ARSO-M7: Administracio de la seguretat - Article Snort
2
Mòdul 7: Administració de la seguretat – Activitat de Lectura 1. Introducció En aquesta lectura s'analitza l'ús de Snort i una sèrie de programari complemetari que ajudaria al seu funcionament. Els administradors de sistema han de tindre molt en compte la seguretat dels sistemes informàtics, i per aquesta tasca es poden ajudar per eines específiques com és el cas de Snort. 2. Què és Snort? Snort és un sniffer o detector que analitza i estandaritza el tràfic de xarxa, que com tots els detectors es basaria en l'activació del mode promiscu de les interfícies de xarxa de les estacions de treball, però la principal aportació de Snort per l'administrador del sistema no és que capturi el tràfic de xarxa, sinò que conjuntament amb altres eines li permetrà detectar intrusions, emmagatzemar evidències, gestionar signatures o registres forenses. 3. Seguretat del sistema Un aspecte important és que aquest detector funciona mitjançant signatures que li proporcionaran informació per detectar intrusions o atacs, per tant a l'igual que es important mantindre el sistema actualitzat per evitar vulnerabilitats, és important mantindre aquestes signatures al dia per tal de detectar els possibles atacs potencials, ja que els atacants busquen continuament noves vulnerabilitats que li permetin completar amb exit l'intent. En aquest cas per mantindre al dia aquestes signatures utilitza Pulled Pork. En el punt de les signatures utilitzades pel detector, aquestes venen proporcionades per diferents conjunts de regles, que inclueixen un seguit de directoris i fitxers, aleshores s'ha de tindre en compte que aquests directoris i fitxers són un possible objectiu dels intrusos, ja que poden modificar-los de manera que no es pugui detectar l'atac i que no sigui efectiu. Per evitar-ho es distribueixen regles en format binari, que dificulten la seva manipulació, a més tenen l'avantatge afegit que al no estar en format text no s'esta donant informació de vulnerabilitats que pugui ser llegida pels possibles atacants. 4. Auditoria A més aquestes eines utilitzen un seguit de logs i missatges en binari que proporcionarien informació, però que a l'igual que abans tracten d'emmagatzemar la informació de manera que es dificulti la seva manipulació pels atacants, i que deixen “empremtes” de totes les actuacions fetes i que després podran ser utilitzades en l'anàlisi. Altre bona estratègia empreada per aquesta eina és que utilitzen tècniques de logging, i utilitzen logs diferents dels habituals del sistema fent més difícil la tasca als intrusos la seva manipulació. 1
-
Upload
aurora-lara-marin -
Category
Technology
-
view
104 -
download
3
Transcript of ARSO-M7: Administracio de la seguretat - Article Snort
Mòdul 7: Administració de la seguretat – Activitat de Lectura
1. IntroduccióEn aquesta lectura s'analitza l'ús de Snort i una sèrie de programari complemetari que ajudaria al
seu funcionament. Els administradors de sistema han de tindre molt en compte la seguretat dels
sistemes informàtics, i per aquesta tasca es poden ajudar per eines específiques com és el cas de
Snort.
2. Què és Snort?Snort és un sniffer o detector que analitza i estandaritza el tràfic de xarxa, que com tots els
detectors es basaria en l'activació del mode promiscu de les interfícies de xarxa de les estacions
de treball, però la principal aportació de Snort per l'administrador del sistema no és que capturi el
tràfic de xarxa, sinò que conjuntament amb altres eines li permetrà detectar intrusions,
emmagatzemar evidències, gestionar signatures o registres forenses.
3. Seguretat del sistemaUn aspecte important és que aquest detector funciona mitjançant signatures que li proporcionaran
informació per detectar intrusions o atacs, per tant a l'igual que es important mantindre el sistema
actualitzat per evitar vulnerabilitats, és important mantindre aquestes signatures al dia per tal de
detectar els possibles atacs potencials, ja que els atacants busquen continuament noves
vulnerabilitats que li permetin completar amb exit l'intent. En aquest cas per mantindre al dia
aquestes signatures utilitza Pulled Pork.
En el punt de les signatures utilitzades pel detector, aquestes venen proporcionades per diferents
conjunts de regles, que inclueixen un seguit de directoris i fitxers, aleshores s'ha de tindre en
compte que aquests directoris i fitxers són un possible objectiu dels intrusos, ja que poden
modificar-los de manera que no es pugui detectar l'atac i que no sigui efectiu. Per evitar-ho es
distribueixen regles en format binari, que dificulten la seva manipulació, a més tenen l'avantatge
afegit que al no estar en format text no s'esta donant informació de vulnerabilitats que pugui ser
llegida pels possibles atacants.
4. AuditoriaA més aquestes eines utilitzen un seguit de logs i missatges en binari que proporcionarien
informació, però que a l'igual que abans tracten d'emmagatzemar la informació de manera que es
dificulti la seva manipulació pels atacants, i que deixen “empremtes” de totes les actuacions fetes i
que després podran ser utilitzades en l'anàlisi. Altre bona estratègia empreada per aquesta eina és
que utilitzen tècniques de logging, i utilitzen logs diferents dels habituals del sistema fent més
difícil la tasca als intrusos la seva manipulació.
1
Mòdul 7: Administració de la seguretat – Activitat de Lectura
També aquesta eina té en compte l'elevat volum d'informació que es genera, i tracta de facilitar la
seva manipulació, ja sigui afegint les dates en el nom dels fitxers, com emmagatzemant els
missatges en bases de dades en aquest cas mitjançant Barnyard 2, complement que li permetria
aquestes funcionalitats, a més de reduir la carrega del servidor.
A més tota aquesta informació obtinguda després podria ser utilitzada en cas de ser necessari en
la investigació de delictes informàtics, i es important tindre en compte el seu emmagatzemament.
5. Evitar el mal ús del detectorEncara que aquestes eines proporcionen una bona solució per detectar intrusions o atacs al
sistema informàtic, és primordial, que l'ús que es faci d'elles sigui correcte i es prenguin unes
mesures per evitar que els mateixos atacants puguin aprofitar-se d'elles per portar a terme els
seus atacs.
Entre les mesures que es poden prendre per exemple es recomana que no sigui l'usuari root el
que executi aquestes eines, sino altre usuari creat expresament per aquesta tasca i amb privilegis
suficients per fer-ho però no mès dels necessaris, o fins inclús que els fitxers i directoris solament
tinguin els permisos suficients perque el seu funcionament sigui correcte.
6. ConclusióLa seguretat és un element principal per portar a terme l'administració del sistema correctament, i
en molts casos aquesta seguretat primarà sobre altres requisits, això sempre arribant a un
compromís entre seguretat i usabilitat.
Una bona mesura de seguretat és la prevenció, i les eines analitzades en l'article de lectura
proporcionen una bona perspectiva de com aquestes eines poden ajudar a la detecció i prevenció
d'intrusions, però també ens mostren com l'administrador ha de instal·lar totes les eines
necessàries perquè de forma conjunta i que es complementin per protegir al sistema, i fins i tot
gestionar-les de manera adequada perquè portin a terme la seva funció, però que cap atacant
pugui aprofitar-se de configuracions incorrectes per introduir-se al sistema i/o no deixar
evidències.
2
