Académique Documents
Professionnel Documents
Culture Documents
LVARO PAZ.
&adTra++i", &os paquetes que no cumplen con '() se env*an al servidor para comprobar cmo se procesan &r)te-'r"e, pone a prueba la capacidad del servidor para rastrear ataques de "uer!a bruta (por e+emplo, (,P) -ace uso de reglas personali!adas en Sn'rt y S)ri"ata " ientSideAtta".!, este mdulo utili!a una shell inversa para proporcionar instrucciones al servidor para descargar archivos maliciosos remotos .ste mdulo pone a prueba la capacidad de los IDS / IPS para proteger contra ataques del lado del cliente denia O+Ser/i"e, pone a prueba la capacidad de los IDS / IPS para proteger contra los intentos de DoS e/a!i'nTe"0ni()e!, diversas t/cnicas de evasin que se utili!an para comprobar si los IDS / IPS pueden detectarlas +ra1mentedPa".et!, diversas cargas de paquetes "ragmentados que se env*an al servidor para poner a prueba su capacidad para recomponerlos y detectar los ataques i%Re%)tati'n, pone a prueba la capacidad del servidor para detectar el tr0"ico de los servidores de ba+a reputacin n'rma U!a1e, cargas 1tiles que corresponden a un uso normal %"a%Re% a$, permite reproducir archivos pcap !0e "'de!, enviar varios shellcodes al servidor en el puerto 2%/tcp para poner a prueba la capacidad del servidor para detectar y recha!ar shellcodes te!tR) e!, Pruebas de reglas b0sicas 3taques basados en las reglas del popio IDS / IPS a probar Dentro de la arquitectura de "uncionamiento de pytbull e4isten dos modos: E m'd' rem't' ' a)t#n'm', .n este modo, el IDS est0 enchu"ado en el puerto SP35 (port mirroring) del conmutador y se con"igura en modo promiscuo .l IDS anali!a todo el tr0"ico que pasa a trav/s del s6itch &os archivos maliciosos pueden ser descargados, ya sea por pytbull o por el servidor 2'd' '"a ' 1ate3a$,
.n este modo, los archivos que se descargan en el cliente pytbull y se pone en marcha a partir de tres tipos de con"iguracin: Modo de IDS con el servidor a atacar en la DMZ, en esta con"iguracin, un servidor de seguridad de la red se divide en # partes (&35, 735, D89) .l IDS est0 enchu"ado en un puerto SP35 (port mirroring) del conmutador con su inter"a! con"igurada en modo promiscuo Se anali!ar0 cada tr0"ico que se env*a a la inter"a! &35 del "ire6all Modo de IPS, en esta con"iguracin un "ire6all divide la red en # partes: &35, 735 y D89 .l IDS est0 conectado entre el cliente pytbull y el "ire6all Para dar a los IDS una oportunidad para detectar los archivos maliciosos Para esta prueba pytbull tiene que descargar los archivos in"ectados Modo de IPS con el servidor a atacar en la DMZ, en esta con"iguracin, un "ire6all divide la red en # partes: &35, 735 y D89 .l IDS est0 conectado entre el cliente pytbull y el "ire6all 3rchivos maliciosos tienen que ser descargados por el cliente pytbull y enviados al servidor a atacar en la D89, anali!ando si el IDS los detecta Inter"a! principal de Pytbull se basa en la l*nea de comandos Para evitar una larga lista de argumentos, la mayor*a de las opciones se proporcionan en el archivo de con"iguracin Durante la e+ecucin de las pruebas, los ensayos se muestran en tiempo real y los resultados detallados se pueden mostrar mediante el uso de la opcin de depuracin :na ve! que todas las pruebas se han procesado reali!a un in"orme completo en -,8& &as pruebas de pytbull se basan en una sinta4is muy completa que permite dise;ar pruebas espec*"icas propias 80s in"ormacin y descarga de Pytbull: http://pytbull source"orge net
'ste proyecto incluye preprocesadores y plugins para el IDS Snort. 'stos preprocesadores manejan protocolos usados en redes SCADA como( DNP3, EtherNet / IP y Modbus TCP, sus funciones son preparar la comunicacin para el an!lisis de las reglas de )nort. Los plugins est!n disponibles para cada preprocesador y sirven para crear palabras clave que pueden ser utili*adas en las reglas, para evaluar el contenido descodificado en el preprocesador. 'n todos los casos, los preprocesadores y plugins hacen la escritura de reglas m!s f!cil, porque reali*an el trabajo de identificacin de los diversos campos, al igual que la decodificacin de protocolo, as el an!lisis de un paquete es m!s sencillo. )in el preprocesador, sera muy difcil o imposible que funcionasen las reglas. +or ejemplo, hay algunas reglas que slo son aplicables cuando una sesin se ha establecido, una regla que no pueda reali*ar un seguimiento de este estado, es probable que reporte falsos positivos. Las firmas incluidas en este proyecto se desarrollaron inicialmente como reglas de )nort, y la descarga desde la pagina se encuentra todava en un formato de )nort. ,uchos proveedores de IDS / IPS, soportan o tienen la capacidad de importar reglas de )nort y han optado por agregar las firmas a sus bases de normas SCADA. Una lista parcial de proveedores que apoyan todas o algunas de las firmas $uic%"ra& en sus IDS / IPS son( #com/,ipping Point )isco )ounterpane/<, (ortinet Industrial De"ender ISS/I<8 =uniper 8c3"ee Secure6or>s Symantec ,enable Security
,ientras que las firmas de )nort se convierten f!cilmente a otro formato de IDS / IPS, los preprocesadores no son f!ciles de convertir. 'stos preprocesadores son esencialmente programas de soft&are que decodificar el protocolo y almacenar los campos de las variables para el an!lisis de palabras clave nuevas creadas en los plugins. Las firmas de EtherNet / IP necesitan el preprocesador EtherNet / IP y es poco probable que funcione en cualquier IDS que no tenga un motor de )nort.
La mayora de las otras firmas disponen de versiones que trabajan con y sin un preprocesador, por lo que estos son f!ciles de e-portar otro IDS / IPS. ,!s informacin y descarga de $uic%"ra&( http(..&&&.digitalbond.com.tools.quic%dra&.do&nload.
&a herramienta ,hor es ideal para anali!ar la e"icacia de los IDS por que pone en marcha autom0ticamente ataques, recoge las alarmas y muestra in"ormacin sobre ellas ,hor utili!a variaciones de ataques para hacer an0lisis m0s e4actos sobre las capacidades de la deteccin de un IDS :na caracter*stica importante de esta herramienta es la posibilidad de intentar evadir IDS utili!ando varios ataques de una "orma autnoma ,hor puede ser utili!ado en dos escenarios t*picos: Simulando ataques desde cualquier dispositivo de la red Por lo tanto, los ataques se encaminan a trav/s de esos dispositivos y se observa, qu/ alarmas del IDS se generan en comparacin al caso donde no estaban presentes los dispositivos Identi"icar IDS instalados en una red y anali!ar si est0n correctamente con"igurados para ese entorno especi"ico 80s in"ormacin y descarga de ,hor: http://thor crypto+ail net/thor/
)ontiene e4ploits compilados (binarios y e+ecutables) de las vulnerabilidades m0s conocidas .scanea puertos % al @AA#A ,)P despu/s de reconocer la IP, e+ecuta los e4lpoits de acuerdo a la lista de puertos abiertos B?penports ,C,D 'eali!a escaneo de puertos multihilo 5o requiere ninguna base de datos en el bac>Eend &a e+ecucin de e4ploits no se basa en t/cnicas de (ingerprinting, se reali!a de "orma independiente 5o se necesita compilar el cdigo "uente .s una herramienta para 7indo6s ideal para reali!ar un testeo r0pido de un IDS, debido a su e"icacia y "acilidad de uso .sta herramienta al poseer e4ploits puede ser detectada por algunos antivirus como in"ectada, es normal ya que posee el cdigo de muchos e4ploits conocidos 80s in"ormacin de 7in3:,?P75: http://6inautop6n co nr/ Descarga de 7in3:,?P75: http://$FGdc@Ha serious"iles com/
Si!tema "entra i4ad' %ara a dete""i#n5 %r'te""i#n $ !e1)imient' de /) nera&i idade! en a% i"a"i'ne! 6e&.
Iulnerability 8anager de Denim Jroup es un sistema centrali!ado para la deteccin, proteccin y seguimiento de vulnerabilidades en aplicaciones 7eb Pero con unas calidades que lo convierten en una potente proteccin a ataques basados en aprovechamiento de vulnerabilidades, gracias a sus modulo de proteccin real y su interaccin con los corta"uegos y IDS )aracter*sticas de I8:
Permite administrar varias aplicaciones 7eb de una "orma organi!ada Puede utili!ar una gran variedad de herramientas para detectar vulnerabilidades Soporta las comerciales: I<8 3ppScan, (orti"y S)3/#@$, )hec>mar4, 8icroso"t )3, 5.,, I<8 'ational 3ppScan, 7hite-at Sentinel y 8avituna 5etspar>er K las gratuitas: ?73SP ?ri!on y (ind<ugs Proteccin en tiempo real que se apoya en IDS y corta"uegos para evitar el aprovechamiento de vulnerabilidades &os IDS basan su proteccin contra ataques en "irmas, es normal que no e4isten "irmas para vulnerabilidades de aplicaciones 7eb hechas a medida, para me+orar la proteccin I8 detecta las vulnerabilidades e interact1a con el IDS y corta"uegos para proteger la aplicacin 7eb I8 soporta: Snort, ?73SP .S3PI 73( y modLsecurity 'ecoge toda la in"ormacin de IDS y corta"uegos, en el caso de un ataque a una vulnerabilidad para poder reali!ar un seguimiento completo Puede reali!ar seguimiento y deteccin de errores en aplicaciones 7eb gracias a su integracin con: <ug!illa, 8icroso"t ,eam (oundation Server (,(S) y =I'3 .valua la madure! de las t/cnicas empleadas en la seguridad de las aplicaciones 6eb, usando como modelos: <SIE88, ?73SP (?penS388) y S388 80s in"ormacin y descarga: http://vulnerabilitymanager denimgroup com/
6ire!0ar., anali!ador de protocolos 2) ti7Ta% Net3'r. Pa".et Ca%t)re, inter"a! para reali!ar capturas simultaneas con varios dispositivos de red Ne!!)!, esc0ner de vulnerabilidades Sn'rt, sistema de deteccin de intrusos N2a%, esc0ner de puertos NT'%, monitori!acin de red 8i!met, anali!ador de redes inal0mbricas Dri+tnet, para capturar archivos de im0genes trans"eridos en la red TCP9Tra"t5 para capturar documentos incluyendo PD( o 8icroso"t 7ord N!ttra"er')te, utilidad de traceroute que muestra los resultados en Joogle .arth .sta &ive)D es ideal para un administrador de red, porque permite convertir cualquier equipo en
un: monitor de red, un "ire6all o un IDS en pocos minutos 3dem0s est0 disponible en maquina virtual ya instalada y viene con opciones para instalarla en un :S< 80s in"ormacin y descarga de 5S,: http://666 net6or>securitytool>it org/ 7i>i de 5S,: http://6i>i net6or>securitytool>it org/
80s in"ormacin y descarga de S38: http://pro+ects dar>aslight com/pro+ects/sho6/sam )on"iguracin remota de pol*ticas de IDS S5?',: http://vtroger blogspot com/2$$F/%%/con"iguracinEremotaEdeEpolticasEdeEids html