Upload
marlonjcc1
View
213
Download
0
Embed Size (px)
DESCRIPTION
conferencia11 (2)
Citation preview
Deteccin de Intrusos Usando SnortIII Jornada Nacioal de Seguridad InformticaIng. Moiss David Rincn DHoyos, MSc.
Que son los IDS?Sistemas de monitoreo computacional que buscan seales de la presencia de usuarios no autorizados, o de usuarios abusando de sus privilegios
Que hace un IDSMonitorea diversas fuentes de informacin de los sistemas analizando de varias maneras esta informacinCompara el trfico con patrones de ataquesIdentifica problemas relacionados con el abuso de privilegiosRealiza anlisis estadstico en busca de patrones de actividad anormal
Para que un IDS si ya tenemos Firewall?La mayora de Firewalls funcionan como guardias frontales nicamenteLos IDS son el equivalente a los sistemas de alarma con multiples sensores y monitoreo por circuito cerrado de videoMuchas veces el enemigo ya est dentroAlgunos productos de Firewall han incluido IDS pero se siguen llamando Firewalls.
Que puede ser detectado por un IDS y por un Firewall no?Ataques por entunelamiento de trficoAtaques a travs de vulnerabilidades en aplicacionesAtaques que se originan desde la porcin segura de la red
Categorizacin de IDSDeteccin de uso inapropiado Vs. Deteccin de anomalasSistemas Activos Vs. Sistemas ReactivosSistemas basados en Red o NIDS Vs. Sistemas basados en Host o HIDS Vs. Sistemas Hbridos
NIDSMonitorean el trfico de red, pero solo en porciones de estasUtilizan sniffers y modo promiscuo que requieren privilegios localesPueden fcilmente monitorear mapeos de puertos, ataques conocidos y sustitucin de direcciones ip
HIDSSolo se preocupan por los eventos locales a una mquina monitoreando el trfico de red o elementos de la misma mquinaMonitorean:Sesiones de usuariosActividades de los usuarios privilegiadosCambios en el sistema de archivos
Ventajas de los NIDSUna subred completa puede ser cubierta por un IDSTericamente indetectablesMnimo impacto a la redPermiten detectar ataques DOSIndependencia del ambiente operativoLivianos y Fciles de implementar
Ventajas de los HIDSPermiten asociar usuarios y eventosPueden analizar trfico cifradoPueden proveer informacin acerca de un ataque en una mquina durante el mismo ataque
Desventajas de los NIDSGeneracin de falsos positivosNo pueden analizar trfico cifradoSon tan efectivos como la ltima actualizacin de patronesAlta latencia entre el ataque y la notificacinDificultad para realizar anlisis en redes congestionadasNo indican si un ataque ha sido exitoso o no
Desventajas de los HIDSLa informacin provista deja de ser confiable tan pronto como un ataque ha sido exitosoCuando la mquina cae tambin lo hace el IDSNo son capaces de detectar mapeos de redPueden dejar de ser efectivos durante un ataque DOSRequieren recursos locales para operar
Que se puede lograr con IDSUn mayor grado de seguridad al resto de la infraestructura de seguridadHacer uso de informacin muchas veces ignorada, para ver que est pasando en realidadApoyar el rastreo de actividades intrusas desde el punto de entrada al de salida o impactoReconocer alteraciones en sistemas de archivos
Que se puede lograr con IDS (2)Reconocer ataques en tiempo realAutomatizar la bsqueda de trazas de ataques en Internet
Que no se puede lograr con IDSNo son infaliblesNo compensan una mala administracinNo investigan ataques sin intervencin humanaNo intuyen ni siguen las polticas de seguridad organizacionalNo compensan debilidades en protocolos de redNo compensan los problemas debidos a la calidad o integridad de la informacin
Que no se puede lograr con IDS (2)No analizan adecuadamente el trfico en una red de alto trficoNo pueden solucionar problemas debidos a ataques a nivel de paquetesSe quedan cortos ante caractersticas de redes modernasSe ven bastante limitados ante trfico cifrado
SnortEs un NIDS liviano, libre, fcilmente configurable y ejecutable en diversas plataformasAmpliamente considerado tcnicamente superior a la mayora de NIDS comercialesAdems de NIDS puede actuar como un simple sniffer o bitacora de paquetes con especificaciones avanzadasNo bloquea intrusos, asume que alguien est monitoreando el servicio
Diseo de SnortUtiliza libpcap o WinPcap como fuente de trficoEl sistema est basado en plugins que permiten una flexibilidad prcticamente ilimitada, activando mdulos que vienen con la distribucin o creando nuevosUtiliza un motor de deteccin basado en reglas
El Decodificador de Paquetes EthernetIP headerTCPtelnetnetworkpacket
Flujo de Datos en SnortSNORTData FlowPacket DecoderPre-Processor
Detection Engine
Post-Processor& Output Stage
Alerts/Logs
PluginsPrepocesadorEl trfico es analizado o manipulado antes de ser pasado al motor de deteccinDeteccinRealiza pruebas sencillas en partes especficas de los paquetesSalidaReporta los resultados de otros plugins
Motor de DeteccinLas reglas crean patrones o signaturesElementos modulares de deteccin se combinan para formar estos patronesEs posible la deteccin de actividad anmala; stealth scans, OS fingerprinting, buffer overflows, back doors, vulnerabilidades en cgis, cdigos ICMP invlidos, entre otrosEl sistema de reglas es muy flexible y la creacin de nuevas reglas es sencilla
Motor de Deteccin (2)Puede generar; Alert, Log o Pass sobre direccin/puerto origen/destino para IP, UPD e ICMP, anomalas estadsticas o verificaciones sobre protocolosA menos que se tengan necesidades muy especficas no es necesario escribir nuevas reglas; actualmente hay mas de 2000 disponibles en lnea
ReglasCabeceraalert tcp !10.1.1.0/24 any -> 10.1.1.0/24 anyOpciones(flags: SF; msg: SYN-FIN Scan;)
Posibilidades de Especificacin de las OpcionesIP TTLIP IDFragment sizeTCP FlagsTCP Ack numberTCP Seq numberPayload sizeContentContent offsetContent depthSession recordingICMP typeICMP codeAlternate log files
Ejemplos de Reglas ***Regla para detectar el troyano SubSeven:
alert tcp $EXTERNAL_NET 27374 -> $HOME_NET any (msg:"BACKDOOR subseven 22"; flags: A+; content: "|0d0a5b52504c5d3030320d0a|"; reference:arachnids,485; reference:url,www.hackfix.org/subseven/; sid:103; classtype:misc-activity; rev:4;)
Reglas para atrapar intrusos ***alert tcp $EXTERNAL_NET any -> $SQL_SERVERS 1433 (msg:"MS-SQL xp_cmdshell - program execution"; content: "x|00|p|00|_|00|c|00|m|00|d|00|s|00|h|00|e|00|l|00|l|00|"; nocase; flags:A+; classtype:attempted-user; sid:687; rev:3;) caught compromise of Microsoft SQL Serveralert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS cmd.exe access"; flags: A+; content:"cmd.exe"; nocase; classtype:web-application-attack; sid:1002; rev:2;) caught Code Red infection
Reglas para atrapar intrusos (2)***alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (msg:"INFO FTP \"MKD / \" possible warez site"; flags: A+; content:"MKD / "; nocase; depth: 6; classtype:misc-activity; sid:554; rev:3;) caught anonymous ftp serveralert tcp $EXTERNAL_NET any -> $HTTP_SERVERS 80 (msg:"WEB-IIS multiple decode attempt"; flags:A+; uricontent:"%5c"; uricontent:".."; reference:cve,CAN-2001-0333; classtype:web-application-attack; sid:970; rev:2;) caught NIMDA infection
Reglas para atrapar intrusos (3)***alert tcp $HOME_NET 23 -> $EXTERNAL_NET any (msg:"TELNET Bad Login"; content: "Login incorrect"; nocase; flags:A+; classtype:bad-unknown; sid:1251; rev:2;) caught telnet username brute-force
Reglas preexistentesbad-traffic.rulesexploit.rulesscan.rulesfinger.rulesftp.rulestelnet.rulessmtp.rulesrpc.rulesrservices.rulesdos.rulesddos.rulesdns.rulestftp.rulesweb-cgi.rulesweb-coldfusion.rulesx11.rules web-iis.rulesweb-misc.rulesweb-attacks.rulessql.rulesweb-frontpage.rulesicmp.rulesnetbios.rulesshellcode.rulesbackdoor.rules misc.rules policy.rulesporn.rulesinfo.rulesicmp-info.rulesvirus.ruleslocal.rulesattack-responses.rules
Bitacora de SnortContenido de /var/log/snort/alert[**] [1:469:1] ICMP PING NMAP [**][Classification: Attempted Information Leak] [Priority: 2]03/28-09:48:40.739935 192.168.1.2 -> 192.168.1.3ICMP TTL:46 TOS:0x0 ID:61443 IpLen:20 DgmLen:28Type:8 Code:0 ID:10629 Seq:0 ECHO[Xref => http://www.whitehats.com/info/IDS162] [**] [1:469:1] spp_portscan: PORTSCAN DETECTED from 192.168.1.2 (THRESHOLD 4 connections exceeded in 0 seconds) [**]03/28-09:48:41.052635 [**] [100:2:1] spp_portscan: portscan status from 192.168.1.2: 183 connections across 1 hosts: TCP(183), UDP(0) [**]03/2809:48:45.007501
ImplementacintcpdumpPacket StreamFilter fileSniffingtcpdumpprocessTo Log File
Implementacin (2)ReportGeneratorSNORTPacket StreamSniffingRules fileAlertFileTo Alert FileTo EmailCron
Implementacin (3)ReportGeneratorSNORTPacket StreamSniffingRules fileAlertFileTo Alert FileTo EmailCron
Implementacin (4)Packet StreamCronCronShort-TermDriverShort-TermCleanupFiltersPacket StreamLoggingInterval Daily LoggingInterval +46 minutesPacketLogsPacketLogsDetailedAnalysisFiltersRules1 Min. After Log Finish DailyDailyDailyAnalysisFiltersRulesLog Collectionand ProcessingAlerts& LogsSTDOUTscptransferssh hashand deleteFiltersLong-TermDriver
Salida de SnortA bases de datosXMLFormato binario de TcpdumpFormato unificado de SnortAsciisyslogWinpopupMs dependiendo de herramientas de terceros; buscapersonas, telfonos mviles, acciones automticas...
Otros usos de SnortImposicin y chequeo de polticasMonitor de HoneypotHoneypots son deception systems que permiten anlizar el comportamiento de intrusos en el sistema ***Trampas y deteccin de mapeos de puertosAnlisis de trfico en tiempo realDeteccin de nuevos eventos a travs de la escritura de reglas; SQL/ODBC, ActiveX, Java/JavaScript, Virus de macros, cadenas de HTTP...
Herramientas de TercerosSnortSnarf http://www.silicondefense.com/software/snortsnarf/AcidLab http://acidlab.sourceforge.net/Demark http://www.demarc.com/Guardian http://www.chaotic.org/guardian/snort-panel http://www.xato.net/files.htm