Tema 4. Detección de Intrusos

1.382 visualizaciones

Publicado el

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.382
En SlideShare
0
De insertados
0
Número de insertados
22
Acciones
Compartido
0
Descargas
116
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Tema 4. Detección de Intrusos

  1. 1. Tema 4. Detecci´on de Instrusos Tema 4. Detecci´on de Instrusos Seguridad en Inform´atica 2 Francisco Medina L´opez Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2014-2
  2. 2. Tema 4. Detecci´on de Instrusos Agenda 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  3. 3. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos 1 Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  4. 4. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos 1 Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  5. 5. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos ¿Qu´e es una intrusi´on? Definici´on Secuencia de eventos relacionados que deliberadamente tratan de causar da˜no, como hacer un sistema indisponible, acceder a informaci´on no autorizada o manipular dicha informaci´on. Esta definici´on aplica tanto para intentos fallidos, como para los exitosos
  6. 6. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos ¿Qu´e son los Sistemas de Detecci´on de Intrusos? Detecci´on de Intrusos Proceso de vigilar y analizar eventos que ocurren en un sistema de c´omputo o red para buscar signos que indiquen problemas de seguridad (violaciones a pol´ıticas). Sistema de Detecci´on de Intrusos Herramientas, m´etodos y recursos que ayudan a detectar, identificar y reportar actividad no autorizada en un servidor o una red. Los sistemas: Ejecutan funciones de centinela Alertan y activan alarmas a partes responsables cuando ocurren actos de inter´es Los IDS’s realmente no detectan intrusos, detectan tr´afico en la red que puede o no, ser una intrusi´on
  7. 7. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos Funciones de un IDS Registrar indicadores de actividad de intrusos . Activar las alertas correspondientes. Puede buscar ataques provenientes de fuera de la red. Monitorear las actividades desde la red interna . Algunos IDS’s tambi´en buscan actividades an´omalas. Requiere configuraci´on adaptada a peculiaridades de la red que se busca defender. El IDS puede tomar acciones autom´aticas cuando ocurren ciertas condiciones. Ejemplo: enviar mensaje de radio al administrador del sistema. Muchos IDS’s pueden configurarse para atacar autom´aticamente a los sospechosos. Otros se optimizan para recoger informaci´on para an´alisis forense en tiempo real.
  8. 8. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos Proceso b´asico de detecci´on de intrusos Intrusion Detection & Prevention, Carl Endorf, Eugene.
  9. 9. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes 1 Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  10. 10. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes http://wiki.hill.com/wiki/index.php?title= Intrusion_detection_system Fuente de Datos Proporciona el flujo de registros de eventos Motor de An´alisis Encuentra indicadores de intrusi´on Componente de Respuestas Genera reacciones basadas en el resultado arrojado por el motor de an´alisis
  11. 11. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes Fuente de Datos del IDS Cuatro tipos Host Red Aplicaci´on Objetivo El “monitor” o sensor: Recolecta informaci´on de una fuente de datos y la pasa al motor de an´alisis
  12. 12. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes Fuente de Datos del IDS (2) Monitores basados en host Recogen datos de fuentes internas a una computadora (usual: nivel de S.O.) Estas fuentes pueden incluir registros de auditor´ıa del S.O. y bit´acoras del mismo Monitores basados en red Recogen paquetes que pasan por la red Frecuente: uso de dispositivos de red configurados en modo promiscuo
  13. 13. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes Fuente de Datos del IDS (3) Monitores basados en aplicaciones Obtienen informaci´on de aplicaciones en ejecuci´on Las fuentes son bit´acoras de aplicaciones y otros registros internos de ellas Monitores basados en objetivo Generan sus propios datos Usan criptograf´ıa de hash para detectar alteraciones a objetos del sistema Comparan alteraciones con una pol´ıtica
  14. 14. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes Motor de An´alisis Definidas las fuentes de informaci´on, se debe determinar el “motor de b´usqueda” Este toma informaci´on de las fuentes y la examina para detectar s´ıntomas de ataques o violaciones a la pol´ıtica de seguridad. Mayor´ıa de casos: se recurre a tres tipos de an´alisis: Detecci´on basada en Firmas Detecci´on basada en Anomal´ıas Mezcla de los dos
  15. 15. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes Motor de An´alisis (2) Detecci´on de Abusos: Se busca ocurrencia de algo definido como “malo” Para ello, se filtran eventos buscando patrones de actividad coincidentes con ataques o violaci´on a pol´ıtica de seguridad Usa t´ecnicas de coincidencia de patrones General: sistemas comerciales usan esta t´ecnica Detecci´on de Anomal´ıas: Se busca algo raro o inusual Se analizan eventos del sistema usando t´ecnicas estad´ısticas Para hallar patrones de actividad aparentemente anormales Mixto Detecci´on de anomal´ıas permite identificar ataques nuevos o desconocidos Detecci´on de abusos protege contra ataques conocidos
  16. 16. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes Motor de An´alisis (3)
  17. 17. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Componentes Respuestas Identificada la ocurrencia, el IDS debe determinar la acci´on a ejecutar No limitada a acci´on contra sospechoso: disparar alarmas de diferentes tipos Se pueden incluir mensajes a consola del administrador de la red Env´ıo de mensaje al localizador del administrador Otra respuesta es modificar el IDS o el sistema vigilado Modificaci´on en IDS puede incluir cambio en el tipo de an´alisis que se hace En el caso de los sistemas vigilados: Cambios en configuraci´on Modificaciones a privilegios de acceso Respuesta com´un: Registrar resultados del an´alisis en bit´acora usada para generar reportes
  18. 18. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Caracter´ısticas 1 Introducci´on a la Detecci´on de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  19. 19. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Caracter´ısticas Caracter´ısticas deseables en IDS’s Efectividad: Requerimiento m´as importante: IDS’s deben detectar de forma exacta y consistente los ataques, o patrones definidos Facilidad de uso: Expertos en seguridad dif´ıciles y caros Necesario manejo por no expertos en seguridad Adaptabilidad: IDS debe adaptarse a diferentes plataformas, ambientes y pol´ıticas Mayor´ıa de ambientes no son homog´eneos IDS capaz de entender entradas de otros sistemas
  20. 20. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Caracter´ısticas Caracter´ısticas deseables en IDS’s (2) Robustez: IDS suficientemente confiable Tener mecanismos redundantes y caracter´ısticas que permitan operar en caso de fallas Rapidez: Ser capaz de ejecutar vigilancia Reportar eventos en momento de ocurrencia Eficiencia: Uso ´optimo de recursos de c´omputo, almacenamiento, y ancho de banda Afectaci´on m´ınima al desempe˜no del sistema vigilado
  21. 21. Tema 4. Detecci´on de Instrusos Introducci´on a la Detecci´on de Intrusos Caracter´ısticas Caracter´ısticas deseables en IDS’s (3) Seguridad: Contar con caracter´ısticas que eviten utilizaci´on por personal no autorizado Escalabilidad: Componentes con interfaces est´andar bien documentadas Estas interfases deben soportar los mecanismos de autenticaci´on apropiados. Equilibrio: Permitir a usuarios mantener balance entre necesidades de administraci´on y de seguridad
  22. 22. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red Introducci´on Problem´atica Ejemplos 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  23. 23. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Introducci´on 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red Introducci´on Problem´atica Ejemplos 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  24. 24. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Introducci´on Definici´on NIDS Network Intrusion Detecction System, son un conjunto de herramientas, m´etodos y recursos que ayudan a detectar, identificar y reportar actividad no autorizada en una red.
  25. 25. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Introducci´on Fuente de Datos Port mirroring (spanning): Copias de los paquetes de entrada y salida son enviados a un puerto especial donde pueden ser analizados. Network taps: Dispositivos que son colocados en el medio f´ısico por donde pasa el tr´afico.
  26. 26. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Problem´atica 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red Introducci´on Problem´atica Ejemplos 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  27. 27. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Problem´atica Desventajas con IDS’s en basados en red Velocidad del canal No pueden hacer frente a todo el volumen de datos que fluye en la red En ambientes con switches: IDS debe colocarse de tal modo que la carga pase por un puerto de escucha Cifrado Ning´un IDS puede revisar paquetes cifrados, porque no tiene las llaves. Esto permite perpetrar ataques ocultos en conexiones cifradas
  28. 28. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Ejemplos 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red Introducci´on Problem´atica Ejemplos 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS
  29. 29. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Ejemplos Algunos IDS’s basados en red Snort NIKSUN NetDetector Sax2 IBM Proventia Network Intrusion Prevention System (IPS) Bro Cisco Secure IDS (NetRanger) Cyclops Shoki SecureNet IDS/IPS SecurityMetrics Enterasys Intrusion Prevention System Juniper Networks ISG Series Integrated Security Gateway http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html
  30. 30. Tema 4. Detecci´on de Instrusos Sistemas de Prevenci´on de Intrusiones 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones Introducci´on Ejemplos 4 Snort como IDS/IPS
  31. 31. Tema 4. Detecci´on de Instrusos Sistemas de Prevenci´on de Intrusiones Introducci´on 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones Introducci´on Ejemplos 4 Snort como IDS/IPS
  32. 32. Tema 4. Detecci´on de Instrusos Sistemas de Prevenci´on de Intrusiones Introducci´on Definici´on IPS Intrusion Prevention System, son un conjunto de herramientas, m´etodos y recursos que ayudan a monitorear la actividad de una red esperando la ocurrencia de alg´un evento y ejecutando una acci´on basada en reglas predefinidas cuando este sucede. Se consideran la evoluci´on de los IDS’s
  33. 33. Tema 4. Detecci´on de Instrusos Sistemas de Prevenci´on de Intrusiones Ejemplos 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones Introducci´on Ejemplos 4 Snort como IDS/IPS
  34. 34. Tema 4. Detecci´on de Instrusos Sistemas de Prevenci´on de Intrusiones Ejemplos Algunos IDS’s basados en red McAfee Network Security Manager APSolute Immunity IPS-1 Strata Guard Juniper NetScreen SecureNet IDS/IPS Enterasys Intrusion Prevention System http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html
  35. 35. Tema 4. Detecci´on de Instrusos Sistemas de Prevenci´on de Intrusiones Ejemplos Magic Quadrant for Intrusion Prevention Systems Gartner, S.A.. es un proyecto de investigaci´on de tecnolog´ıa de la informaci´on y de firma consultiva con sede en Stamford, Connecticut, Estados Unidos. Se conoc´ıan como el Grupo Gartner hasta 2001.a a http://www.gartner.com/
  36. 36. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS Introducci´on Instalaci´on y Configuraci´on de Snort
  37. 37. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS Introducci´on Instalaci´on y Configuraci´on de Snort
  38. 38. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Definici´on Snort Es un IDS / IPS liberado bajo la licencia de GPL desarrollado por la empresa Sourcefire. Uiliza tanto la detecci´on basada en firmas como anomal´ıas.
  39. 39. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Caracter´ısticas Disponible bajo licencia GPL. Funciona bajo plataformas Windows, GNU/Linux y Mac OS. Muestra
  40. 40. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Historia Snort fue desarrollado en 1998 bajo el nombre de APE por Marty Roesch. Empez´o a distribuirse a trav´es del sitio http://packetstormsecurity.com/ En Diciembre de 1999 se libera la versi´on 1.5 con una nueva arquitectura basada en plug-ins
  41. 41. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Arquitectura de Snort 1 M´odulo de captura del tr´afico. 2 Decodificador. 3 Preprocesadores 4 Motor de Detecci´on. 5 Archivo de Reglas. 6 Plugins de detecci´on. 7 Plugins de salida.
  42. 42. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Categor´ıas de reglas Snort 1 Reglas de Protocolo: Son dependientes del protocolo que se est´a analizando, por ejemplo en el protocolo http est´a la palabra reservada uricontent. 2 Reglas de Contenido Gen´ericas: Permiten especificar patrones para buscar en el campo de datos del paquete, los patrones de b´usqueda pueden ser binarios o en modo ASCII, esto es muy ´util para buscar exploits los cuales suelen terminar en cadenas de tipo “/bin/sh”.
  43. 43. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Categor´ıas de reglas Snort (2) 3 Reglas de Paquetes Malformados: Especifican caracter´ısticas sobre los paquetes, concretamente sobre sus cabeceras las cuales indican que se est´a produciendo alg´un tipo de anomal´ıa, este tipo de reglas no miran en el contenido ya que primero se comprueban las cabeceras en busca de incoherencias u otro tipo de anomal´ıa. 4 Reglas IP: Se aplican directamente sobre la capa IP, y son comprobadas para cada datagrama IP, si el datagrama luego es Tcp, Udp o Icmp se realizar´a un an´alisis del datagrama con su correspondiente capa de protocolo, este tipo de reglas analiza con contenido y sin ´el.
  44. 44. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Evaluaci´on de reglas en Snort A5 – Detecci´on de ataques en red con Snort, Joaqu´ın Garc´ıa Alfaro, P.10
  45. 45. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Instalaci´on y Configuraci´on de Snort 1 Introducci´on a la Detecci´on de Intrusos 2 Sistemas de Detecci´on de Intrusos en Red 3 Sistemas de Prevenci´on de Intrusiones 4 Snort como IDS/IPS Introducci´on Instalaci´on y Configuraci´on de Snort
  46. 46. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Instalaci´on y Configuraci´on de Snort Instalaci´on de Snort en Kali Linux Para realizar la instalaci´on de snort sobre Kali Linux ejecutar el siguiente comando: apt-get -y install snort
  47. 47. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Instalaci´on y Configuraci´on de Snort Configuraci´on de Snort en Kali Linux El primer paso en la configuraci´on de Snort, es establecer la interfaz de red que vamos a utilizar como sensor.
  48. 48. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Instalaci´on y Configuraci´on de Snort Configuraci´on de Snort en Kali Linux (2) Indicar la direcci´on IP del equipo o el bloque de red a analizar.
  49. 49. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Instalaci´on y Configuraci´on de Snort Inicio de Snort Para iniciar Snort en modo consola usar el comando: snort -q -A console -i eth1 -c /etc/snort/snort.conf Para iniciar Snort como daemon usar el comando: service snort start Utilizar el comando tail para monitorear los resultados en tiempo real tail -f /var/log/snort/alert.log
  50. 50. Tema 4. Detecci´on de Instrusos Conclusiones Conclusiones Un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. IDS es solo una parte de las herramientas de seguridad, no debe considerarse como una contramedida por si solo.
  51. 51. Tema 4. Detecci´on de Instrusos Referencias bibliogr´aficas Referencias bibliogr´aficas I Andrew Williams. Snort Intrusion Detection and Prevention Toolkit(2007) Carl Endorf, Eugene Schultz y Jim Mellander Intrusion Detection & Prevention (2004)

×