“Sistema Detección de Intrusos para una Red Inalámbrica de ...
Tema 4. Detección de Intrusos
-
Upload
francisco-medina -
Category
Education
-
view
717 -
download
6
Transcript of Tema 4. Detección de Intrusos
Tema 4. Deteccion de Instrusos
Tema 4. Deteccion de InstrusosSeguridad en Informatica 2
Francisco Medina Lopez
Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico
2014-2
Tema 4. Deteccion de Instrusos
Agenda
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaracterısticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaracterısticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
¿Que es una intrusion?
Definicion
Secuencia de eventos relacionados que deliberadamente tratan decausar dano, como hacer un sistema indisponible, acceder ainformacion no autorizada o manipular dicha informacion.
Esta definicion aplica tanto para intentos fallidos, como para losexitosos
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
¿Que son los Sistemas de Deteccion de Intrusos?
Deteccion de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistemade computo o red para buscar signos que indiquen problemas deseguridad (violaciones a polıticas).
Sistema de Deteccion de Intrusos
Herramientas, metodos y recursos que ayudan a detectar,identificar y reportar actividad no autorizada en un servidor o unared.
Los sistemas:
Ejecutan funciones de centinelaAlertan y activan alarmas a partesresponsables cuando ocurren actosde interes
Los IDS’s realmente no detectanintrusos, detectan trafico en la redque puede o no, ser una intrusion
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDS’s tambien buscan actividades anomalas.Requiere configuracion adaptada a peculiaridades de la red quese busca defender.
El IDS puede tomar acciones automaticas cuando ocurrenciertas condiciones.
Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDS’s pueden configurarse para atacarautomaticamente a los sospechosos.
Otros se optimizan para recoger informacion para analisisforense en tiempo real.
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Definiciones y Conceptos
Proceso basico de deteccion de intrusos
Intrusion Detection & Prevention, Carl Endorf, Eugene.
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaracterısticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
http://wiki.hill.com/wiki/index.php?title=
Intrusion_detection_system
Fuente de DatosProporciona el flujo de registros deeventos
Motor de AnalisisEncuentra indicadores de intrusion
Componente de RespuestasGenera reacciones basadas en elresultado arrojado por el motor deanalisis
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Fuente de Datos del IDS
Cuatro tipos
HostRedAplicacionObjetivo
El “monitor” o sensor :
Recolecta informacion de una fuente de datos y la pasa almotor de analisis
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Fuente de Datos del IDS (2)
Monitores basados en hostRecogen datos de fuentes internas a una computadora (usual:nivel de S.O.)Estas fuentes pueden incluir registros de auditorıa del S.O. ybitacoras del mismo
Monitores basados en redRecogen paquetes que pasan por la redFrecuente: uso de dispositivos de red configurados en modopromiscuo
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Fuente de Datos del IDS (3)
Monitores basados en aplicacionesObtienen informacion de aplicaciones en ejecucionLas fuentes son bitacoras de aplicaciones y otros registrosinternos de ellas
Monitores basados en objetivoGeneran sus propios datosUsan criptografıa de hash para detectar alteraciones a objetosdel sistemaComparan alteraciones con una polıtica
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Motor de Analisis
Definidas las fuentes de informacion, se debe determinar el“motor de busqueda”
Este toma informacion de las fuentes y la examina paradetectar sıntomas de ataques o violaciones a la polıtica deseguridad.
Mayorıa de casos: se recurre a tres tipos de analisis:
Deteccion basada en FirmasDeteccion basada en AnomalıasMezcla de los dos
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Motor de Analisis (2)
Deteccion de Abusos:Se busca ocurrencia de algo definido como “malo”Para ello, se filtran eventos buscando patrones de actividadcoincidentes con ataques o violacion a polıtica de seguridadUsa tecnicas de coincidencia de patronesGeneral: sistemas comerciales usan esta tecnica
Deteccion de Anomalıas:Se busca algo raro o inusualSe analizan eventos del sistema usando tecnicas estadısticasPara hallar patrones de actividad aparentemente anormales
MixtoDeteccion de anomalıas permite identificar ataques nuevos odesconocidosDeteccion de abusos protege contra ataques conocidos
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Motor de Analisis (3)
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Componentes
Respuestas
Identificada la ocurrencia, el IDS debe determinar la accion aejecutar
No limitada a accion contra sospechoso: disparar alarmas dediferentes tiposSe pueden incluir mensajes a consola del administrador de laredEnvıo de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigiladoModificacion en IDS puede incluir cambio en el tipo de analisisque se hace
En el caso de los sistemas vigilados:Cambios en configuracion
Modificaciones a privilegios de acceso
Respuesta comun:Registrar resultados del analisis en bitacora usada para generarreportes
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Caracterısticas
1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaracterısticas
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Caracterısticas
Caracterısticas deseables en IDS’s
Efectividad:
Requerimiento mas importante: IDS’s deben detectar de formaexacta y consistente los ataques, o patrones definidos
Facilidad de uso:Expertos en seguridad difıciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes ypolıticasMayorıa de ambientes no son homogeneos
IDS capaz de entender entradas de otros sistemas
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Caracterısticas
Caracterısticas deseables en IDS’s (2)
Robustez:
IDS suficientemente confiableTener mecanismos redundantes y caracterısticas que permitanoperar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilanciaReportar eventos en momento de ocurrencia
Eficiencia:
Uso optimo de recursos de computo, almacenamiento, y anchode bandaAfectacion mınima al desempeno del sistema vigilado
Tema 4. Deteccion de Instrusos
Introduccion a la Deteccion de Intrusos
Caracterısticas
Caracterısticas deseables en IDS’s (3)
Seguridad:
Contar con caracterısticas que eviten utilizacion por personalno autorizado
Escalabilidad:
Componentes con interfaces estandar bien documentadasEstas interfases deben soportar los mecanismos deautenticacion apropiados.
Equilibrio:
Permitir a usuarios mantener balance entre necesidades deadministracion y de seguridad
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en RedIntroduccionProblematicaEjemplos
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
Introduccion
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en RedIntroduccionProblematicaEjemplos
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
Introduccion
Definicion
NIDS
Network Intrusion DetecctionSystem, son un conjunto deherramientas, metodos yrecursos que ayudan adetectar, identificar y reportaractividad no autorizada en unared.
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
Introduccion
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entraday salida son enviados a un puerto especial donde pueden seranalizados.
Network taps: Dispositivos que son colocados en el mediofısico por donde pasa el trafico.
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
Problematica
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en RedIntroduccionProblematicaEjemplos
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
Problematica
Desventajas con IDS’s en basados en red
Velocidad del canal
No pueden hacer frente a todo el volumen de datos que fluyeen la red
En ambientes con switches: IDS debe colocarse de tal modoque la carga pase por un puerto de escucha
Cifrado
Ningun IDS puede revisar paquetes cifrados, porque no tienelas llaves. Esto permite perpetrar ataques ocultos enconexiones cifradas
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
Ejemplos
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en RedIntroduccionProblematicaEjemplos
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Deteccion de Intrusos en Red
Ejemplos
Algunos IDS’s basados en red
Snort
NIKSUN NetDetector
Sax2
IBM Proventia NetworkIntrusion Prevention System(IPS)
Bro
Cisco Secure IDS (NetRanger)
Cyclops
Shoki
SecureNet IDS/IPS
SecurityMetrics
Enterasys Intrusion PreventionSystem
Juniper Networks ISG SeriesIntegrated Security Gateway
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
Tema 4. Deteccion de Instrusos
Sistemas de Prevencion de Intrusiones
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Prevencion de Intrusiones
Introduccion
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Prevencion de Intrusiones
Introduccion
Definicion
IPS
Intrusion Prevention System, son un conjunto de herramientas,metodos y recursos que ayudan a monitorear la actividad de unared esperando la ocurrencia de algun evento y ejecutando unaaccion basada en reglas predefinidas cuando este sucede.
Se consideran la evolucion de los IDS’s
Tema 4. Deteccion de Instrusos
Sistemas de Prevencion de Intrusiones
Ejemplos
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos
4 Snort como IDS/IPS
Tema 4. Deteccion de Instrusos
Sistemas de Prevencion de Intrusiones
Ejemplos
Algunos IDS’s basados en red
McAfee Network Security Manager
APSolute Immunity
IPS-1
Strata Guard
Juniper NetScreen
SecureNet IDS/IPS
Enterasys Intrusion Prevention System
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html
Tema 4. Deteccion de Instrusos
Sistemas de Prevencion de Intrusiones
Ejemplos
Magic Quadrant for Intrusion Prevention Systems
Gartner, S.A.. es un proyectode investigacion de tecnologıade la informacion y de firmaconsultiva con sede enStamford, Connecticut,Estados Unidos. Se conocıancomo el Grupo Gartner hasta2001.a
ahttp://www.gartner.com/
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPSIntroduccionInstalacion y Configuracion de Snort
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPSIntroduccionInstalacion y Configuracion de Snort
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
Definicion
Snort
Es un IDS / IPS liberado bajo la licencia de GPL desarrollado porla empresa Sourcefire. Uiliza tanto la deteccion basada en firmascomo anomalıas.
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
Caracterısticas
Disponible bajo licencia GPL.
Funciona bajo plataformas Windows, GNU/Linux y Mac OS.
Muestra
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
Historia
Snort fue desarrollado en 1998 bajo el nombre de APE porMarty Roesch.
Empezo a distribuirse a traves del sitiohttp://packetstormsecurity.com/
En Diciembre de 1999 se libera la version 1.5 con una nuevaarquitectura basada en plug-ins
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
Arquitectura de Snort
1 Modulo de captura del trafico.
2 Decodificador.
3 Preprocesadores
4 Motor de Deteccion.
5 Archivo de Reglas.
6 Plugins de deteccion.
7 Plugins de salida.
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
Categorıas de reglas Snort
1 Reglas de Protocolo: Son dependientes del protocolo que seesta analizando, por ejemplo en el protocolo http esta lapalabra reservada uricontent.
2 Reglas de Contenido Genericas: Permiten especificarpatrones para buscar en el campo de datos del paquete, lospatrones de busqueda pueden ser binarios o en modo ASCII,esto es muy util para buscar exploits los cuales suelen terminaren cadenas de tipo “/bin/sh”.
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
Categorıas de reglas Snort (2)
3 Reglas de Paquetes Malformados: Especificancaracterısticas sobre los paquetes, concretamente sobre suscabeceras las cuales indican que se esta produciendo alguntipo de anomalıa, este tipo de reglas no miran en el contenidoya que primero se comprueban las cabeceras en busca deincoherencias u otro tipo de anomalıa.
4 Reglas IP: Se aplican directamente sobre la capa IP, y soncomprobadas para cada datagrama IP, si el datagrama luegoes Tcp, Udp o Icmp se realizara un analisis del datagrama consu correspondiente capa de protocolo, este tipo de reglasanaliza con contenido y sin el.
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Introduccion
Evaluacion de reglas en Snort
A5 – Deteccion de ataques en red con Snort, Joaquın Garcıa Alfaro, P.10
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Instalacion y Configuracion de Snort
1 Introduccion a la Deteccion de Intrusos
2 Sistemas de Deteccion de Intrusos en Red
3 Sistemas de Prevencion de Intrusiones
4 Snort como IDS/IPSIntroduccionInstalacion y Configuracion de Snort
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Instalacion y Configuracion de Snort
Instalacion de Snort en Kali Linux
Para realizar la instalacion de snort sobre Kali Linux ejecutar elsiguiente comando:
apt-get -y install snort
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Instalacion y Configuracion de Snort
Configuracion de Snort en Kali Linux
El primer paso en la configuracion de Snort, es establecer lainterfaz de red que vamos a utilizar como sensor.
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Instalacion y Configuracion de Snort
Configuracion de Snort en Kali Linux (2)
Indicar la direccion IP del equipo o el bloque de red a analizar.
Tema 4. Deteccion de Instrusos
Snort como IDS/IPS
Instalacion y Configuracion de Snort
Inicio de Snort
Para iniciar Snort en modo consola usar el comando:
snort -q -A console -i eth1 -c
/etc/snort/snort.conf
Para iniciar Snort como daemon usar el comando:
service snort startUtilizar el comando tail para monitorear los resultados entiempo real
tail -f /var/log/snort/alert.log
Tema 4. Deteccion de Instrusos
Conclusiones
Conclusiones
Un IPS protege al equipo proactivamente y un IDS lo protegereactivamente.
IDS es solo una parte de las herramientas de seguridad, nodebe considerarse como una contramedida por si solo.
Tema 4. Deteccion de Instrusos
Referencias bibliograficas
Referencias bibliograficas I
Andrew Williams.Snort Intrusion Detection and Prevention Toolkit(2007)
Carl Endorf, Eugene Schultz y Jim MellanderIntrusion Detection & Prevention (2004)