Tema 4. Detección de Intrusos

Tema 4. Deteccion de Instrusos

Tema 4. Deteccion de InstrusosSeguridad en Informatica 2

Francisco Medina Lopez

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

2014-2


Agenda

1 Introduccion a la Deteccion de Intrusos

2 Sistemas de Deteccion de Intrusos en Red

3 Sistemas de Prevencion de Intrusiones

4 Snort como IDS/IPS


Introduccion a la Deteccion de Intrusos

1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaracterısticas






Definiciones y Conceptos








¿Que es una intrusion?

Definicion

Secuencia de eventos relacionados que deliberadamente tratan decausar dano, como hacer un sistema indisponible, acceder ainformacion no autorizada o manipular dicha informacion.

Esta definicion aplica tanto para intentos fallidos, como para losexitosos




¿Que son los Sistemas de Deteccion de Intrusos?

Deteccion de Intrusos

Proceso de vigilar y analizar eventos que ocurren en un sistemade computo o red para buscar signos que indiquen problemas deseguridad (violaciones a polıticas).

Sistema de Deteccion de Intrusos

Herramientas, metodos y recursos que ayudan a detectar,identificar y reportar actividad no autorizada en un servidor o unared.

Los sistemas:

Ejecutan funciones de centinelaAlertan y activan alarmas a partesresponsables cuando ocurren actosde interes

Los IDS’s realmente no detectanintrusos, detectan trafico en la redque puede o no, ser una intrusion




Funciones de un IDS

Registrar indicadores de actividad de intrusos .

Activar las alertas correspondientes.

Puede buscar ataques provenientes de fuera de la red.

Monitorear las actividades desde la red interna .

Algunos IDS’s tambien buscan actividades anomalas.Requiere configuracion adaptada a peculiaridades de la red quese busca defender.

El IDS puede tomar acciones automaticas cuando ocurrenciertas condiciones.

Ejemplo: enviar mensaje de radio al administrador del sistema.

Muchos IDS’s pueden configurarse para atacarautomaticamente a los sospechosos.

Otros se optimizan para recoger informacion para analisisforense en tiempo real.




Proceso basico de deteccion de intrusos

Intrusion Detection & Prevention, Carl Endorf, Eugene.



Componentes







Componentes

http://wiki.hill.com/wiki/index.php?title=

Intrusion_detection_system

Fuente de DatosProporciona el flujo de registros deeventos

Motor de AnalisisEncuentra indicadores de intrusion

Componente de RespuestasGenera reacciones basadas en elresultado arrojado por el motor deanalisis

http://wiki.hill.com/wiki/index.php?title=Intrusion_detection_system

http://wiki.hill.com/wiki/index.php?title=Intrusion_detection_system



Componentes

Fuente de Datos del IDS

Cuatro tipos

HostRedAplicacionObjetivo

El “monitor” o sensor :

Recolecta informacion de una fuente de datos y la pasa almotor de analisis



Componentes

Fuente de Datos del IDS (2)

Monitores basados en hostRecogen datos de fuentes internas a una computadora (usual:nivel de S.O.)Estas fuentes pueden incluir registros de auditorıa del S.O. ybitacoras del mismo

Monitores basados en redRecogen paquetes que pasan por la redFrecuente: uso de dispositivos de red configurados en modopromiscuo



Componentes

Fuente de Datos del IDS (3)

Monitores basados en aplicacionesObtienen informacion de aplicaciones en ejecucionLas fuentes son bitacoras de aplicaciones y otros registrosinternos de ellas

Monitores basados en objetivoGeneran sus propios datosUsan criptografıa de hash para detectar alteraciones a objetosdel sistemaComparan alteraciones con una polıtica



Componentes

Motor de Analisis

Definidas las fuentes de informacion, se debe determinar el“motor de busqueda”

Este toma informacion de las fuentes y la examina paradetectar sıntomas de ataques o violaciones a la polıtica deseguridad.

Mayorıa de casos: se recurre a tres tipos de analisis:

Deteccion basada en FirmasDeteccion basada en AnomalıasMezcla de los dos



Componentes

Motor de Analisis (2)

Deteccion de Abusos:Se busca ocurrencia de algo definido como “malo”Para ello, se filtran eventos buscando patrones de actividadcoincidentes con ataques o violacion a polıtica de seguridadUsa tecnicas de coincidencia de patronesGeneral: sistemas comerciales usan esta tecnica

Deteccion de Anomalıas:Se busca algo raro o inusualSe analizan eventos del sistema usando tecnicas estadısticasPara hallar patrones de actividad aparentemente anormales

MixtoDeteccion de anomalıas permite identificar ataques nuevos odesconocidosDeteccion de abusos protege contra ataques conocidos



Componentes

Motor de Analisis (3)



Componentes

Respuestas

Identificada la ocurrencia, el IDS debe determinar la accion aejecutar

No limitada a accion contra sospechoso: disparar alarmas dediferentes tiposSe pueden incluir mensajes a consola del administrador de laredEnvıo de mensaje al localizador del administrador

Otra respuesta es modificar el IDS o el sistema vigiladoModificacion en IDS puede incluir cambio en el tipo de analisisque se hace

En el caso de los sistemas vigilados:Cambios en configuracion

Modificaciones a privilegios de acceso

Respuesta comun:Registrar resultados del analisis en bitacora usada para generarreportes



Caracterısticas







Caracterısticas

Caracterısticas deseables en IDS’s

Efectividad:

Requerimiento mas importante: IDS’s deben detectar de formaexacta y consistente los ataques, o patrones definidos

Facilidad de uso:Expertos en seguridad difıciles y caros

Necesario manejo por no expertos en seguridad

Adaptabilidad:

IDS debe adaptarse a diferentes plataformas, ambientes ypolıticasMayorıa de ambientes no son homogeneos

IDS capaz de entender entradas de otros sistemas



Caracterısticas

Caracterısticas deseables en IDS’s (2)

Robustez:

IDS suficientemente confiableTener mecanismos redundantes y caracterısticas que permitanoperar en caso de fallas

Rapidez:

Ser capaz de ejecutar vigilanciaReportar eventos en momento de ocurrencia

Eficiencia:

Uso optimo de recursos de computo, almacenamiento, y anchode bandaAfectacion mınima al desempeno del sistema vigilado



Caracterısticas

Caracterısticas deseables en IDS’s (3)

Seguridad:

Contar con caracterısticas que eviten utilizacion por personalno autorizado

Escalabilidad:

Componentes con interfaces estandar bien documentadasEstas interfases deben soportar los mecanismos deautenticacion apropiados.

Equilibrio:

Permitir a usuarios mantener balance entre necesidades deadministracion y de seguridad


Sistemas de Deteccion de Intrusos en Red


2 Sistemas de Deteccion de Intrusos en RedIntroduccionProblematicaEjemplos





Introduccion







Introduccion

Definicion

NIDS

Network Intrusion DetecctionSystem, son un conjunto deherramientas, metodos yrecursos que ayudan adetectar, identificar y reportaractividad no autorizada en unared.



Introduccion

Fuente de Datos

Port mirroring (spanning): Copias de los paquetes de entraday salida son enviados a un puerto especial donde pueden seranalizados.

Network taps: Dispositivos que son colocados en el mediofısico por donde pasa el trafico.



Problematica







Problematica

Desventajas con IDS’s en basados en red

Velocidad del canal

No pueden hacer frente a todo el volumen de datos que fluyeen la red

En ambientes con switches: IDS debe colocarse de tal modoque la carga pase por un puerto de escucha

Cifrado

Ningun IDS puede revisar paquetes cifrados, porque no tienelas llaves. Esto permite perpetrar ataques ocultos enconexiones cifradas



Ejemplos







Ejemplos

Algunos IDS’s basados en red

Snort

NIKSUN NetDetector

Sax2

IBM Proventia NetworkIntrusion Prevention System(IPS)

Bro

Cisco Secure IDS (NetRanger)

Cyclops

Shoki

SecureNet IDS/IPS

SecurityMetrics

Enterasys Intrusion PreventionSystem

Juniper Networks ISG SeriesIntegrated Security Gateway

http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html

http://www.snort.org/

http://www.niksun.com/product.php?id=4

http://www.ids-sax2.com/

http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097



http://bro-ids.org/

http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html

http://www.e-cop.net/

http://shoki.sourceforge.net/

http://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523

https://www.securitymetrics.com/securitymetricsappliance.adp

http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspx


http://www.juniper.net/us/en/products-services/security/isg-series/

http://www.juniper.net/us/en/products-services/security/isg-series/

http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html


Sistemas de Prevencion de Intrusiones



3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos




Introduccion







Introduccion

Definicion

IPS

Intrusion Prevention System, son un conjunto de herramientas,metodos y recursos que ayudan a monitorear la actividad de unared esperando la ocurrencia de algun evento y ejecutando unaaccion basada en reglas predefinidas cuando este sucede.

Se consideran la evolucion de los IDS’s



Ejemplos







Ejemplos

Algunos IDS’s basados en red

McAfee Network Security Manager

APSolute Immunity

IPS-1

Strata Guard

Juniper NetScreen

SecureNet IDS/IPS

Enterasys Intrusion Prevention System

http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html

http://www.mcafee.com/us/enterprise/products/network_security/network_security_manager.html

http://www.radware.com/Products/ApplicationNetworkSecurity/DefensePro.aspx

http://www.checkpoint.com/products/ips-1/

http://www.stillsecure.com/strataguard/

http://www.juniper.net/us/en/products-services/security/netscreen/

http://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523


http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html



Ejemplos

Magic Quadrant for Intrusion Prevention Systems

Gartner, S.A.. es un proyectode investigacion de tecnologıade la informacion y de firmaconsultiva con sede enStamford, Connecticut,Estados Unidos. Se conocıancomo el Grupo Gartner hasta2001.a

ahttp://www.gartner.com/

http://www.gartner.com/


Snort como IDS/IPS




4 Snort como IDS/IPSIntroduccionInstalacion y Configuracion de Snort


Snort como IDS/IPS

Introduccion






Snort como IDS/IPS

Introduccion

Definicion

Snort

Es un IDS / IPS liberado bajo la licencia de GPL desarrollado porla empresa Sourcefire. Uiliza tanto la deteccion basada en firmascomo anomalıas.


Snort como IDS/IPS

Introduccion

Caracterısticas

Disponible bajo licencia GPL.

Funciona bajo plataformas Windows, GNU/Linux y Mac OS.

Muestra


Snort como IDS/IPS

Introduccion

Historia

Snort fue desarrollado en 1998 bajo el nombre de APE porMarty Roesch.

Empezo a distribuirse a traves del sitiohttp://packetstormsecurity.com/

En Diciembre de 1999 se libera la version 1.5 con una nuevaarquitectura basada en plug-ins

http://packetstormsecurity.com/


Snort como IDS/IPS

Introduccion

Arquitectura de Snort

1 Modulo de captura del trafico.

2 Decodificador.

3 Preprocesadores

4 Motor de Deteccion.

5 Archivo de Reglas.

6 Plugins de deteccion.

7 Plugins de salida.


Snort como IDS/IPS

Introduccion

Categorıas de reglas Snort

1 Reglas de Protocolo: Son dependientes del protocolo que seesta analizando, por ejemplo en el protocolo http esta lapalabra reservada uricontent.

2 Reglas de Contenido Genericas: Permiten especificarpatrones para buscar en el campo de datos del paquete, lospatrones de busqueda pueden ser binarios o en modo ASCII,esto es muy util para buscar exploits los cuales suelen terminaren cadenas de tipo “/bin/sh”.


Snort como IDS/IPS

Introduccion

Categorıas de reglas Snort (2)

3 Reglas de Paquetes Malformados: Especificancaracterısticas sobre los paquetes, concretamente sobre suscabeceras las cuales indican que se esta produciendo alguntipo de anomalıa, este tipo de reglas no miran en el contenidoya que primero se comprueban las cabeceras en busca deincoherencias u otro tipo de anomalıa.

4 Reglas IP: Se aplican directamente sobre la capa IP, y soncomprobadas para cada datagrama IP, si el datagrama luegoes Tcp, Udp o Icmp se realizara un analisis del datagrama consu correspondiente capa de protocolo, este tipo de reglasanaliza con contenido y sin el.


Snort como IDS/IPS

Introduccion

Evaluacion de reglas en Snort

A5 – Deteccion de ataques en red con Snort, Joaquın Garcıa Alfaro, P.10


Snort como IDS/IPS

Instalacion y Configuracion de Snort






Snort como IDS/IPS


Instalacion de Snort en Kali Linux

Para realizar la instalacion de snort sobre Kali Linux ejecutar elsiguiente comando:

apt-get -y install snort


Snort como IDS/IPS


Configuracion de Snort en Kali Linux

El primer paso en la configuracion de Snort, es establecer lainterfaz de red que vamos a utilizar como sensor.


Snort como IDS/IPS


Configuracion de Snort en Kali Linux (2)

Indicar la direccion IP del equipo o el bloque de red a analizar.


Snort como IDS/IPS


Inicio de Snort

Para iniciar Snort en modo consola usar el comando:

snort -q -A console -i eth1 -c

/etc/snort/snort.conf

Para iniciar Snort como daemon usar el comando:

service snort startUtilizar el comando tail para monitorear los resultados entiempo real

tail -f /var/log/snort/alert.log


Conclusiones

Conclusiones

Un IPS protege al equipo proactivamente y un IDS lo protegereactivamente.

IDS es solo una parte de las herramientas de seguridad, nodebe considerarse como una contramedida por si solo.


Referencias bibliograficas

Referencias bibliograficas I

Andrew Williams.Snort Intrusion Detection and Prevention Toolkit(2007)

Carl Endorf, Eugene Schultz y Jim MellanderIntrusion Detection & Prevention (2004)

Tema 4. Detección de Intrusos

Education

Transcript of Tema 4. Detección de Intrusos