Tema 4. Detección de Intrusos

1. Tema 4. Detección de Instrusos Tema 4. Detección de Instrusos Seguridad en Informática 2 Francisco Medina López Facultad de Contadur´ıa y Administración Universidad Nacional Autónoma de México 2014-2

2. Tema 4. Detección de Instrusos Agenda 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

3. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos 1 Introducción a la Detección de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

4. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Definiciones y Conceptos 1 Introducción a la Detección de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

5. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Definiciones y Conceptos ¿Qué es una intrusión? Definición Secuencia de eventos relacionados que deliberadamente tratan de causar daño, como hacer un sistema indisponible, acceder a información no autorizada o manipular dicha información. Esta definición aplica tanto para intentos fallidos, como para los exitosos

6. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Definiciones y Conceptos ¿Qué son los Sistemas de Detección de Intrusos? Detección de Intrusos Proceso de vigilar y analizar eventos que ocurren en un sistema de cómputo o red para buscar signos que indiquen problemas de seguridad (violaciones a pol´ıticas). Sistema de Detección de Intrusos Herramientas, métodos y recursos que ayudan a detectar, identificar y reportar actividad no autorizada en un servidor o una red. Los sistemas: Ejecutan funciones de centinela Alertan y activan alarmas a partes responsables cuando ocurren actos de interés Los IDS’s realmente no detectan intrusos, detectan tráfico en la red que puede o no, ser una intrusión

7. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Definiciones y Conceptos Funciones de un IDS Registrar indicadores de actividad de intrusos . Activar las alertas correspondientes. Puede buscar ataques provenientes de fuera de la red. Monitorear las actividades desde la red interna . Algunos IDS’s también buscan actividades anómalas. Requiere configuración adaptada a peculiaridades de la red que se busca defender. El IDS puede tomar acciones automáticas cuando ocurren ciertas condiciones. Ejemplo: enviar mensaje de radio al administrador del sistema. Muchos IDS’s pueden configurarse para atacar automáticamente a los sospechosos. Otros se optimizan para recoger información para análisis forense en tiempo real.

8. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Definiciones y Conceptos Proceso básico de detección de intrusos Intrusion Detection & Prevention, Carl Endorf, Eugene.

9. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes 1 Introducción a la Detección de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

10. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes http://wiki.hill.com/wiki/index.php?title= Intrusion_detection_system Fuente de Datos Proporciona el flujo de registros de eventos Motor de Análisis Encuentra indicadores de intrusión Componente de Respuestas Genera reacciones basadas en el resultado arrojado por el motor de análisis

11. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes Fuente de Datos del IDS Cuatro tipos Host Red Aplicación Objetivo El “monitor” o sensor: Recolecta información de una fuente de datos y la pasa al motor de análisis

12. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes Fuente de Datos del IDS (2) Monitores basados en host Recogen datos de fuentes internas a una computadora (usual: nivel de S.O.) Estas fuentes pueden incluir registros de auditor´ıa del S.O. y bitácoras del mismo Monitores basados en red Recogen paquetes que pasan por la red Frecuente: uso de dispositivos de red configurados en modo promiscuo

13. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes Fuente de Datos del IDS (3) Monitores basados en aplicaciones Obtienen información de aplicaciones en ejecución Las fuentes son bitácoras de aplicaciones y otros registros internos de ellas Monitores basados en objetivo Generan sus propios datos Usan criptograf´ıa de hash para detectar alteraciones a objetos del sistema Comparan alteraciones con una pol´ıtica

14. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes Motor de Análisis Definidas las fuentes de información, se debe determinar el “motor de búsqueda” Este toma información de las fuentes y la examina para detectar s´ıntomas de ataques o violaciones a la pol´ıtica de seguridad. Mayor´ıa de casos: se recurre a tres tipos de análisis: Detección basada en Firmas Detección basada en Anomal´ıas Mezcla de los dos

15. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes Motor de Análisis (2) Detección de Abusos: Se busca ocurrencia de algo definido como “malo” Para ello, se filtran eventos buscando patrones de actividad coincidentes con ataques o violación a pol´ıtica de seguridad Usa técnicas de coincidencia de patrones General: sistemas comerciales usan esta técnica Detección de Anomal´ıas: Se busca algo raro o inusual Se analizan eventos del sistema usando técnicas estad´ısticas Para hallar patrones de actividad aparentemente anormales Mixto Detección de anomal´ıas permite identificar ataques nuevos o desconocidos Detección de abusos protege contra ataques conocidos

16. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes Motor de Análisis (3)

17. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Componentes Respuestas Identificada la ocurrencia, el IDS debe determinar la acción a ejecutar No limitada a acción contra sospechoso: disparar alarmas de diferentes tipos Se pueden incluir mensajes a consola del administrador de la red Env´ıo de mensaje al localizador del administrador Otra respuesta es modificar el IDS o el sistema vigilado Modificación en IDS puede incluir cambio en el tipo de análisis que se hace En el caso de los sistemas vigilados: Cambios en configuración Modificaciones a privilegios de acceso Respuesta común: Registrar resultados del análisis en bitácora usada para generar reportes

18. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Caracter´ısticas 1 Introducción a la Detección de Intrusos Definiciones y Conceptos Componentes Caracter´ısticas 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

19. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Caracter´ısticas Caracter´ısticas deseables en IDS’s Efectividad: Requerimiento más importante: IDS’s deben detectar de forma exacta y consistente los ataques, o patrones definidos Facilidad de uso: Expertos en seguridad dif´ıciles y caros Necesario manejo por no expertos en seguridad Adaptabilidad: IDS debe adaptarse a diferentes plataformas, ambientes y pol´ıticas Mayor´ıa de ambientes no son homogéneos IDS capaz de entender entradas de otros sistemas

20. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Caracter´ısticas Caracter´ısticas deseables en IDS’s (2) Robustez: IDS suficientemente confiable Tener mecanismos redundantes y caracter´ısticas que permitan operar en caso de fallas Rapidez: Ser capaz de ejecutar vigilancia Reportar eventos en momento de ocurrencia Eficiencia: Uso óptimo de recursos de cómputo, almacenamiento, y ancho de banda Afectación m´ınima al desempeño del sistema vigilado

21. Tema 4. Detección de Instrusos Introducción a la Detección de Intrusos Caracter´ısticas Caracter´ısticas deseables en IDS’s (3) Seguridad: Contar con caracter´ısticas que eviten utilización por personal no autorizado Escalabilidad: Componentes con interfaces estándar bien documentadas Estas interfases deben soportar los mecanismos de autenticación apropiados. Equilibrio: Permitir a usuarios mantener balance entre necesidades de administración y de seguridad

22. Tema 4. Detección de Instrusos Sistemas de Detección de Intrusos en Red 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red Introducción Problemática Ejemplos 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

23. Tema 4. Detección de Instrusos Sistemas de Detección de Intrusos en Red Introducción 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red Introducción Problemática Ejemplos 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

24. Tema 4. Detección de Instrusos Sistemas de Detección de Intrusos en Red Introducción Definición NIDS Network Intrusion Detecction System, son un conjunto de herramientas, métodos y recursos que ayudan a detectar, identificar y reportar actividad no autorizada en una red.

25. Tema 4. Detección de Instrusos Sistemas de Detección de Intrusos en Red Introducción Fuente de Datos Port mirroring (spanning): Copias de los paquetes de entrada y salida son enviados a un puerto especial donde pueden ser analizados. Network taps: Dispositivos que son colocados en el medio f´ısico por donde pasa el tráfico.

26. Tema 4. Detección de Instrusos Sistemas de Detección de Intrusos en Red Problemática 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red Introducción Problemática Ejemplos 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

27. Tema 4. Detección de Instrusos Sistemas de Detección de Intrusos en Red Problemática Desventajas con IDS’s en basados en red Velocidad del canal No pueden hacer frente a todo el volumen de datos que fluye en la red En ambientes con switches: IDS debe colocarse de tal modo que la carga pase por un puerto de escucha Cifrado Ningún IDS puede revisar paquetes cifrados, porque no tiene las llaves. Esto permite perpetrar ataques ocultos en conexiones cifradas

28. Tema 4. Detección de Instrusos Sistemas de Detección de Intrusos en Red Ejemplos 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red Introducción Problemática Ejemplos 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS

29. Tema 4. Detecci´on de Instrusos Sistemas de Detecci´on de Intrusos en Red Ejemplos Algunos IDS’s basados en red Snort NIKSUN NetDetector Sax2 IBM Proventia Network Intrusion Prevention System (IPS) Bro Cisco Secure IDS (NetRanger) Cyclops Shoki SecureNet IDS/IPS SecurityMetrics Enterasys Intrusion Prevention System Juniper Networks ISG Series Integrated Security Gateway http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html

30. Tema 4. Detección de Instrusos Sistemas de Prevención de Intrusiones 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones Introducción Ejemplos 4 Snort como IDS/IPS

31. Tema 4. Detección de Instrusos Sistemas de Prevención de Intrusiones Introducción 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones Introducción Ejemplos 4 Snort como IDS/IPS

32. Tema 4. Detección de Instrusos Sistemas de Prevención de Intrusiones Introducción Definición IPS Intrusion Prevention System, son un conjunto de herramientas, métodos y recursos que ayudan a monitorear la actividad de una red esperando la ocurrencia de algún evento y ejecutando una acción basada en reglas predefinidas cuando este sucede. Se consideran la evolución de los IDS’s

33. Tema 4. Detección de Instrusos Sistemas de Prevención de Intrusiones Ejemplos 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones Introducción Ejemplos 4 Snort como IDS/IPS

34. Tema 4. Detecci´on de Instrusos Sistemas de Prevenci´on de Intrusiones Ejemplos Algunos IDS’s basados en red McAfee Network Security Manager APSolute Immunity IPS-1 Strata Guard Juniper NetScreen SecureNet IDS/IPS Enterasys Intrusion Prevention System http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html

35. Tema 4. Detección de Instrusos Sistemas de Prevención de Intrusiones Ejemplos Magic Quadrant for Intrusion Prevention Systems Gartner, S.A.. es un proyecto de investigación de tecnolog´ıa de la información y de firma consultiva con sede en Stamford, Connecticut, Estados Unidos. Se conoc´ıan como el Grupo Gartner hasta 2001.a a http://www.gartner.com/

36. Tema 4. Detección de Instrusos Snort como IDS/IPS 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS Introducción Instalación y Configuración de Snort

37. Tema 4. Detección de Instrusos Snort como IDS/IPS Introducción 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS Introducción Instalación y Configuración de Snort

38. Tema 4. Detección de Instrusos Snort como IDS/IPS Introducción Definición Snort Es un IDS / IPS liberado bajo la licencia de GPL desarrollado por la empresa Sourcefire. Uiliza tanto la detección basada en firmas como anomal´ıas.

39. Tema 4. Detecci´on de Instrusos Snort como IDS/IPS Introducci´on Caracter´ısticas Disponible bajo licencia GPL. Funciona bajo plataformas Windows, GNU/Linux y Mac OS. Muestra

40. Tema 4. Detección de Instrusos Snort como IDS/IPS Introducción Historia Snort fue desarrollado en 1998 bajo el nombre de APE por Marty Roesch. Empezó a distribuirse a través del sitio http://packetstormsecurity.com/ En Diciembre de 1999 se libera la versión 1.5 con una nueva arquitectura basada en plug-ins

41. Tema 4. Detección de Instrusos Snort como IDS/IPS Introducción Arquitectura de Snort 1 Módulo de captura del tráfico. 2 Decodificador. 3 Preprocesadores 4 Motor de Detección. 5 Archivo de Reglas. 6 Plugins de detección. 7 Plugins de salida.

42. Tema 4. Detección de Instrusos Snort como IDS/IPS Introducción Categor´ıas de reglas Snort 1 Reglas de Protocolo: Son dependientes del protocolo que se está analizando, por ejemplo en el protocolo http está la palabra reservada uricontent. 2 Reglas de Contenido Genéricas: Permiten especificar patrones para buscar en el campo de datos del paquete, los patrones de búsqueda pueden ser binarios o en modo ASCII, esto es muy útil para buscar exploits los cuales suelen terminar en cadenas de tipo “/bin/sh”.

43. Tema 4. Detección de Instrusos Snort como IDS/IPS Introducción Categor´ıas de reglas Snort (2) 3 Reglas de Paquetes Malformados: Especifican caracter´ısticas sobre los paquetes, concretamente sobre sus cabeceras las cuales indican que se está produciendo algún tipo de anomal´ıa, este tipo de reglas no miran en el contenido ya que primero se comprueban las cabeceras en busca de incoherencias u otro tipo de anomal´ıa. 4 Reglas IP: Se aplican directamente sobre la capa IP, y son comprobadas para cada datagrama IP, si el datagrama luego es Tcp, Udp o Icmp se realizará un análisis del datagrama con su correspondiente capa de protocolo, este tipo de reglas analiza con contenido y sin él.

44. Tema 4. Detección de Instrusos Snort como IDS/IPS Introducción Evaluación de reglas en Snort A5 – Detección de ataques en red con Snort, Joaqu´ın Garc´ıa Alfaro, P.10

45. Tema 4. Detección de Instrusos Snort como IDS/IPS Instalación y Configuración de Snort 1 Introducción a la Detección de Intrusos 2 Sistemas de Detección de Intrusos en Red 3 Sistemas de Prevención de Intrusiones 4 Snort como IDS/IPS Introducción Instalación y Configuración de Snort

46. Tema 4. Detección de Instrusos Snort como IDS/IPS Instalación y Configuración de Snort Instalación de Snort en Kali Linux Para realizar la instalación de snort sobre Kali Linux ejecutar el siguiente comando: apt-get -y install snort

47. Tema 4. Detección de Instrusos Snort como IDS/IPS Instalación y Configuración de Snort Configuración de Snort en Kali Linux El primer paso en la configuración de Snort, es establecer la interfaz de red que vamos a utilizar como sensor.

48. Tema 4. Detección de Instrusos Snort como IDS/IPS Instalación y Configuración de Snort Configuración de Snort en Kali Linux (2) Indicar la dirección IP del equipo o el bloque de red a analizar.

49. Tema 4. Detección de Instrusos Snort como IDS/IPS Instalación y Configuración de Snort Inicio de Snort Para iniciar Snort en modo consola usar el comando: snort -q -A console -i eth1 -c /etc/snort/snort.conf Para iniciar Snort como daemon usar el comando: service snort start Utilizar el comando tail para monitorear los resultados en tiempo real tail -f /var/log/snort/alert.log

50. Tema 4. Detecci´on de Instrusos Conclusiones Conclusiones Un IPS protege al equipo proactivamente y un IDS lo protege reactivamente. IDS es solo una parte de las herramientas de seguridad, no debe considerarse como una contramedida por si solo.

51. Tema 4. Detección de Instrusos Referencias bibliográficas Referencias bibliográficas I Andrew Williams. Snort Intrusion Detection and Prevention Toolkit(2007) Carl Endorf, Eugene Schultz y Jim Mellander Intrusion Detection & Prevention (2004)

Tema 4. Detección de Intrusos

Estás leyendo una previsualización.

Eche un vistazo a continuación

Tema 4. Detección de Intrusos

Más Contenido Relacionado

Presentaciones para usted (20)

Similares a Tema 4. Detección de Intrusos (20)

Más de Francisco Medina (20)

Más reciente (20)