NSM Network Security Monitoring Herramientas Software Libre de detección y prevención

  • 54 views
Uploaded on

 

More in: Software
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
54
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on. Alejandro Vald´es Jimenez avaldes@utalca.cl DSL 2010 September 21, 2010 Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 1 / 18
  • 2. Agenda 1 NSM Monitorizaci´on de Seguridad de Redes 2 Principios de seguridad 3 Ejemplo de red 4 Herramientas 5 Recursos Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 2 / 18
  • 3. NSM Monitorizaci´on de Seguridad de Redes NSM Monitorizaci´on de Seguridad de Redes Es un modelo de operaciones de seguridad que hace uso de herramientas y t´ecnicas para la recolecci´on, an´alisis y notificaci´on de indicaciones y advertencias, de manera de poder detectar intrusiones y poder responder a ellas. Los indicadores corresponden a las alertas generadas por el software de detecci´on. Las advertencias son los resultados de la interpretaci´on de los indicadores (alertas). Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 3 / 18
  • 4. Principios de seguridad Las fases de un compromiso Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 4 / 18
  • 5. Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Reconocimiento validar conectividad, enumerar servicios y buscar aplicaciones vulnerables. escaneo de puertos. reconocimiento de sistemas operativos, versiones de softwares, etc. Explotaci´on abusar de los servicios de un blanco y/o da˜narlos. implica hacer uso uso ileg´ıtimo de un modo leg´ıtimo. explotaci´on es a trav´es de protocolos correctos (telnet, ssh, ftp, http, etc). Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 5 / 18
  • 6. Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Refuerzo aprovecha acceso inicial con objeto de ganar capacidades adicionales. algunas explotaciones producen inmediatamente privilegios de root, mientras otros solo a nivel de usuario. intrusos recuperan e instalan herramientas empleando quiz´a FTP, TFTP, SCP, etc. instalaci´on de puertas traseras (back doors) para comunicarse con el mundo exterior. Consolidaci´on intruso se comunica con el blanco a trav´es de la puerta trasera. la puerta trasera puede adoptar la forma de un servicio a la escucha. la puerta trasera se puede conectar a la IP del intruso. en esta fase, el intruso tiene control completo del blanco. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 6 / 18
  • 7. Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Pillaje es la ejecuci´on del plan final del intruso, podr´ıa implicar: robo de informaci´on privada. contruir una base para realizar ataques mas profundos dentro de la organizaci´on. o cualquir otra cosa que desee el intruso. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 7 / 18
  • 8. Principios de seguridad Las fases de un compromiso Defensores tienen la oportunidad para detectar a los intrusos que se comunican con los blancos durante las 5 fases anteriores. Es probable que el intruso proporcione alg´un tipo de evidencia basada en la red que merecer´a la pena investigar. En esta tarea, se utilizan una serie de herramientas para soportar el modelo de NSM. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 8 / 18
  • 9. Ejemplo de red Ejemplo de red Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 9 / 18
  • 10. Ejemplo de red Ejemplo de red con Sensores Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 10 / 18
  • 11. Herramientas Libpcap pcap API para captura de paquetes libpcap Implementaci´on de pcap para sistemas basados en Unix. wincap Implementaci´on de pcap para sistemas Windows. Programas utilizan esta libreria para la captura de paquetes. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 11 / 18
  • 12. Herramientas Tcpdump Utiliadad para captura y an´alisis de paquetes. tcpdump -n -i <interfaz> -w <archivo> -n: no resuelva direcciones IP ni puertos. -i interfaz: interfaz a escuchar, por ejemplo eth0 -w archivo: almacernar datos capturados en el archivo. -r archivo: lee paquetes capturados desde el archivo. man tcpdump Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 12 / 18
  • 13. Herramientas Tcpdump y filtros de paquetes de Berkeley BPF BPF son expresiones para manipular paquetes que se capturan/visualizan con tcpdump. Permite uso mas eficiente, por ejemplo: icmp, udp, tcp {src,dst} host, net {src,dst} port arp Ejemplos: tcpdump -n -r em0.lpc -c 2 tcp tcpdump -n -r sf1.lpc -c 2 tcp and dst port 22 tcpdump -n -r sf1.lpc -c 2 host 172.27.20.3 tcpdump -n -r sf1.lpc -c 2 src host 172.27.20.4 tcpdump -n -r em0.lpc -c 2 src net 10.10.10.0/24 tcpdump -n -r sf1.lpc -c 2 ’icmp[icmptype] = icmp-echo’ Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 13 / 18
  • 14. Herramientas Wireshark Utilidad gr´afica para la captura y an´alisis de paquetes. Una de las mejores herramientas de software libre para el tratamiento de redes. Se pueden aplicar filtros tcp.dstport == 21. Se pueden reconstruir flujos de sesiones Follow TCP Stream. Estad´ısticas (por ejemplo jerarqu´ıa de protocolos). wireshark -n -r em0.lpc Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 14 / 18
  • 15. Herramientas Snort Famoso por ser un sistema de detecci´on de intrusiones basado en red pero tambien se puede utilizar para captura y an´alisis de paquetes. Usa reglas para realizar b´usquedas en los paquetes y asi generar alertas (/etc/nsm/sensor1/rules/local.rules). alert tcp any any ->any any (msg:”Solo esta activado SYN”; flags: S; sid: 10001;) Buscamos en paquetes ya capturados: snort -c /etc/nsm/snort/sensor1/snort.conf -b -l . -r sf1.lpc Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 15 / 18
  • 16. Herramientas Sguil Las herramientas antes mencionadas trabajan de modo independiente, no hay comunicaci´on entre ellas. La filosof´ıa de UNIX se basa en la idea de herramientas que cooperen entre si. Sguil se basa en tal filosof´ıa, por tanto, Sguil es un conjunto de programas de software libre para realizar NSM. Es una aplicaci´on multiplataforma dise˜nada ”por y para analistas” con el objeto de integrar flujos correspondientes de alertas, datos de sesiones, datos de contenido completo en una sola interfaz gr´afica. NSMnow Project. Framework con herramientas para implementar NSM. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 16 / 18
  • 17. Herramientas Sguil Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 17 / 18
  • 18. Recursos Recursos Bibliografia The Tao of Network Security Monitoring: Beyond Intrusion Detection, Richard Bejtlich. http://www.taosecurity.com/books.html Enlaces libpcap y tcpdum: http://www.tcpdump.org/ wireshar: http://www.wireshark.org/ snort: http://www.snort.org/ snortid: http://www.snortid.com/ sguil: http://sguil.sourceforge.net/ BPF: http://en.wikipedia.org/wiki/Berkeley Packet Filter NSMnow Project: http://www.securixlive.com/nsmnow/index.php Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 18 / 18