You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
esulta muy extraño y debe originar algún tipo de alerta 229 . Así pues, una buena<br />
idea sería añadir una regla en nuestro IDS que nos alerte de este evento para su<br />
posterior indagación en ver de qué tipo de tráfico se trata.<br />
Es importante también detectar el uso de User-Agents 230 diferentes a los que se<br />
tiene autorizado en nuestra organización o al menos los que están reportados como<br />
User-Agents maliciosos (como por ejemplo ZmEu o Morfeus Fucking Scanner) , los<br />
utilizados para inyecciones de código o los no habituales en nuestra organización 231<br />
232 . Para ello es importante conocer el perfil de User-Agents típicos en nuestra<br />
organización y observar cualquier comportamiento extraño en cuanto a detección<br />
de User-Agents diferentes de los habituales, por ejemplo, podemos añadir en<br />
nuestro IDS reglas específicas (emerging-user agents.rules 233 en el caso de Snort)<br />
que nos alertan cuando alguno de estos navegadores no autorizados se detecte en<br />
nuestra organización.<br />
Se recomienda la lectura de este documento 234 en la que nos muestran como<br />
analizar y detectar User-Agents anómalos o maliciosos dentro de nuestra<br />
organización.<br />
229 Yet another <strong>APT</strong>1 analysis (y posibles contramedidas)<br />
http://www.pentester.es/2013/02/yet-another-apt1-analysis-y-posibles.html<br />
230 User-Agents<br />
http://www.user-agents.org/<br />
231 Browsing Category "Script Injections"<br />
http://www.botsvsbrowsers.com/category/16/index.html<br />
232 5G Blacklist 2013<br />
http://perishablepress.com/5g-blacklist-2013/<br />
233 Snort Rules<br />
http://www.snort.org/snort-rules/<br />
234 The User Agent Field: Analyzing and Detecting the Abnormal or Malicious in your Organization<br />
http://www.sans.org/reading_room/whitepapers/hackers/user-agent-field-analyzing-detecting-abnormal-aliciousorganization_33874<br />
155