Tema 4. Detección de Intrusos

Tema 4. Detección de Instrusos
Seguridad en Informática 2
Francisco Medina López
Facultad de Contadur´ıa y Administración
Universidad Nacional Autónoma de México
2014-2

Agenda
1 Introducción a la Detección de Intrusos
2 Sistemas de Detección de Intrusos en Red
3 Sistemas de Prevención de Intrusiones
4 Snort como IDS/IPS

Introducción a la Detección de Intrusos
Definiciones y Conceptos
Componentes
Caracter´ısticas

Componentes
Caracter´ısticas

¿Qué es una intrusión?
Definición
Secuencia de eventos relacionados que deliberadamente tratan de
causar daño, como hacer un sistema indisponible, acceder a
información no autorizada o manipular dicha información.
Esta definición aplica tanto para intentos fallidos, como para los
exitosos

¿Qué son los Sistemas de Detección de Intrusos?
Detección de Intrusos
Proceso de vigilar y analizar eventos que ocurren en un sistema
de cómputo o red para buscar signos que indiquen problemas de
seguridad (violaciones a pol´ıticas).
Sistema de Detección de Intrusos
Herramientas, métodos y recursos que ayudan a detectar,
identificar y reportar actividad no autorizada en un servidor o una
red.
Los sistemas:
Ejecutan funciones de centinela
Alertan y activan alarmas a partes
responsables cuando ocurren actos
de interés
Los IDS’s realmente no detectan
intrusos, detectan tráfico en la red
que puede o no, ser una intrusión

Funciones de un IDS
Registrar indicadores de actividad de intrusos .
Activar las alertas correspondientes.
Puede buscar ataques provenientes de fuera de la red.
Monitorear las actividades desde la red interna .
Algunos IDS’s también buscan actividades anómalas.
Requiere configuración adaptada a peculiaridades de la red que
se busca defender.
El IDS puede tomar acciones automáticas cuando ocurren
ciertas condiciones.
Ejemplo: enviar mensaje de radio al administrador del sistema.
Muchos IDS’s pueden configurarse para atacar
automáticamente a los sospechosos.
Otros se optimizan para recoger información para análisis
forense en tiempo real.

Proceso b´asico de detecci´on de intrusos
Intrusion Detection & Prevention, Carl Endorf, Eugene.

Componentes
Componentes
Caracter´ısticas

Componentes
http://wiki.hill.com/wiki/index.php?title=
Intrusion_detection_system
Fuente de Datos
Proporciona el flujo de registros de
eventos
Motor de Análisis
Encuentra indicadores de intrusión
Componente de Respuestas
Genera reacciones basadas en el
resultado arrojado por el motor de
análisis

Componentes
Fuente de Datos del IDS
Cuatro tipos
Host
Red
Aplicación
Objetivo
El “monitor” o sensor:
Recolecta información de una fuente de datos y la pasa al
motor de análisis

Componentes
Fuente de Datos del IDS (2)
Monitores basados en host
Recogen datos de fuentes internas a una computadora (usual:
nivel de S.O.)
Estas fuentes pueden incluir registros de auditor´ıa del S.O. y
bit´acoras del mismo
Monitores basados en red
Recogen paquetes que pasan por la red
Frecuente: uso de dispositivos de red conﬁgurados en modo
promiscuo

Componentes
Fuente de Datos del IDS (3)
Monitores basados en aplicaciones
Obtienen información de aplicaciones en ejecución
Las fuentes son bitácoras de aplicaciones y otros registros
internos de ellas
Monitores basados en objetivo
Generan sus propios datos
Usan criptograf´ıa de hash para detectar alteraciones a objetos
del sistema
Comparan alteraciones con una pol´ıtica

Componentes
Motor de Análisis
Definidas las fuentes de información, se debe determinar el
“motor de búsqueda”
Este toma información de las fuentes y la examina para
detectar s´ıntomas de ataques o violaciones a la pol´ıtica de
seguridad.
Mayor´ıa de casos: se recurre a tres tipos de análisis:
Detección basada en Firmas
Detección basada en Anomal´ıas
Mezcla de los dos

Componentes
Motor de Análisis (2)
Detección de Abusos:
Se busca ocurrencia de algo definido como “malo”
Para ello, se filtran eventos buscando patrones de actividad
coincidentes con ataques o violación a pol´ıtica de seguridad
Usa técnicas de coincidencia de patrones
General: sistemas comerciales usan esta técnica
Detección de Anomal´ıas:
Se busca algo raro o inusual
Se analizan eventos del sistema usando técnicas estad´ısticas
Para hallar patrones de actividad aparentemente anormales
Mixto
Detección de anomal´ıas permite identificar ataques nuevos o
desconocidos
Detección de abusos protege contra ataques conocidos

Componentes
Motor de An´alisis (3)

Componentes
Respuestas
Identificada la ocurrencia, el IDS debe determinar la acción a
ejecutar
No limitada a acción contra sospechoso: disparar alarmas de
diferentes tipos
Se pueden incluir mensajes a consola del administrador de la
red
Env´ıo de mensaje al localizador del administrador
Otra respuesta es modificar el IDS o el sistema vigilado
Modificación en IDS puede incluir cambio en el tipo de análisis
que se hace
En el caso de los sistemas vigilados:
Cambios en configuración
Modificaciones a privilegios de acceso
Respuesta común:
Registrar resultados del análisis en bitácora usada para generar
reportes

Caracter´ısticas
Componentes
Caracter´ısticas

Caracter´ısticas
Caracter´ısticas deseables en IDS’s
Efectividad:
Requerimiento más importante: IDS’s deben detectar de forma
exacta y consistente los ataques, o patrones definidos
Facilidad de uso:
Expertos en seguridad dif´ıciles y caros
Necesario manejo por no expertos en seguridad
Adaptabilidad:
IDS debe adaptarse a diferentes plataformas, ambientes y
pol´ıticas
Mayor´ıa de ambientes no son homogéneos
IDS capaz de entender entradas de otros sistemas

Caracter´ısticas
Caracter´ısticas deseables en IDS’s (2)
Robustez:
IDS suficientemente confiable
Tener mecanismos redundantes y caracter´ısticas que permitan
operar en caso de fallas
Rapidez:
Ser capaz de ejecutar vigilancia
Reportar eventos en momento de ocurrencia
Eficiencia:
Uso óptimo de recursos de cómputo, almacenamiento, y ancho
de banda
Afectación m´ınima al desempeño del sistema vigilado

Caracter´ısticas
Caracter´ısticas deseables en IDS’s (3)
Seguridad:
Contar con caracter´ısticas que eviten utilización por personal
no autorizado
Escalabilidad:
Componentes con interfaces estándar bien documentadas
Estas interfases deben soportar los mecanismos de
autenticación apropiados.
Equilibrio:
Permitir a usuarios mantener balance entre necesidades de
administración y de seguridad

Sistemas de Detección de Intrusos en Red
Introducción
Problemática
Ejemplos

Introducción
Introducción
Problemática
Ejemplos

Introducción
Definición
NIDS
Network Intrusion Detecction
System, son un conjunto de
herramientas, métodos y
recursos que ayudan a
detectar, identificar y reportar
actividad no autorizada en una
red.

Introducción
Fuente de Datos
Port mirroring (spanning): Copias de los paquetes de entrada
y salida son enviados a un puerto especial donde pueden ser
analizados.
Network taps: Dispositivos que son colocados en el medio
f´ısico por donde pasa el tráfico.

Problemática
Introducción
Problemática
Ejemplos

Problemática
Desventajas con IDS’s en basados en red
Velocidad del canal
No pueden hacer frente a todo el volumen de datos que fluye
en la red
En ambientes con switches: IDS debe colocarse de tal modo
que la carga pase por un puerto de escucha
Cifrado
Ningún IDS puede revisar paquetes cifrados, porque no tiene
las llaves. Esto permite perpetrar ataques ocultos en
conexiones cifradas

Ejemplos
Introducci´on
Problem´atica
Ejemplos

Ejemplos
Algunos IDS’s basados en red
Snort
NIKSUN NetDetector
Sax2
IBM Proventia Network
Intrusion Prevention System
(IPS)
Bro
Cisco Secure IDS (NetRanger)
Cyclops
Shoki
SecureNet IDS/IPS
SecurityMetrics
Enterasys Intrusion Prevention
System
Juniper Networks ISG Series
Integrated Security Gateway
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html

Sistemas de Prevenci´on de Intrusiones
Introducci´on
Ejemplos

Introducci´on
Introducci´on
Ejemplos

Introducción
Definición
IPS
Intrusion Prevention System, son un conjunto de herramientas,
métodos y recursos que ayudan a monitorear la actividad de una
red esperando la ocurrencia de algún evento y ejecutando una
acción basada en reglas predefinidas cuando este sucede.
Se consideran la evolución de los IDS’s

Ejemplos
Introducci´on
Ejemplos

Ejemplos
Algunos IDS’s basados en red
McAfee Network Security Manager
APSolute Immunity
IPS-1
Strata Guard
Juniper NetScreen
SecureNet IDS/IPS
Enterasys Intrusion Prevention System
http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html

Ejemplos
Magic Quadrant for Intrusion Prevention Systems
Gartner, S.A.. es un proyecto
de investigación de tecnolog´ıa
de la información y de firma
consultiva con sede en
Stamford, Connecticut,
Estados Unidos. Se conoc´ıan
como el Grupo Gartner hasta
2001.a
a
http://www.gartner.com/

Snort como IDS/IPS
Introducción
Instalación y Configuración de Snort

Snort como IDS/IPS
Introducci´on
Introducci´on

Snort como IDS/IPS
Introducción
Definición
Snort
Es un IDS / IPS liberado bajo la licencia de GPL desarrollado por
la empresa Sourcefire. Uiliza tanto la detección basada en firmas
como anomal´ıas.

Snort como IDS/IPS
Introducci´on
Caracter´ısticas
Disponible bajo licencia GPL.
Funciona bajo plataformas Windows, GNU/Linux y Mac OS.
Muestra

Snort como IDS/IPS
Introducción
Historia
Snort fue desarrollado en 1998 bajo el nombre de APE por
Marty Roesch.
Empezó a distribuirse a través del sitio
http://packetstormsecurity.com/
En Diciembre de 1999 se libera la versión 1.5 con una nueva
arquitectura basada en plug-ins

Snort como IDS/IPS
Introducción
Arquitectura de Snort
1 Módulo de captura del tráfico.
2 Decodificador.
3 Preprocesadores
4 Motor de Detección.
5 Archivo de Reglas.
6 Plugins de detección.
7 Plugins de salida.

Snort como IDS/IPS
Introducción
Categor´ıas de reglas Snort
1 Reglas de Protocolo: Son dependientes del protocolo que se
está analizando, por ejemplo en el protocolo http está la
palabra reservada uricontent.
2 Reglas de Contenido Genéricas: Permiten especificar
patrones para buscar en el campo de datos del paquete, los
patrones de búsqueda pueden ser binarios o en modo ASCII,
esto es muy útil para buscar exploits los cuales suelen terminar
en cadenas de tipo “/bin/sh”.

Snort como IDS/IPS
Introducción
Categor´ıas de reglas Snort (2)
3 Reglas de Paquetes Malformados: Especifican
caracter´ısticas sobre los paquetes, concretamente sobre sus
cabeceras las cuales indican que se está produciendo algún
tipo de anomal´ıa, este tipo de reglas no miran en el contenido
ya que primero se comprueban las cabeceras en busca de
incoherencias u otro tipo de anomal´ıa.
4 Reglas IP: Se aplican directamente sobre la capa IP, y son
comprobadas para cada datagrama IP, si el datagrama luego
es Tcp, Udp o Icmp se realizará un análisis del datagrama con
su correspondiente capa de protocolo, este tipo de reglas
analiza con contenido y sin él.

Snort como IDS/IPS
Introducción
Evaluación de reglas en Snort
A5 – Detección de ataques en red con Snort, Joaqu´ın Garc´ıa Alfaro, P.10

Snort como IDS/IPS
Introducci´on

Snort como IDS/IPS
Instalaci´on de Snort en Kali Linux
Para realizar la instalaci´on de snort sobre Kali Linux ejecutar el
siguiente comando:
apt-get -y install snort

Snort como IDS/IPS
Configuración de Snort en Kali Linux
El primer paso en la configuración de Snort, es establecer la
interfaz de red que vamos a utilizar como sensor.

Snort como IDS/IPS
Configuración de Snort en Kali Linux (2)
Indicar la dirección IP del equipo o el bloque de red a analizar.

Snort como IDS/IPS
Inicio de Snort
Para iniciar Snort en modo consola usar el comando:
snort -q -A console -i eth1 -c
/etc/snort/snort.conf
Para iniciar Snort como daemon usar el comando:
service snort start
Utilizar el comando tail para monitorear los resultados en
tiempo real
tail -f /var/log/snort/alert.log

Conclusiones
Conclusiones
Un IPS protege al equipo proactivamente y un IDS lo protege
reactivamente.
IDS es solo una parte de las herramientas de seguridad, no
debe considerarse como una contramedida por si solo.

Referencias bibliográficas
Referencias bibliográficas I
Andrew Williams.
Snort Intrusion Detection and Prevention Toolkit(2007)
Carl Endorf, Eugene Schultz y Jim Mellander
Intrusion Detection & Prevention (2004)

Tema 4. Detección de Intrusos

Más contenido relacionado

La actualidad más candente

Similar a Tema 4. Detección de Intrusos

Más de Francisco Medina

Último

Tema 4. Detección de Intrusos