SlideShare una empresa de Scribd logo

NSM Network Security Monitoring Herramientas Software Libre de detección y prevención

Alejandro Valdes Jimenez
Alejandro Valdes Jimenez
Software
1 de 18
Descargar para leer sin conexión
NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on. Alejandro Vald´es Jimenez avaldes@utalca.cl DSL 2010 September 21, 2010 Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 1 / 18
Agenda 1 NSM Monitorizaci´on de Seguridad de Redes 2 Principios de seguridad 3 Ejemplo de red 4 Herramientas 5 Recursos Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 2 / 18
NSM Monitorizaci´on de Seguridad de Redes NSM Monitorizaci´on de Seguridad de Redes Es un modelo de operaciones de seguridad que hace uso de herramientas y t´ecnicas para la recolecci´on, an´alisis y notificaci´on de indicaciones y advertencias, de manera de poder detectar intrusiones y poder responder a ellas. Los indicadores corresponden a las alertas generadas por el software de detecci´on. Las advertencias son los resultados de la interpretaci´on de los indicadores (alertas). Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 3 / 18
Principios de seguridad Las fases de un compromiso Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 4 / 18
Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Reconocimiento validar conectividad, enumerar servicios y buscar aplicaciones vulnerables. escaneo de puertos. reconocimiento de sistemas operativos, versiones de softwares, etc. Explotaci´on abusar de los servicios de un blanco y/o da˜narlos. implica hacer uso uso ileg´ıtimo de un modo leg´ıtimo. explotaci´on es a trav´es de protocolos correctos (telnet, ssh, ftp, http, etc). Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 5 / 18
Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Refuerzo aprovecha acceso inicial con objeto de ganar capacidades adicionales. algunas explotaciones producen inmediatamente privilegios de root, mientras otros solo a nivel de usuario. intrusos recuperan e instalan herramientas empleando quiz´a FTP, TFTP, SCP, etc. instalaci´on de puertas traseras (back doors) para comunicarse con el mundo exterior. Consolidaci´on intruso se comunica con el blanco a trav´es de la puerta trasera. la puerta trasera puede adoptar la forma de un servicio a la escucha. la puerta trasera se puede conectar a la IP del intruso. en esta fase, el intruso tiene control completo del blanco. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 6 / 18
Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Pillaje es la ejecuci´on del plan final del intruso, podr´ıa implicar: robo de informaci´on privada. contruir una base para realizar ataques mas profundos dentro de la organizaci´on. o cualquir otra cosa que desee el intruso. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 7 / 18
Principios de seguridad Las fases de un compromiso Defensores tienen la oportunidad para detectar a los intrusos que se comunican con los blancos durante las 5 fases anteriores. Es probable que el intruso proporcione alg´un tipo de evidencia basada en la red que merecer´a la pena investigar. En esta tarea, se utilizan una serie de herramientas para soportar el modelo de NSM. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 8 / 18
Ejemplo de red Ejemplo de red Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 9 / 18
Ejemplo de red Ejemplo de red con Sensores Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 10 / 18
Herramientas Libpcap pcap API para captura de paquetes libpcap Implementaci´on de pcap para sistemas basados en Unix. wincap Implementaci´on de pcap para sistemas Windows. Programas utilizan esta libreria para la captura de paquetes. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 11 / 18
Herramientas Tcpdump Utiliadad para captura y an´alisis de paquetes. tcpdump -n -i <interfaz> -w <archivo> -n: no resuelva direcciones IP ni puertos. -i interfaz: interfaz a escuchar, por ejemplo eth0 -w archivo: almacernar datos capturados en el archivo. -r archivo: lee paquetes capturados desde el archivo. man tcpdump Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 12 / 18
Herramientas Tcpdump y filtros de paquetes de Berkeley BPF BPF son expresiones para manipular paquetes que se capturan/visualizan con tcpdump. Permite uso mas eficiente, por ejemplo: icmp, udp, tcp {src,dst} host, net {src,dst} port arp Ejemplos: tcpdump -n -r em0.lpc -c 2 tcp tcpdump -n -r sf1.lpc -c 2 tcp and dst port 22 tcpdump -n -r sf1.lpc -c 2 host 172.27.20.3 tcpdump -n -r sf1.lpc -c 2 src host 172.27.20.4 tcpdump -n -r em0.lpc -c 2 src net 10.10.10.0/24 tcpdump -n -r sf1.lpc -c 2 ’icmp[icmptype] = icmp-echo’ Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 13 / 18
Herramientas Wireshark Utilidad gr´afica para la captura y an´alisis de paquetes. Una de las mejores herramientas de software libre para el tratamiento de redes. Se pueden aplicar filtros tcp.dstport == 21. Se pueden reconstruir flujos de sesiones Follow TCP Stream. Estad´ısticas (por ejemplo jerarqu´ıa de protocolos). wireshark -n -r em0.lpc Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 14 / 18
Herramientas Snort Famoso por ser un sistema de detecci´on de intrusiones basado en red pero tambien se puede utilizar para captura y an´alisis de paquetes. Usa reglas para realizar b´usquedas en los paquetes y asi generar alertas (/etc/nsm/sensor1/rules/local.rules). alert tcp any any ->any any (msg:”Solo esta activado SYN”; flags: S; sid: 10001;) Buscamos en paquetes ya capturados: snort -c /etc/nsm/snort/sensor1/snort.conf -b -l . -r sf1.lpc Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 15 / 18
Herramientas Sguil Las herramientas antes mencionadas trabajan de modo independiente, no hay comunicaci´on entre ellas. La filosof´ıa de UNIX se basa en la idea de herramientas que cooperen entre si. Sguil se basa en tal filosof´ıa, por tanto, Sguil es un conjunto de programas de software libre para realizar NSM. Es una aplicaci´on multiplataforma dise˜nada ”por y para analistas” con el objeto de integrar flujos correspondientes de alertas, datos de sesiones, datos de contenido completo en una sola interfaz gr´afica. NSMnow Project. Framework con herramientas para implementar NSM. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 16 / 18
Herramientas Sguil Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 17 / 18
Recursos Recursos Bibliografia The Tao of Network Security Monitoring: Beyond Intrusion Detection, Richard Bejtlich. http://www.taosecurity.com/books.html Enlaces libpcap y tcpdum: http://www.tcpdump.org/ wireshar: http://www.wireshark.org/ snort: http://www.snort.org/ snortid: http://www.snortid.com/ sguil: http://sguil.sourceforge.net/ BPF: http://en.wikipedia.org/wiki/Berkeley Packet Filter NSMnow Project: http://www.securixlive.com/nsmnow/index.php Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 18 / 18

Recomendados

20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralEsteban Saavedra
 
Defensa perimetral
Defensa perimetralDefensa perimetral
Defensa perimetralGonzalo Negrete Montaño
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INFJuan Rao
 
Arquitectura de firewalls
Arquitectura de firewallsArquitectura de firewalls
Arquitectura de firewallsLauraCGP
 
Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesAmanda Sofia
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesmagyta_aleja
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewallJorge Martínez Cerón
 

Recomendados

20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralEsteban Saavedra
 
Defensa perimetral
Defensa perimetralDefensa perimetral
Defensa perimetralGonzalo Negrete Montaño
 
PUNTE SEG INF
PUNTE SEG INFPUNTE SEG INF
PUNTE SEG INFJuan Rao
 
Arquitectura de firewalls
Arquitectura de firewallsArquitectura de firewalls
Arquitectura de firewallsLauraCGP
 
Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesAmanda Sofia
 
Seguridad en Redes
Seguridad en RedesSeguridad en Redes
Seguridad en Redesmagyta_aleja
 
Cortafuegos o firewall
Cortafuegos o firewallCortafuegos o firewall
Cortafuegos o firewallJorge Martínez Cerón
 
Firewall
FirewallFirewall
Firewallmalejazapata
 
Firewall's
Firewall'sFirewall's
Firewall'sCarlos Eduardo Sanchez Martinez
 
Desarrollo fii s3
Desarrollo fii s3Desarrollo fii s3
Desarrollo fii s3svaclaro
 
Capitulo 6
Capitulo 6Capitulo 6
Capitulo 6rancruel027
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadChariito Roc
 
DEVS-TOSSIM
DEVS-TOSSIMDEVS-TOSSIM
DEVS-TOSSIMGuido Marelli
 
Man in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónMan in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónAlejandro Galvez
 
criptografia simetrica
criptografia simetricacriptografia simetrica
criptografia simetricaMexzziv Marquez
 
Prote
ProteProte
ProteFrancisco Ribadas
 
Proyecto de aula
Proyecto de aulaProyecto de aula
Proyecto de aulaAnalisisautentificacion
 
Intrusion Prevention Systems
Intrusion Prevention SystemsIntrusion Prevention Systems
Intrusion Prevention SystemsConferencias FIST
 
Firewalls
FirewallsFirewalls
FirewallsMocho Padierna
 
Proyecto de aula
Proyecto de aulaProyecto de aula
Proyecto de aulaAnalisisautentificacion
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
FIREWALL
FIREWALLFIREWALL
FIREWALLauraparada
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middleTensor
 
informatic
informaticinformatic
informaticandresvasconezpozo
 
Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03svaclaro
 
Firewall (cortafuegos)
Firewall (cortafuegos)Firewall (cortafuegos)
Firewall (cortafuegos)Angel Jesus Guerra
 
WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 

Más contenido relacionado

La actualidad más candente

Desarrollo fii s3
Desarrollo fii s3Desarrollo fii s3
Desarrollo fii s3svaclaro
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridadChariito Roc
 
Man in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónMan in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónAlejandro Galvez
 
Intrusion Prevention Systems
Intrusion Prevention SystemsIntrusion Prevention Systems
Intrusion Prevention SystemsConferencias FIST
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middleTensor
 
Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03svaclaro
 

La actualidad más candente (19)

Firewall
FirewallFirewall
Firewall
 
Firewall's
Firewall'sFirewall's
Firewall's
 
Desarrollo fii s3
Desarrollo fii s3Desarrollo fii s3
Desarrollo fii s3
 
Capitulo 6
Capitulo 6Capitulo 6
Capitulo 6
 
Reporte de seguridad
Reporte de seguridadReporte de seguridad
Reporte de seguridad
 
DEVS-TOSSIM
DEVS-TOSSIMDEVS-TOSSIM
DEVS-TOSSIM
 
Man in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónMan in The Middle, Ataque y Detección
Man in The Middle, Ataque y Detección
 
criptografia simetrica
criptografia simetricacriptografia simetrica
criptografia simetrica
 
Prote
ProteProte
Prote
 
Proyecto de aula
Proyecto de aulaProyecto de aula
Proyecto de aula
 
Intrusion Prevention Systems
Intrusion Prevention SystemsIntrusion Prevention Systems
Intrusion Prevention Systems
 
Firewalls
FirewallsFirewalls
Firewalls
 
Proyecto de aula
Proyecto de aulaProyecto de aula
Proyecto de aula
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de Intrusos
 
FIREWALL
FIREWALLFIREWALL
FIREWALL
 
Ataque man in-the-middle
Ataque man in-the-middleAtaque man in-the-middle
Ataque man in-the-middle
 
informatic
informaticinformatic
informatic
 
Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03
 
Firewall (cortafuegos)
Firewall (cortafuegos)Firewall (cortafuegos)
Firewall (cortafuegos)
 

Destacado

WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressRamón Salado Lucena
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securityseguridadelinux
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Alexander Velasque Rimac
 
Escarbando en el módulo Security de Elastix
Escarbando en el módulo Security de ElastixEscarbando en el módulo Security de Elastix
Escarbando en el módulo Security de ElastixPaloSanto Solutions
 
Security Day 2010 Tecnologías Forefront
Security Day 2010 Tecnologías ForefrontSecurity Day 2010 Tecnologías Forefront
Security Day 2010 Tecnologías ForefrontChema Alonso
 
Infraestructura Tecnológica E-Commerce
Infraestructura Tecnológica E-CommerceInfraestructura Tecnológica E-Commerce
Infraestructura Tecnológica E-Commerceyennydaquaro
 
Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...
Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...
Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...Fernan Díez
 
Lesiones de pares craneales final(1)
Lesiones de pares craneales final(1)Lesiones de pares craneales final(1)
Lesiones de pares craneales final(1)Montserrat It
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaRamón Salado Lucena
 

Destacado (11)

WordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPressWordCamp Taller Seguridad WordPress
WordCamp Taller Seguridad WordPress
 
Seguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_securitySeguridad en servidores WEB. Modulo mod_security
Seguridad en servidores WEB. Modulo mod_security
 
Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)Itsec (information technology security evaluation criteria)
Itsec (information technology security evaluation criteria)
 
Escarbando en el módulo Security de Elastix
Escarbando en el módulo Security de ElastixEscarbando en el módulo Security de Elastix
Escarbando en el módulo Security de Elastix
 
Spring Security
Spring SecuritySpring Security
Spring Security
 
Pruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open SourcePruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open Source
 
Security Day 2010 Tecnologías Forefront
Security Day 2010 Tecnologías ForefrontSecurity Day 2010 Tecnologías Forefront
Security Day 2010 Tecnologías Forefront
 
Infraestructura Tecnológica E-Commerce
Infraestructura Tecnológica E-CommerceInfraestructura Tecnológica E-Commerce
Infraestructura Tecnológica E-Commerce
 
Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...
Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...
Checklist antidesastres antes de lanzar tu sitio web en WordPress - WordCamp ...
 
Lesiones de pares craneales final(1)
Lesiones de pares craneales final(1)Lesiones de pares craneales final(1)
Lesiones de pares craneales final(1)
 
Top 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers SevillaTop 10 IoT OWASP, Hack&Beers Sevilla
Top 10 IoT OWASP, Hack&Beers Sevilla
 

Similar a NSM Network Security Monitoring Herramientas Software Libre de detección y prevención

Honeypots
HoneypotsHoneypots
Honeypotsfel1118
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónAdonys Maceo
 
Guia de redireccionamiento en ubuntu
Guia de redireccionamiento en ubuntuGuia de redireccionamiento en ubuntu
Guia de redireccionamiento en ubuntuPatoMC
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalwareEventos Creativos
 
Presentacion castellano antivirus
Presentacion castellano antivirusPresentacion castellano antivirus
Presentacion castellano antivirusArmando Rodriguez
 
Honeypots monitorizando a_los_atacantes
Honeypots monitorizando a_los_atacantesHoneypots monitorizando a_los_atacantes
Honeypots monitorizando a_los_atacantesÐanilo Vargas
 
Proyecto
ProyectoProyecto
Proyecto1smr07
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicaspinerosca
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaJose Quiroz
 

Similar a NSM Network Security Monitoring Herramientas Software Libre de detección y prevención (20)

Honeypots
HoneypotsHoneypots
Honeypots
 
Herramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de direcciónHerramientas para la seguridad informática, un problema de dirección
Herramientas para la seguridad informática, un problema de dirección
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Guia de redireccionamiento en ubuntu
Guia de redireccionamiento en ubuntuGuia de redireccionamiento en ubuntu
Guia de redireccionamiento en ubuntu
 
Evolución de las soluciones antimalware
Evolución de las soluciones antimalwareEvolución de las soluciones antimalware
Evolución de las soluciones antimalware
 
Honeynet
HoneynetHoneynet
Honeynet
 
Analaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonsoAnalaisis de malwatre trickbot - mp alonso
Analaisis de malwatre trickbot - mp alonso
 
Presentacion castellano antivirus
Presentacion castellano antivirusPresentacion castellano antivirus
Presentacion castellano antivirus
 
Segurida de redes
Segurida de redesSegurida de redes
Segurida de redes
 
Honeypots monitorizando a_los_atacantes
Honeypots monitorizando a_los_atacantesHoneypots monitorizando a_los_atacantes
Honeypots monitorizando a_los_atacantes
 
Proyecto
ProyectoProyecto
Proyecto
 
OSSIM
OSSIMOSSIM
OSSIM
 
HoneyNet
HoneyNetHoneyNet
HoneyNet
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informática
 
Sim Utpl
Sim UtplSim Utpl
Sim Utpl
 

Más de Alejandro Valdes Jimenez

VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redVLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redAlejandro Valdes Jimenez
 
GNS3 Una Herramienta para Simulación de Redes de o Datos
GNS3 Una Herramienta para Simulación de Redes de o DatosGNS3 Una Herramienta para Simulación de Redes de o Datos
GNS3 Una Herramienta para Simulación de Redes de o DatosAlejandro Valdes Jimenez
 
Generación de documentos de calidad con LATEX
Generación de documentos de calidad con LATEXGeneración de documentos de calidad con LATEX
Generación de documentos de calidad con LATEXAlejandro Valdes Jimenez
 
PSeInt Una Heramienta de apoyo para el Diseño de Algoritmos
PSeInt Una Heramienta de apoyo para el Diseño de AlgoritmosPSeInt Una Heramienta de apoyo para el Diseño de Algoritmos
PSeInt Una Heramienta de apoyo para el Diseño de AlgoritmosAlejandro Valdes Jimenez
 
802.1x + FreeRADIUS + OpenLDAP + Virtualización
802.1x + FreeRADIUS + OpenLDAP + Virtualización802.1x + FreeRADIUS + OpenLDAP + Virtualización
802.1x + FreeRADIUS + OpenLDAP + VirtualizaciónAlejandro Valdes Jimenez
 

Más de Alejandro Valdes Jimenez (7)

VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la redVLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
VLAN - Virtual LAN Mejorando la seguridad y rendimiento de la red
 
GNS3 Una Herramienta para Simulación de Redes de o Datos
GNS3 Una Herramienta para Simulación de Redes de o DatosGNS3 Una Herramienta para Simulación de Redes de o Datos
GNS3 Una Herramienta para Simulación de Redes de o Datos
 
Generación de documentos de calidad con LATEX
Generación de documentos de calidad con LATEXGeneración de documentos de calidad con LATEX
Generación de documentos de calidad con LATEX
 
LTSP - Linux Terminal Server Project
LTSP - Linux Terminal Server ProjectLTSP - Linux Terminal Server Project
LTSP - Linux Terminal Server Project
 
PSeInt Una Heramienta de apoyo para el Diseño de Algoritmos
PSeInt Una Heramienta de apoyo para el Diseño de AlgoritmosPSeInt Una Heramienta de apoyo para el Diseño de Algoritmos
PSeInt Una Heramienta de apoyo para el Diseño de Algoritmos
 
Desarrollo de Aplicaciones en GNOME
Desarrollo de Aplicaciones en GNOMEDesarrollo de Aplicaciones en GNOME
Desarrollo de Aplicaciones en GNOME
 
802.1x + FreeRADIUS + OpenLDAP + Virtualización
802.1x + FreeRADIUS + OpenLDAP + Virtualización802.1x + FreeRADIUS + OpenLDAP + Virtualización
802.1x + FreeRADIUS + OpenLDAP + Virtualización
 

NSM Network Security Monitoring Herramientas Software Libre de detección y prevención

  • 1. NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on. Alejandro Vald´es Jimenez avaldes@utalca.cl DSL 2010 September 21, 2010 Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 1 / 18
  • 2. Agenda 1 NSM Monitorizaci´on de Seguridad de Redes 2 Principios de seguridad 3 Ejemplo de red 4 Herramientas 5 Recursos Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 2 / 18
  • 3. NSM Monitorizaci´on de Seguridad de Redes NSM Monitorizaci´on de Seguridad de Redes Es un modelo de operaciones de seguridad que hace uso de herramientas y t´ecnicas para la recolecci´on, an´alisis y notificaci´on de indicaciones y advertencias, de manera de poder detectar intrusiones y poder responder a ellas. Los indicadores corresponden a las alertas generadas por el software de detecci´on. Las advertencias son los resultados de la interpretaci´on de los indicadores (alertas). Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 3 / 18
  • 4. Principios de seguridad Las fases de un compromiso Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 4 / 18
  • 5. Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Reconocimiento validar conectividad, enumerar servicios y buscar aplicaciones vulnerables. escaneo de puertos. reconocimiento de sistemas operativos, versiones de softwares, etc. Explotaci´on abusar de los servicios de un blanco y/o da˜narlos. implica hacer uso uso ileg´ıtimo de un modo leg´ıtimo. explotaci´on es a trav´es de protocolos correctos (telnet, ssh, ftp, http, etc). Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 5 / 18
  • 6. Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Refuerzo aprovecha acceso inicial con objeto de ganar capacidades adicionales. algunas explotaciones producen inmediatamente privilegios de root, mientras otros solo a nivel de usuario. intrusos recuperan e instalan herramientas empleando quiz´a FTP, TFTP, SCP, etc. instalaci´on de puertas traseras (back doors) para comunicarse con el mundo exterior. Consolidaci´on intruso se comunica con el blanco a trav´es de la puerta trasera. la puerta trasera puede adoptar la forma de un servicio a la escucha. la puerta trasera se puede conectar a la IP del intruso. en esta fase, el intruso tiene control completo del blanco. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 6 / 18
  • 7. Principios de seguridad Las fases de un compromiso Si deseamos detectar intrusiones, debemos comprender las acciones necesarias para comprometer un blanco. Pillaje es la ejecuci´on del plan final del intruso, podr´ıa implicar: robo de informaci´on privada. contruir una base para realizar ataques mas profundos dentro de la organizaci´on. o cualquir otra cosa que desee el intruso. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 7 / 18
  • 8. Principios de seguridad Las fases de un compromiso Defensores tienen la oportunidad para detectar a los intrusos que se comunican con los blancos durante las 5 fases anteriores. Es probable que el intruso proporcione alg´un tipo de evidencia basada en la red que merecer´a la pena investigar. En esta tarea, se utilizan una serie de herramientas para soportar el modelo de NSM. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 8 / 18
  • 9. Ejemplo de red Ejemplo de red Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 9 / 18
  • 10. Ejemplo de red Ejemplo de red con Sensores Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 10 / 18
  • 11. Herramientas Libpcap pcap API para captura de paquetes libpcap Implementaci´on de pcap para sistemas basados en Unix. wincap Implementaci´on de pcap para sistemas Windows. Programas utilizan esta libreria para la captura de paquetes. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 11 / 18
  • 12. Herramientas Tcpdump Utiliadad para captura y an´alisis de paquetes. tcpdump -n -i <interfaz> -w <archivo> -n: no resuelva direcciones IP ni puertos. -i interfaz: interfaz a escuchar, por ejemplo eth0 -w archivo: almacernar datos capturados en el archivo. -r archivo: lee paquetes capturados desde el archivo. man tcpdump Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 12 / 18
  • 13. Herramientas Tcpdump y filtros de paquetes de Berkeley BPF BPF son expresiones para manipular paquetes que se capturan/visualizan con tcpdump. Permite uso mas eficiente, por ejemplo: icmp, udp, tcp {src,dst} host, net {src,dst} port arp Ejemplos: tcpdump -n -r em0.lpc -c 2 tcp tcpdump -n -r sf1.lpc -c 2 tcp and dst port 22 tcpdump -n -r sf1.lpc -c 2 host 172.27.20.3 tcpdump -n -r sf1.lpc -c 2 src host 172.27.20.4 tcpdump -n -r em0.lpc -c 2 src net 10.10.10.0/24 tcpdump -n -r sf1.lpc -c 2 ’icmp[icmptype] = icmp-echo’ Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 13 / 18
  • 14. Herramientas Wireshark Utilidad gr´afica para la captura y an´alisis de paquetes. Una de las mejores herramientas de software libre para el tratamiento de redes. Se pueden aplicar filtros tcp.dstport == 21. Se pueden reconstruir flujos de sesiones Follow TCP Stream. Estad´ısticas (por ejemplo jerarqu´ıa de protocolos). wireshark -n -r em0.lpc Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 14 / 18
  • 15. Herramientas Snort Famoso por ser un sistema de detecci´on de intrusiones basado en red pero tambien se puede utilizar para captura y an´alisis de paquetes. Usa reglas para realizar b´usquedas en los paquetes y asi generar alertas (/etc/nsm/sensor1/rules/local.rules). alert tcp any any ->any any (msg:”Solo esta activado SYN”; flags: S; sid: 10001;) Buscamos en paquetes ya capturados: snort -c /etc/nsm/snort/sensor1/snort.conf -b -l . -r sf1.lpc Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 15 / 18
  • 16. Herramientas Sguil Las herramientas antes mencionadas trabajan de modo independiente, no hay comunicaci´on entre ellas. La filosof´ıa de UNIX se basa en la idea de herramientas que cooperen entre si. Sguil se basa en tal filosof´ıa, por tanto, Sguil es un conjunto de programas de software libre para realizar NSM. Es una aplicaci´on multiplataforma dise˜nada ”por y para analistas” con el objeto de integrar flujos correspondientes de alertas, datos de sesiones, datos de contenido completo en una sola interfaz gr´afica. NSMnow Project. Framework con herramientas para implementar NSM. Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 16 / 18
  • 17. Herramientas Sguil Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 17 / 18
  • 18. Recursos Recursos Bibliografia The Tao of Network Security Monitoring: Beyond Intrusion Detection, Richard Bejtlich. http://www.taosecurity.com/books.html Enlaces libpcap y tcpdum: http://www.tcpdump.org/ wireshar: http://www.wireshark.org/ snort: http://www.snort.org/ snortid: http://www.snortid.com/ sguil: http://sguil.sourceforge.net/ BPF: http://en.wikipedia.org/wiki/Berkeley Packet Filter NSMnow Project: http://www.securixlive.com/nsmnow/index.php Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 18 / 18