMPascual) anteriormente. Otra solucion mas divertida es aplicar un filtro momentaneo
[20:41] (JMPascual) utilizando el QoS de linux de forma que el supuesto *atacante* vea
[20:41] (JMPascual) enlentecido su acceso a nuestros servers a 50 bytes/s. Si el ataque
[20:41] (JMPascual) permanece podemos aplicar entonces la regla que bloquee definitivamente el
[20:41] (JMPascual) ataque durante un tiempo.
[20:41] (JMPascual) Evidentemente todo esto sirve en el caso que sea una intrusion y
[20:41] (JMPascual) no un intento de DoS. Ante un intento de DoS deberiamos tomar las
[20:42] (JMPascual) decisiones en los router que en muchos casos no estan bajo nuestro
[20:42] (JMPascual) control.
[20:42] (JMPascual) Bueno, espero que les haya resultado interesante. Me quedan unos emotivos agradecimientos al menos para mi.
[20:42] (JMPascual) 4.- AGRADECIMIENTOS
[20:43] (JMPascual) Me gustaria agradecerles a Borja Marcos y Carlos Rioja su gran ayuda durante todo este tiempo. Gracias maestros.
[20:43] (MJesus)plas plas plas plas plas plas plas plas
[20:43] (MJesus) clap clap clap clap clap clap clap clap
[20:43] (MJesus)plas plas plas plas plas plas plas plas
[20:43] (MJesus)plas plas plas plas plas plas plas plas
[20:43] (MJesus) clap clap clap clap clap clap clap clap
[20:43] (MJesus) clap clap clap clap clap clap clap clap
[20:43] (MJesus)plas plas plas plas plas plas plas plas
[20:43] (Ricardo) :)
[20:43] (MJesus) clap clap clap clap clap clap clap clap
[20:43] (MJesus)plas plas plas plas plas plas plas plas
[20:43] (JMPascual)
[20:43] (pask) Ups ....
[20:44] (pask) que se despierte el personallllllll !!!!!!!!
[20:44] (DaniT) JMPascual: sorry for my interruptions.. :(
[20:44] (oroz) :)
[20:44] (MJesus)plas plas plas plas plas plas plas plas
[20:44] (MJesus) clap clap clap clap clap clap clap clap
[20:44] (MJesus)plas plas plas plas plas plas plas plas
[20:44] (MJesus) clap clap clap clap clap clap clap clap
[20:44] (MJesus)plas plas plas plas plas plas plas plas
[20:44] (Ricardo) clap clap clap clap clap clap clap clap clap clap
[20:44] (Ricardo) :)
[20:44] (irma) :)
[20:44] (Fernand0) plas plas plas plas plas plas plas plas
[20:44] (pask) ;-)))
[20:44] (mjc)plas plas plas plas plas plas plas plas
[20:44] (mjc) clap clap clap clap clap clap clap clap
[20:44] (mjc)plas plas plas plas plas plas plas plas
[20:44] (mjc) clap clap clap clap clap clap clap clap
[20:44] (mjc) clap clap clap clap clap clap clap clap
[20:44] (mjc)plas plas plas plas plas plas plas plas
[20:44] (mjc) clap clap clap clap clap clap clap clap
[20:44] (Fernand0) después de esta interesante conferencia
[20:44] (mjc) clap clap clap clap clap clap clap clap
[20:44] (mjc)plas plas plas plas plas plas plas plas
[20:44] (Fernand0) seguro que hay preguntas
[20:44] (pask) Bueno ...
[20:44] (Fernand0) o comentarios
[20:44] (Fernand0) pero antes
[20:45] (Fernand0) agradecer a juan manuel su magnífico trabajo
[20:45] (Fernand0) y avisar de que el log de la conferencia
[20:45] (MJesus)plas plas plas plas plas plas plas plas
[20:45] (MJesus) clap clap clap clap clap clap clap clap
[20:45] (MJesus)plas plas plas plas plas plas plas plas
[20:45] (MJesus)plas plas plas plas plas plas plas plas
[20:45] (MJesus) clap clap clap clap clap clap clap clap
[20:45] (MJesus)plas plas plas plas plas plas plas plas
[20:45] (Fernand0) estará puesto en la web
[20:45] (Fernand0) lo antes posible
[20:45] (mjc)plas plas plas plas plas plas plas plas
[20:45] (mjc) clap clap clap clap clap clap clap clap
[20:45] (mjc)plas plas plas plas plas plas plas plas
[20:45] (mjc) clap clap clap clap clap clap clap clap
[20:45] (mjc) 4 sencillamente genial
[20:46] (MJesus) a ver, preguntas..
[20:46] (MJesus) el que quiera preguntar, que ponga ? en el canal
[20:49] (DaniT) bien.. supongamos que solo disponemos de un sistema de log como por ejemplo syslog
[20:50] *** Erick has quit IRC (Leaving)
[20:50] (DaniT) hay herramientas para analizarlo?
[20:50] (DaniT) y existen otros sistemas de log de entradas al sistema aparte de syslog?
[20:50] (DaniT) fin
[20:51] (pask) uhmm yo trato mis logs con scripts y genro alertas en las maquinas destinadas a lgos ..
[20:51] (pask) a logs perdon ..
[20:51] (pask) esas maquinas las trato como explique ..
[20:52] (pask) no he mirado si existen paquetes para tratarlos. Pero evidentemnte cada red es distinta y cada administrador dara mas importancia a cierto tipo de alertas generadas dependiendo de la maquina de la que provengan ..
[20:52] (jbonis) hola a todos
[20:53] (pask) danit podrias generar alarmas por snmp con snmp traps
[20:53] (pask) tambien .. ademas de graficarlas etc ...
[20:54] (DaniT) ok, gracias!
[20:54] (pask) ok
[20:55] (MJesus) mas preguntas ?
[20:56] (MJesus) adelante imotheph
[20:59] (MJesus) adelante imotheph
[20:59] (WAPOWAPO) Amoavé
[20:59] (trusmis) si el nids tiene que ver todos los paquetes no tienes que conectarle a una red relativamente rapida , quiero decir si tienes 2 o 3 redes ethernet, tendrias que poner 2 o 3 nids o 1 solo podrá con todo (necesitará entonces fast ethernet?)
[20:59] (andres) yo
[21:00] (jbonis) alguien tiene experiencia conectandose mediante PHP a MIcrosfotSQLServer?
[21:00] (andres) que beneficios tengo al generar las alarmas de snmp dentro de una red, aparte de lo que se ha dicho si se tiene una red LAN la cual els erver es el que da a losc lientes los permisos
[21:00] (pask) trusmis. depende de lo colapsada que este la red. con un PIII 500 podras tratar 30 Mbps tranquilamente. Podrias tener 3 ifaces ethernet o montar las 3 redes con vlans y montar el NIDS en el monitor port
[21:01] (pask) depende de la electronica que tengas ..
[21:01] (trusmis) ok
[21:02] (pask) da a los clientes los permisos ..?? n oentiendo demasiado tu pregunta andres ..
[21:02] (pask) a que te refieres exactamente ?
[21:03] (pask) ?
[21:04] (MJesus) vamos con orden..... trusmis se ha toado la palabra, asi que despues ira wapowapo y lusego andres.
[21:05] (DaniT) Imothet: en teoria todos los mensajes que pasan por la red llegan simultaneamente a todos los ordenadores.. solo que normalmente se ignoran los paquetes que no son destinados a uno mismo.. en el caso del NIDS no necesitas una red mas rapida
[21:05] (DaniT) Imothet: sino un ordenador potente capaz de analizar y tratar todos los datos, y en su caso almacenarlos
[21:05] (pask) DAnit .. eso depende de la electronica con la que implementes la LAN
[21:05] (andres) a los beneficios dentro de una red usando psnmp
[21:05] (DaniT) pask: por supuesto,
[21:06] (pask) los beneficios puede ser interactuar con una consola que corra Node Manager (HP OpenView)
[21:06] (pask) centralizar las cosas ..
[21:08] (MJesus) a ver, te toca wapo
[21:10] (WAPOWAPO) Ufff
[21:10] (MJesus) a ver, ultima pregunta ?
[21:10] (WAPOWAPO) No he podido prestar mucha atención pero...
[21:11] (WAPOWAPO) pinta algo la critografía en esto?
[21:11] * MJesus advierte que llevamos casi dos horas ..... asi que ultima pregunta ?
[21:12] (WAPOWAPO) por ejemplo: encriptar los accesos y mezclarlos con algo...
[21:12] (pask) algo .. si .. las transferencias entre maquinas mola que sean via scp o con ssl
[21:13] (WAPOWAPO) Si alguien entra e intenta borrar todo el fichero...
[21:13] (WAPOWAPO) pues sabes que algo raro ha pasado
[21:13] (pask) si creamos bbdd como por ejemplo tripwire es interesante que esta este encriptada y en sistemas remotos de solo lectura
[21:14] (pask) pero eso nos son NIDS son IDS ... es otra historia ...
[21:14] (pask) chequeadores de integridad, etc ..
[21:14] (pask) bueno ..
[21:14] (pask) lo siento muchisimo ..
[21:14] (pask) pero tengo que dejarles ..
[21:14] (MJesus)plas plas plas plas plas plas plas plas
[21:14] (MJesus) clap clap clap clap clap clap clap clap
[21:14] (MJesus)plas plas plas plas plas plas plas plas
[21:14] (MJesus) clap clap clap clap clap clap clap clap
[21:14] (MJesus)plas plas plas plas plas plas plas plas
[21:14] (MJesus)plas plas plas plas plas plas plas plas
[21:14] (MJesus) clap clap clap clap clap clap clap clap
[21:14] (MJesus)plas plas plas plas plas plas plas plas
[21:14] (MJesus) clap clap clap clap clap clap clap clap
[21:14] (MJesus)plas plas plas plas plas plas plas plas
[21:14] (WAPOWAPO) Muchas gracias.
[21:15] (pask) espero que no haya sido demasiado pesada ... y les emplazo a la proxima confernecia ..
[21:15] (MJesus) 4 agradecemos a pask su conferencia.... y a tdos su atencion. Les recordamos que mañana por la mañana estara el log en la web
[21:15] (MJesus) que la discusion de este tema continua en www.barrapunto,.com y en www.linuxpreview.org
[21:15] (MJesus) que mañana tenemos:
[21:16] (MJesus) a las 19 horas una, y a las 22 otra
[21:16] (pask) hasta la proxima
[21:16] (MJesus) el programa esta en http://umeet.uninet.edu/
[21:17] (MJesus) y que se avisara oportunamente en la lista de registrados del congreso
[21:17] (MJesus) el, pograma exacto, y cualquier variancion que se prduzca
[21:17] (MJesus) muchas gracas a todos!
[21:17] (MJesus)plas plas plas plas plas plas plas plas
[21:17] (MJesus)plas plas plas plas plas plas plas plas
[21:17] (MJesus) clap clap clap clap clap clap clap clap
[21:17] (MJesus)plas plas plas plas plas plas plas plas
[21:17] (MJesus) clap clap clap clap clap clap clap clap
[21:17] (MJesus)plas plas plas plas plas plas plas plas
[21:17] (MJesus) clap clap clap clap clap clap clap clap
[21:18] (MJesus) pedazo conferencia !
[21:20] (WAPOWAPO) Plas Plas Plas Plas Plas Arrititaun PlasPlas
[21:20] (MJesus) andres que queris preguntar ?
[21:23] (_RauL_) hola
[21:23] (andres) lo de IDN
[21:23] (andres) de ids peson
[21:23] (andres) perdon
[21:29] (MJesus) pues... quizas alguiens abe respodner ?
[21:32] (malu) hola
[21:32] (malu) hola
[21:35] (malu) hola mJesus
[21:35] (malu) si soy yo
[21:35] (Imothet) jejejejeje
[21:35] (malu) hasta aqui
[21:35] (malu) hi
[21:35] (Imothet) mija y la fiesta
[21:36] (Imothet) lastima no pude ir
[21:36] (malu) para la proxima
[21:38] (malu) ahora entraron todos
[21:38] (malu) juntos
[21:38] (Imothet) si
[21:38] (Imothet) ya veo
[21:38] (Imothet) pero se habla poco por aca
[21:38] *** jbonis has quit IRC
[21:39] (malu) SI
[21:39] (Imothet) cuando es la proxima
[21:41] (malu) no lo se sera para el próximo año
[21:43] (Imothet) ok
Y seguimos un buen rato más charlando...

Contact: