Este documento describe las herramientas de software libre para la monitorización de seguridad de redes (NSM), incluyendo tcpdump, wireshark, snort y sguil. Explica cómo estas herramientas se pueden usar para capturar paquetes de red, analizar tráfico, detectar intrusiones y generar alertas de forma integrada. También resume los principios básicos de NSM y las cinco fases típicas de un compromiso de red.

1. NSM Network Security Monitoring
Herramientas Software Libre de detecci´on y prevenci´on.
Alejandro Vald´es Jimenez
avaldes@utalca.cl
DSL 2010
September 21, 2010
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 1 / 18

2. Agenda
1 NSM Monitorizaci´on de Seguridad de Redes
2 Principios de seguridad
3 Ejemplo de red
4 Herramientas
5 Recursos
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 2 / 18

3. NSM Monitorizaci´on de Seguridad de Redes
NSM Monitorizaci´on de Seguridad de Redes
Es un modelo de operaciones de seguridad que hace uso de
herramientas y t´ecnicas para la recolecci´on, an´alisis y
notificaci´on de indicaciones y advertencias, de manera de poder
detectar intrusiones y poder responder a ellas.
Los indicadores corresponden a las alertas generadas por el software de
detecci´on.
Las advertencias son los resultados de la interpretaci´on de los
indicadores (alertas).
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 3 / 18

4. Principios de seguridad
Las fases de un compromiso
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 4 / 18

5. Principios de seguridad
Las fases de un compromiso
Si deseamos detectar intrusiones, debemos comprender las acciones
necesarias para comprometer un blanco.
Reconocimiento
validar conectividad, enumerar servicios y buscar aplicaciones
vulnerables.
escaneo de puertos.
reconocimiento de sistemas operativos, versiones de softwares, etc.
Explotaci´on
abusar de los servicios de un blanco y/o da˜narlos.
implica hacer uso uso ileg´ıtimo de un modo leg´ıtimo.
explotaci´on es a trav´es de protocolos correctos (telnet, ssh, ftp, http,
etc).
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 5 / 18

6. Principios de seguridad
Las fases de un compromiso
Si deseamos detectar intrusiones, debemos comprender las acciones
necesarias para comprometer un blanco.
Refuerzo
aprovecha acceso inicial con objeto de ganar capacidades adicionales.
algunas explotaciones producen inmediatamente privilegios de root,
mientras otros solo a nivel de usuario.
intrusos recuperan e instalan herramientas empleando quiz´a FTP,
TFTP, SCP, etc.
instalaci´on de puertas traseras (back doors) para comunicarse con el
mundo exterior.
Consolidaci´on
intruso se comunica con el blanco a trav´es de la puerta trasera.
la puerta trasera puede adoptar la forma de un servicio a la escucha.
la puerta trasera se puede conectar a la IP del intruso.
en esta fase, el intruso tiene control completo del blanco.
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 6 / 18

7. Principios de seguridad
Las fases de un compromiso
Si deseamos detectar intrusiones, debemos comprender las acciones
necesarias para comprometer un blanco.
Pillaje
es la ejecuci´on del plan final del intruso, podr´ıa implicar:
robo de informaci´on privada.
contruir una base para realizar ataques mas profundos dentro de la
organizaci´on.
o cualquir otra cosa que desee el intruso.
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 7 / 18

8. Principios de seguridad
Las fases de un compromiso
Defensores tienen la oportunidad para detectar a los intrusos que se
comunican con los blancos durante las 5 fases anteriores.
Es probable que el intruso proporcione alg´un tipo de evidencia basada
en la red que merecer´a la pena investigar.
En esta tarea, se utilizan una serie de herramientas para soportar el
modelo de NSM.
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 8 / 18

9. Ejemplo de red
Ejemplo de red
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 9 / 18

10. Ejemplo de red
Ejemplo de red con Sensores
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 10 / 18

11. Herramientas
Libpcap
pcap API para captura de paquetes
libpcap Implementaci´on de pcap para sistemas basados en Unix.
wincap Implementaci´on de pcap para sistemas Windows.
Programas utilizan esta libreria para la captura de paquetes.
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 11 / 18

12. Herramientas
Tcpdump
Utiliadad para captura y an´alisis de paquetes.
tcpdump -n -i <interfaz> -w <archivo>
-n: no resuelva direcciones IP ni puertos.
-i interfaz: interfaz a escuchar, por ejemplo eth0
-w archivo: almacernar datos capturados en el archivo.
-r archivo: lee paquetes capturados desde el archivo.
man tcpdump
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 12 / 18

13. Herramientas
Tcpdump y filtros de paquetes de Berkeley BPF
BPF son expresiones para manipular paquetes que se
capturan/visualizan con tcpdump.
Permite uso mas eficiente, por ejemplo:
icmp, udp, tcp
{src,dst} host, net
{src,dst} port
arp
Ejemplos:
tcpdump -n -r em0.lpc -c 2 tcp
tcpdump -n -r sf1.lpc -c 2 tcp and dst port 22
tcpdump -n -r sf1.lpc -c 2 host 172.27.20.3
tcpdump -n -r sf1.lpc -c 2 src host 172.27.20.4
tcpdump -n -r em0.lpc -c 2 src net 10.10.10.0/24
tcpdump -n -r sf1.lpc -c 2 ’icmp[icmptype] = icmp-echo’
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 13 / 18

14. Herramientas
Wireshark
Utilidad gr´afica para la captura y an´alisis de paquetes.
Una de las mejores herramientas de software libre para el tratamiento
de redes.
Se pueden aplicar filtros tcp.dstport == 21.
Se pueden reconstruir flujos de sesiones Follow TCP Stream.
Estad´ısticas (por ejemplo jerarqu´ıa de protocolos).
wireshark -n -r em0.lpc
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 14 / 18

15. Herramientas
Snort
Famoso por ser un sistema de detecci´on de intrusiones basado en red
pero tambien se puede utilizar para captura y an´alisis de paquetes.
Usa reglas para realizar b´usquedas en los paquetes y asi generar
alertas (/etc/nsm/sensor1/rules/local.rules).
alert tcp any any ->any any (msg:”Solo esta activado SYN”;
flags: S; sid: 10001;)
Buscamos en paquetes ya capturados:
snort -c /etc/nsm/snort/sensor1/snort.conf -b -l . -r sf1.lpc
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 15 / 18

16. Herramientas
Sguil
Las herramientas antes mencionadas trabajan de modo independiente,
no hay comunicaci´on entre ellas.
La filosof´ıa de UNIX se basa en la idea de herramientas que cooperen
entre si.
Sguil se basa en tal filosof´ıa, por tanto, Sguil es un conjunto de
programas de software libre para realizar NSM.
Es una aplicaci´on multiplataforma dise˜nada ”por y para analistas” con
el objeto de integrar flujos correspondientes de alertas, datos de
sesiones, datos de contenido completo en una sola interfaz gr´afica.
NSMnow Project. Framework con herramientas para implementar
NSM.
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 16 / 18

17. Herramientas
Sguil
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 17 / 18

18. Recursos
Recursos
Bibliografia
The Tao of Network Security Monitoring: Beyond Intrusion Detection,
Richard Bejtlich. http://www.taosecurity.com/books.html
Enlaces
libpcap y tcpdum: http://www.tcpdump.org/
wireshar: http://www.wireshark.org/
snort: http://www.snort.org/
snortid: http://www.snortid.com/
sguil: http://sguil.sourceforge.net/
BPF: http://en.wikipedia.org/wiki/Berkeley Packet Filter
NSMnow Project: http://www.securixlive.com/nsmnow/index.php
Alejandro Vald´es Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de detecci´on y prevenci´on.September 21, 2010 18 / 18