Your SlideShare is downloading. ×
Intrusion Detection System V1.2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Intrusion Detection System V1.2

1,699
views

Published on

Intrusion Detection System V1.2 Perú

Intrusion Detection System V1.2 Perú

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,699
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
36
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1st Peruvian Workshop on IT Security Sistemas de Detección de Intrusos 29.Dic.2003 Colaboración http://escert.upc.es Roger Carhuatocto Miembro esCERT-UPC Responsable de Servicios Educacionales Instituto de Investigación UNI -FIIS esCERT-UPC http://www.uni.edu.pe C/ Jordi Girona, 1-3. Campus Nord, UPC 08034 Barcelona ~ España Tel. (34)934015795 ~ Fax. (34)934017055 Atención : No se permite la reproducción total o parcial de este material sin el permiso del autor 1 Introducción Vulnerabilidad Desarrollo Parche Descubrimiento pública parche aplicado 1-5 Atacantes potenciales Millones de atacantes potenciales tiempo Totalmente indefensos •Riesgo asumido Seguros •Riesgo acotado •Riesgo eliminado § Problemas: § Tiempo que transcurre desde que se descubre la vulnerabilidad y se comenta en diversas listas de seguridad hasta que las empresas de seguridad desarrollan el parche. § Durante ese periodo aparece el exploit. § Los técnicos analistas desarrollan el patrón del nuevo ataque para implantarlo en los sistemas de detección de intrusos. § Objetivo: Reducir el tiempo que pasa desde que sale un nuevo ataque hasta que lo detecta un IDS. Intrusion Detection System / Roger Carhuatocto 2
  • 2. ¿Qué es una intrusión? § Una intrusión puede ser definida como un conjunto de acciones que intentan comprometer o poner en peligro la integridad, la confidencialidad o la disponibilidad de un sistema informático. § Las intrusiones se pueden producir de varias formas: § Externos: Atacantes que acceden a los sistemas desde Internet. § Internos § Abuso de recursos § Usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están autorizados. § Usuarios autorizados que hacen un mal uso de los privilegios o recursos que se han asignado. Intrusion Detection System / Roger Carhuatocto 3 ¿Qué es una intrusión? § Actividad intrusiva y actividad anómala § Las intrusivas son un subconjunto de las anómalas § Intrusivas pero no anómalas: Se les denomina falsos negativos y en este caso la actividad es intrusiva pero como no es anómala no se consigue detectar. Se denominan falsos negativos porque el sistema erróneamente indica ausencia de intrusión. § No intrusivas pero anómalas: Se denominan falsos positivos y en este caso la actividad es no intrusiva, pero como es anómala el sistema decide que es intrusiva. § Ni intrusiva ni anómala: Son negativos verdaderos, la actividad es no intrusiva y se indica como tal. § Intrusiva y anómala: Actividad intrusiva y detectada. Positivos verdaderos Intrusion Detection System / Roger Carhuatocto 4
  • 3. ¿Qué es un IDS? § Intrusion Detection System, herramienta de seguridad que monitoriza los eventos que ocurren en un sistema informático con la intención de localizar posibles intentos de intrusión. § Intento de intrusión: cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste. § Basan su funcionamiento en la recolección y el análisis de información de diferentes fuentes. Posteriormente determinan la posible existencia de un ataque. H. Ethernet H. IP H. TCP Payload Análisis FW Análisis IDS Intrusion Detection System / Roger Carhuatocto 5 Clasificación de los IDS § Podemos clasificar los IDS según 2 diferentes criterios: § Según la fuente de información. 1. HIDS (Host Intrusion Detection System) 2. NIDS (Network Intrusion Detection System) § Según el tipo de análisis. 1. Detección de abusos o firmas (Signature-based detection) 2. Detección de anomalías (Profile-based detection) Intrusion Detection System / Roger Carhuatocto 6
  • 4. Tipos de Respuesta Una vez se ha producido un análisis de los eventos y hemos detectado un ataque, el IDS reacciona. Los tipos de respuesta son: Activa § Las respuestas activas son acciones automáticas que se toman cuando ciertos tipos de intrusiones son detectados. Podemos establecer dos categorías distintas: § Recogida de información adicional: Consiste en incrementar el nivel de sensibilidad de los sensores para obtener más pistas del posible ataque § Cambio del entorno: Parar el ataque filtrando en el Firewall. Pasiva § En este tipo de respuestas se notifica al responsable de seguridad de la organización, al usuario del sistema atacado o a algún CERT de lo sucedido. § También es posible avisar al administrador del sitio desde el cual se produjo el ataque avisándole de lo ocurrido. Intrusion Detection System / Roger Carhuatocto 7 ¿Dónde colocar un IDS? Topologías § Diferentes topologías dentro de una red § Diferentes Sistemas: Web, Mail, VPN, Routers, Wireless Lan, Application Server, FTP, File Server, entorno de producción y de pruebas. § Tipos de IDS a distribuir: NIDS, HIDS § Buscar un compendio entre coste económico, seguridad y necesidad de la empresa. Intrusion Detection System / Roger Carhuatocto 8
  • 5. ¿Dónde colocar un IDS? Topologías Intrusion Detection System / Roger Carhuatocto 9 ¿Dónde colocar un IDS? Topologías § El router de entrada tiene un Host IDS que se encarga de monitorizar la actividad de red. § Envía alarmas al módulo central. Ventajas: § Arquitectura simple de implementar y de gestión. § Apto para pequeñas redes. Desventajas: § Sobrecarga de procesamiento en el router de entrada. § Poco escalable. Intrusion Detection System / Roger Carhuatocto 10
  • 6. ¿Dónde colocar un IDS? Topologías § Ubicado entre el router y el firewall. § Analiza todo el tráfico que atraviesa el router. § El módulo de administración recibe alarmas del router, firewall y del NIDS Ventajas: § La interfase de monitorización analiza el tráfico antes de atravesar el firewall. § La interfase de administración puede reconfigurar el firewall y el router en caso de intrusión. § Escalabilidad § Control centralizado de las alarmas. § El tráfico de la red no se ve afectado por la puesta del IDS Desventajas: § Más equipos que configurar. § La re-configuración dinámica del router y firewall, por parte del NIDS, afecta la performance de estos equipos. Intrusion Detection System / Roger Carhuatocto 11 ¿Dónde colocar un IDS? Topologías Intrusion Detection System / Roger Carhuatocto 12
  • 7. Limitaciones de los NIDS § Una de los problemas más importantes de los NIDSs es su incapacidad de reconstruir exactamente lo que está ocurriendo en un sistema que están monitorizando. § Los detectores de intrusos basados en firmas funcionan examinando el contenido de los paquetes que se están transmitiendo por la red. Intrusion Detection System / Roger Carhuatocto 13 Productos Snort Snort § Es un IDS en tiempo real desarrollado por Marty Roesch. § Se puede ejecutar en máquinas UNIX y Windows. Es el número uno en sistemas de detección de intrusos. § Dispone actualmente de 1.200 filtros y de multitud de aplicaciones para el análisis de sus alertas. § En Snort no es posible separar el componente de análisis y los sensores en máquinas distintas. § Sí que es posible ejecutar Snort atendiendo a varios interfaces a la vez (cada uno podría estar monitorizando lugares distintos dentro de una red). § Para conocer su funcionamiento y configuración se puede consultar el excelente manual en: www.snort.org/docs/SnortUsersManual.pdf Intrusion Detection System / Roger Carhuatocto 14
  • 8. Productos Tripwire http://www.tripwire.com § La herramienta Tripwire es un comprobador de integridad para ficheros y directorios de sistemas. § Compara un conjunto de estos objetos con la información sobre los mismos almacenada previamente en una base de datos. § Alerta al administrador en caso de que algo haya cambiado. § La idea es simple: § Se crea un resumen de cada fichero o directorio importante para nuestra seguridad nada más instalar el sistema § Los resúmenes se almacenan en un medio seguro (un CD-ROM o un disco protegido contra escritura). § Si alguno de los ficheros es modificado Tripwire nos alertará la próxima vez que realicemos la comprobación. § Para generar esos resúmenes se utilizan funciones hash, de forma que es casi imposible que dos ficheros generen el mismo resumen. § Tripwire implementa MD2, MD4, MD5, Snefru, CRC-16 y CRC-32. Intrusion Detection System / Roger Carhuatocto 15 Productos Honeypot/Honeynet § El objetivo de algunos HIDS no es engañar a un atacante durante mucho tiempo, proporcionándole un subentorno en el sistema que aparente de forma muy realista ser algo vulnerable, sino que su `decepción' es bastante más elemental: § Se limitan a presentar un aspecto que parece vulnerable, pero que un aprendiz de hacker puede descubrir que no es más que un engaño. § Su tarea es recopilar información del atacante y del ataque en sí § Un programa que se encargue de escuchar en el puerto 31337 de nuestro sistema - donde lo hacen algunos troyanos- y, cada vez que alguien acceda a él, guardar la hora, la dirección origen, y los datos enviados por el atacante. § En realidad, no es una simulación que pueda engañar al hacker, pero hemos logrado el objetivo de cualquier sistema de detección de intrusos: registrar el ataque § Se puede considerar un honeypot , ya que simula un entorno vulnerable, aunque sólo logre engañar a nuestro atacante durante unos segundos Intrusion Detection System / Roger Carhuatocto 16
  • 9. Productos HoneyNet/HoneyPot Diagrama http://paladion.net/media/honeynet/paladion_honeynet.htm Intrusion Detection System / Roger Carhuatocto 17 Productos Ethereal http://www.ethereal.com Intrusion Detection System / Roger Carhuatocto 18
  • 10. Productos AirSnort http://sourceforge.net/projects/airsnort Cortesía de Jaime Robles – http://www.RedLibre.net Intrusion Detection System / Roger Carhuatocto 19 Productos Network Stumbler http://www.stumbler.net Para PocketPC Intrusion Detection System / Roger Carhuatocto 20
  • 11. Productos Shadow http://www.nswc.navy.mil/ISSEC/CID/ SHADOW § Secondary Heuristic Analisys For Defensive Online Warfare § Stephen Northcutt en NSWC inició la implementación sobre SUN de sniffer software de dominio público (netlog: icmplogger, udplogger, tcplogger), incrementaron potencia de captura con Linux, PC y tcpdump § Consta de dos componentes: agente colector cerca de firewall y un analizador dentro del firewall. § La interfaz, realizada con perl y apache, permite al analista evaluar gran cantidad de información de red y decidir de qué eventos informar. § No es en tiempo real ya que es necesario la intervención de un IDS analista. § La clave de SHADOW es la inteligente definición de filtros de tcpdump. Intrusion Detection System / Roger Carhuatocto 21 Productos Shadow http://www.nswc.navy.mil/ISSEC/CID/ §Whois y Lookup §Nmap §Search §Report §Incident report §S tatistics page Intrusion Detection System / Roger Carhuatocto 22
  • 12. Productos RealSecure RealSecure § RealSecure es el sistema de detección de intrusos comercial desplegado de forma más generalizada. § Está dividido en dos partes: § directores, que se utilizan para tareas administrativas y operativas, y sensores, que son los generadores de eventos. § Están disponibles los sensores basados en red y basados en host . § Tienen versiones para UNIX y para Windows NT/2000, pero la consola sólo se ejecuta en NT/2000. § RealSecure utiliza normativas para definir eventos de interés. § Estas normativas se configuran en el director de análisis y se descargan desde los sensores. § El sensor la toma y la utiliza en la detección de eventos. § Si la consola está funcionando los eventos se toman en tiempo real. Intrusion Detection System / Roger Carhuatocto 23 Productos NetRanger NetRanger § NetRanger (de Cisco Systems), es un ejemplo de IDS con capacidad de equipo 'R'. Cisco lo llama 'componente de seguridad dinámico'. § La respuesta automática incluye la capacidad de reiniciar conexiones o reconfigurar enrutadores. § Los componentes del sistema incluyen sensores, una estación de análisis y equipos R. § Es el sensor IDS disponible comercialmente más competente. § Soporta reensamblaje de paquetes, por lo que los ataques que colocan una parte de la cadena en un fragmento y la segunda parte en un segundo fragmento, seguirán siendo detectados. § Software tanto para UNIX como para Windows. § Ventajas § Gran integración con routers Cisco § Capacidad avanzada del sensor. § Inconvenientes § Alto coste del sistema. § Para mayor información de este producto podemos consultar la web de Cisco. www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ Intrusion Detection System / Roger Carhuatocto 24
  • 13. Complementos Sistemas de valoración y análisis de vulnerabilidades § Las herramientas de análisis de vulnerabilidades determinan si una red o host es vulnerable a ataques conocidos. § Los sistemas que realizan valoración de vulnerabilidades buscan servicios y configuraciones con vulnerabilidades conocidas en nuestra red. File Integrity Checkers ( Controladores de integridad de Ficheros) § Los ’File Integrity Checkers’ son otra clase de herramientas de seguridad que complementan a los IDSs. § Los atacantes a menudo alteran los sistemas de ficheros una vez que tienen acceso completo a la máquina, dejando puertas traseras que más tarde facilitan su entrada al sistema § El producto Tripwire (www.tripwiresecurity.com) es quizá el ejemplo más conocido de este tipo de herramientas. Intrusion Detection System / Roger Carhuatocto 25 Complementos Honeypots § Son sistemas que están diseñados para ser atacados y que capturan de forma silenciosa todos los movimientos del atacantes. § Se usan principalmente para lo siguiente: § Evitar que el atacante pase su tiempo intentado acceder a sistemas críticos. § Recogen información sobre la actividad del atacante. § Permiten al administrador recabar pruebas de quién es el atacante. § Los honeypots se usan ampliamente para investigar sobre nuevos ataques, y facilitan la incorporación de nuevas firmas en los IDSs. Intrusion Detection System / Roger Carhuatocto 26
  • 14. Conclusiones § IDS es un complemento de seguridad de los cortafuegos § Buscar soluciones que se adapten a los recursos de la empresa § Integrar los IDS en la política de seguridad de la empresa § Deben adaptarse a nuevos requerimientos Intrusion Detection System / Roger Carhuatocto 27 Referencias § URL’s de genéricas § http://www.nss.co.uk/download_form.htm § http://www.networkintrusion.co.uk/consoles.htm#ACID § http://www.sans.org/rr/intrusion/intrusion_list.php § http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf § http://www.securityfocus.com/cgi-bin/sfonline/ids_topics.pl § http://www.creangel.com/papers/Eluding%20Network%20Intrusion%2 0Detection.pdf Intrusion Detection System / Roger Carhuatocto 28
  • 15. Referencias § Evadiendo/atacando NIDS, herramientas § Whisker (Rain Forest Puppy ) http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2 § Fragrouter - Dug Song - http://www.anzen.com/research/nidsbench § Congestant - horizon, Phrack 54 § Pudding - Roelof W. Temmingh< roelof@sensepost.com > Proxy which recodes HTTP requests using most of RFP's IDS evasion encoding methods, plus random UTF-8 encoding support § ADMmutate - http://www.ktwo.ca/readme.html A shellcode mutation engine, can evade NIDS. attack the signature analysis method with a technique very well known to virus enthusiasts, a polymorphic algorithm that is designed to impair the effectiveness of regexp's against known attack signatures. (signatures are typically several bytes that are known to be the same for every execution of the exploit) § …… Intrusion Detection System / Roger Carhuatocto 29 Referencias § Stick (IDS stress tool used to evaluate the bottle neck point in an IDS in an operational environment)- http://www.eurocompton.net/stick § Honeynet, Honeypot: § Honeynet Project – http://www.honeynet.org § The Value of Honeypots - http://www.securityfocus.com/infocus/1492 § Thread on 'Basic Honeypot Box' (initiated by Brian) http://www.securityfocus.com/archive/119/241251/2003-07-13/2003-07-19/1 § Thread on 'Does The Honeypot work as good as Honeynet?' (initiated by Faiz) http://www.securityfocus.com/archive/119/241288/2003-07-13/2003-07-19/1 § Thread titled 'Heh heh, evil thought for reducing risk' (initiated by Lance) http://www.securityfocus.com/archive/119/242084/2003-07-13/2003-07-19/1 Intrusion Detection System / Roger Carhuatocto 30