ARTCULOS SOBRE SEGURIDAD EN IDS.

LVARO PAZ.

Herramienta de an i!i! de dete""i#n $ "a%a"idade! de & '()e' de )n IDS*IPS.

Se trata de la herramienta pytbull un marco de pruebas de sistemas de deteccin y prevencin de intrusiones (IDS / IPS) como: Sn'rt, S)ri"ata y cualquier IDS / IPS que genere un archivo de registro de alertas Puede ser utili!ado para: probar la deteccin y capacidades de bloqueo de un IDS / IPS, comparar di"erentes IDS / IPS, comparar modi"icaciones de la con"iguracin y validar con"iguraciones nuevas Pytbull contiene cerca de #$$ pruebas agrupadas en %% mdulos:

&adTra++i", &os paquetes que no cumplen con '() se env*an al servidor para comprobar cmo se procesan &r)te-'r"e, pone a prueba la capacidad del servidor para rastrear ataques de "uer!a bruta (por e+emplo, (,P) -ace uso de reglas personali!adas en Sn'rt y S)ri"ata " ientSideAtta".!, este mdulo utili!a una shell inversa para proporcionar instrucciones al servidor para descargar archivos maliciosos remotos .ste mdulo pone a prueba la capacidad de los IDS / IPS para proteger contra ataques del lado del cliente denia O+Ser/i"e, pone a prueba la capacidad de los IDS / IPS para proteger contra los intentos de DoS e/a!i'nTe"0ni()e!, diversas t/cnicas de evasin que se utili!an para comprobar si los IDS / IPS pueden detectarlas +ra1mentedPa".et!, diversas cargas de paquetes "ragmentados que se env*an al servidor para poner a prueba su capacidad para recomponerlos y detectar los ataques i%Re%)tati'n, pone a prueba la capacidad del servidor para detectar el tr0"ico de los servidores de ba+a reputacin n'rma U!a1e, cargas 1tiles que corresponden a un uso normal %"a%Re% a$, permite reproducir archivos pcap !0e "'de!, enviar varios shellcodes al servidor en el puerto 2%/tcp para poner a prueba la capacidad del servidor para detectar y recha!ar shellcodes te!tR) e!, Pruebas de reglas b0sicas 3taques basados en las reglas del popio IDS / IPS a probar Dentro de la arquitectura de "uncionamiento de pytbull e4isten dos modos: E m'd' rem't' ' a)t#n'm', .n este modo, el IDS est0 enchu"ado en el puerto SP35 (port mirroring) del conmutador y se con"igura en modo promiscuo .l IDS anali!a todo el tr0"ico que pasa a trav/s del s6itch &os archivos maliciosos pueden ser descargados, ya sea por pytbull o por el servidor 2'd' '"a ' 1ate3a$,

.n este modo, los archivos que se descargan en el cliente pytbull y se pone en marcha a partir de tres tipos de con"iguracin: Modo de IDS con el servidor a atacar en la DMZ, en esta con"iguracin, un servidor de seguridad de la red se divide en # partes (&35, 735, D89) .l IDS est0 enchu"ado en un puerto SP35 (port mirroring) del conmutador con su inter"a! con"igurada en modo promiscuo Se anali!ar0 cada tr0"ico que se env*a a la inter"a! &35 del "ire6all Modo de IPS, en esta con"iguracin un "ire6all divide la red en # partes: &35, 735 y D89 .l IDS est0 conectado entre el cliente pytbull y el "ire6all Para dar a los IDS una oportunidad para detectar los archivos maliciosos Para esta prueba pytbull tiene que descargar los archivos in"ectados Modo de IPS con el servidor a atacar en la DMZ, en esta con"iguracin, un "ire6all divide la red en # partes: &35, 735 y D89 .l IDS est0 conectado entre el cliente pytbull y el "ire6all 3rchivos maliciosos tienen que ser descargados por el cliente pytbull y enviados al servidor a atacar en la D89, anali!ando si el IDS los detecta Inter"a! principal de Pytbull se basa en la l*nea de comandos Para evitar una larga lista de argumentos, la mayor*a de las opciones se proporcionan en el archivo de con"iguracin Durante la e+ecucin de las pruebas, los ensayos se muestran en tiempo real y los resultados detallados se pueden mostrar mediante el uso de la opcin de depuracin :na ve! que todas las pruebas se han procesado reali!a un in"orme completo en -,8& &as pruebas de pytbull se basan en una sinta4is muy completa que permite dise;ar pruebas espec*"icas propias 80s in"ormacin y descarga de Pytbull: http://pytbull source"orge net

Se1)ridad SCADA, Im% ementar IDS.

Un IDS siempre es una buena solucin para mejorar la seguridad de una red, pero para que sea efectivo en un entorno tan particular como una red de un sistema SCADA, tiene que tener unas reglas especificas adaptadas a los protocolos que se usan en dichas redes. La mayora de los proveedores de IDS tambin ofrecen un sistema de prevencin de intrusiones IPS, se refiere a la capacidad de que no slo puede detectar un ataque, tambin puede bloquear la comunicacin para defenderse de dicho ataque. eniendo en cuenta que la disponibilidad es el problema de seguridad m!s crtico en la gran mayora de los sistemas SCADA, los falsos positivos en una implementacin de IPS podran tener resultados desastrosos. "igital #ond tiene un proyecto de desarrollo de firmas IDS para entornos SCADA llamado $uic%"ra& muy complemento y gratuito. 'n este momento hay firmas disponibles para( protocolos de red usados en SCADA, un conjunto de firmas que identifican ataques contra las vulnerabilidades divulgadas de sistemas SCADA y un grupo de firmas que identifican los eventos de seguridad especficos para sistemas de diferentes proveedores. odas las firmas est!n documentadas e incluyen una seccin sobre falsos positivos.

'ste proyecto incluye preprocesadores y plugins para el IDS Snort. 'stos preprocesadores manejan protocolos usados en redes SCADA como( DNP3, EtherNet / IP y Modbus TCP, sus funciones son preparar la comunicacin para el an!lisis de las reglas de )nort. Los plugins est!n disponibles para cada preprocesador y sirven para crear palabras clave que pueden ser utili*adas en las reglas, para evaluar el contenido descodificado en el preprocesador. 'n todos los casos, los preprocesadores y plugins hacen la escritura de reglas m!s f!cil, porque reali*an el trabajo de identificacin de los diversos campos, al igual que la decodificacin de protocolo, as el an!lisis de un paquete es m!s sencillo. )in el preprocesador, sera muy difcil o imposible que funcionasen las reglas. +or ejemplo, hay algunas reglas que slo son aplicables cuando una sesin se ha establecido, una regla que no pueda reali*ar un seguimiento de este estado, es probable que reporte falsos positivos. Las firmas incluidas en este proyecto se desarrollaron inicialmente como reglas de )nort, y la descarga desde la pagina se encuentra todava en un formato de )nort. ,uchos proveedores de IDS / IPS, soportan o tienen la capacidad de importar reglas de )nort y han optado por agregar las firmas a sus bases de normas SCADA. Una lista parcial de proveedores que apoyan todas o algunas de las firmas $uic%"ra& en sus IDS / IPS son( #com/,ipping Point )isco )ounterpane/<, (ortinet Industrial De"ender ISS/I<8 =uniper 8c3"ee Secure6or>s Symantec ,enable Security

,ientras que las firmas de )nort se convierten f!cilmente a otro formato de IDS / IPS, los preprocesadores no son f!ciles de convertir. 'stos preprocesadores son esencialmente programas de soft&are que decodificar el protocolo y almacenar los campos de las variables para el an!lisis de palabras clave nuevas creadas en los plugins. Las firmas de EtherNet / IP necesitan el preprocesador EtherNet / IP y es poco probable que funcione en cualquier IDS que no tenga un motor de )nort.

La mayora de las otras firmas disponen de versiones que trabajan con y sin un preprocesador, por lo que estos son f!ciles de e-portar otro IDS / IPS. ,!s informacin y descarga de $uic%"ra&( http(..&&&.digitalbond.com.tools.quic%dra&.do&nload.

Herramienta %ara ana i4ar a e+i"a"ia de '! IDS.

&os m/todos de identi"icacin usados por los IDS no son per"ectos y los sistemas pueden no detectar todos los ataques o divulgar alarmas "alsas

&a herramienta ,hor es ideal para anali!ar la e"icacia de los IDS por que pone en marcha autom0ticamente ataques, recoge las alarmas y muestra in"ormacin sobre ellas ,hor utili!a variaciones de ataques para hacer an0lisis m0s e4actos sobre las capacidades de la deteccin de un IDS :na caracter*stica importante de esta herramienta es la posibilidad de intentar evadir IDS utili!ando varios ataques de una "orma autnoma ,hor puede ser utili!ado en dos escenarios t*picos: Simulando ataques desde cualquier dispositivo de la red Por lo tanto, los ataques se encaminan a trav/s de esos dispositivos y se observa, qu/ alarmas del IDS se generan en comparacin al caso donde no estaban presentes los dispositivos Identi"icar IDS instalados en una red y anali!ar si est0n correctamente con"igurados para ese entorno especi"ico 80s in"ormacin y descarga de ,hor: http://thor crypto+ail net/thor/

Herramienta %ara te!te' a)t'mti"' de IDS.

7in3:,?P75 es una herramienta automati!ada para el descubrimiento de vulnerabilidades, ideal para reali!ar un testeo r0pido de un IDS .sta herramienta no se desarrollo con el propsito de competir contra otras aplicaciones similares como: )ore Impact, Inmunity )anvas o 8etasploit (rame6or> &o que se pretende en 7in3:,?P75 es tener una herramienta sencilla pero muy e"ica! para la automati!acin de descubrimiento de vulnerabilidades y aprovechamiento mediante e4ploits .ntre sus principales caracter*stica destaca:

 )ontiene e4ploits compilados (binarios y e+ecutables) de las vulnerabilidades m0s conocidas .scanea puertos % al @AA#A ,)P despu/s de reconocer la IP, e+ecuta los e4lpoits de acuerdo a la lista de puertos abiertos B?penports ,C,D 'eali!a escaneo de puertos multihilo 5o requiere ninguna base de datos en el bac>Eend &a e+ecucin de e4ploits no se basa en t/cnicas de (ingerprinting, se reali!a de "orma independiente 5o se necesita compilar el cdigo "uente .s una herramienta para 7indo6s ideal para reali!ar un testeo r0pido de un IDS, debido a su e"icacia y "acilidad de uso .sta herramienta al poseer e4ploits puede ser detectada por algunos antivirus como in"ectada, es normal ya que posee el cdigo de muchos e4ploits conocidos 80s in"ormacin de 7in3:,?P75: http://6inautop6n co nr/ Descarga de 7in3:,?P75: http://$FGdc@Ha serious"iles com/

Si!tema "entra i4ad' %ara a dete""i#n5 %r'te""i#n $ !e1)imient' de /) nera&i idade! en a% i"a"i'ne! 6e&.
Iulnerability 8anager de Denim Jroup es un sistema centrali!ado para la deteccin, proteccin y seguimiento de vulnerabilidades en aplicaciones 7eb Pero con unas calidades que lo convierten en una potente proteccin a ataques basados en aprovechamiento de vulnerabilidades, gracias a sus modulo de proteccin real y su interaccin con los corta"uegos y IDS )aracter*sticas de I8:

 Permite administrar varias aplicaciones 7eb de una "orma organi!ada Puede utili!ar una gran variedad de herramientas para detectar vulnerabilidades Soporta las comerciales: I<8 3ppScan, (orti"y S)3/#@$, )hec>mar4, 8icroso"t )3, 5.,, I<8 'ational 3ppScan, 7hite-at Sentinel y 8avituna 5etspar>er K las gratuitas: ?73SP ?ri!on y (ind<ugs Proteccin en tiempo real que se apoya en IDS y corta"uegos para evitar el aprovechamiento de vulnerabilidades &os IDS basan su proteccin contra ataques en "irmas, es normal que no e4isten "irmas para vulnerabilidades de aplicaciones 7eb hechas a medida, para me+orar la proteccin I8 detecta las vulnerabilidades e interact1a con el IDS y corta"uegos para proteger la aplicacin 7eb I8 soporta: Snort, ?73SP .S3PI 73( y modLsecurity 'ecoge toda la in"ormacin de IDS y corta"uegos, en el caso de un ataque a una vulnerabilidad para poder reali!ar un seguimiento completo Puede reali!ar seguimiento y deteccin de errores en aplicaciones 7eb gracias a su integracin con: <ug!illa, 8icroso"t ,eam (oundation Server (,(S) y =I'3 .valua la madure! de las t/cnicas empleadas en la seguridad de las aplicaciones 6eb, usando como modelos: <SIE88, ?73SP (?penS388) y S388 80s in"ormacin y descarga: http://vulnerabilitymanager denimgroup com/

Li/eCD "'n 0erramienta! de !e1)ridad de red.

5et6or> Security ,ool>it (5S,) es una &ive)D con herramientas de seguridad de red .sta &ive)D est0 basada en una distribucin (edora %% y la mayor*a de las herramientas de seguridad de red que la integran se encuentran en el ,op %2A Security ,ools de I5S.):'. ?'J Principales herramientas que "orman 5S,:

6ire!0ar., anali!ador de protocolos 2) ti7Ta% Net3'r. Pa".et Ca%t)re, inter"a! para reali!ar capturas simultaneas con varios dispositivos de red Ne!!)!, esc0ner de vulnerabilidades Sn'rt, sistema de deteccin de intrusos N2a%, esc0ner de puertos NT'%, monitori!acin de red 8i!met, anali!ador de redes inal0mbricas Dri+tnet, para capturar archivos de im0genes trans"eridos en la red TCP9Tra"t5 para capturar documentos incluyendo PD( o 8icroso"t 7ord N!ttra"er')te, utilidad de traceroute que muestra los resultados en Joogle .arth .sta &ive)D es ideal para un administrador de red, porque permite convertir cualquier equipo en

un: monitor de red, un "ire6all o un IDS en pocos minutos 3dem0s est0 disponible en maquina virtual ya instalada y viene con opciones para instalarla en un :S< 80s in"ormacin y descarga de 5S,: http://666 net6or>securitytool>it org/ 7i>i de 5S,: http://6i>i net6or>securitytool>it org/

Herramienta de "rea"i#n a)t'mti"a de +irma! %ara Sn'rt.

Se trata de 5ebula una herramienta de creacin autom0tica de "irmas para Snort Su "uncionamiento consiste en e+ecutarse como demonio y recibir ataques a trav/s de un honeypot, inmediatamente 5ebula genera una "irma de ese ataque en lengua+e Snort 5ebula est0 dise;ado para traba+ar con los honeypot: -oneytrap y 3rgos Puede ayudar a asegurar una red autom0ticamente derivando e instalando reglas para "iltrar ataques en el IDS Snort ,ambi/n sirve para crear reglas de una "orma r0pida y "0cil o para aprender a crear reglas de determinados ataques simulados previamente 80s in"ormacin y descarga de 5ebula: http://nebula carnivore it/ 80s in"ormacin y descarga de honeypot 3rgos: http://666 "e6 vu nl/argos/ 80s in"ormacin y descarga de honeypot -oneytrap: http://source"orge net/pro+ects/honeytrap/ )on"iguracin remota de pol*ticas de IDS Snort: http://vtroger blogspot com/2$$F/%%/con"iguracinEremotaEdeEpolticasEdeEids html 8onitori!acin en tiempo real de IDS Snort: http://vtroger blogspot com/2$$F/%%/monitori!acinEenEtiempoErealEdeEids html

2'nit'ri4a"i#n en tiem%' rea de id! Sn'rt.

:tili!ando la herramienta S38 (Snort 3lert 8onitor) podemos reali!ar una monitori!acin real de Snort S38 o"rece muchas alternativas para indicar una intrusin detectada por Snort, adem0s de mostrar gr0"icos muy representativos sobre la actividad del ids S38 posee alarmas visuales y sonoras para indicar una intrusin, tambi/n puede program0rsele para enviar alertas al email, aunque esta "uncin ya es propia de snort 3l estar programado en =ava puede ser utili!ado desde cualquier plata"orma, pero S38 tiene que estar instalado en un servidor 7eb 3pache con 8ySM& o =D<)

80s in"ormacin y descarga de S38: http://pro+ects dar>aslight com/pro+ects/sho6/sam )on"iguracin remota de pol*ticas de IDS S5?',: http://vtroger blogspot com/2$$F/%%/con"iguracinEremotaEdeEpolticasEdeEids html

C'n+i1)ra"i#n rem'ta de %' :ti"a! de IDS SNORT.

:tili!ando la herramienta IDS Policy 8anager se puede con"igurar las pol*ticas de Snort de "orma remota y con un intuitivo inter"a! gra"ico .sta herramienta "acilita mucho la con"iguracin de Snort 3dem0s IDS Policy 8anager permite reali!ar cambios r0pidos en la con"iguracin del IDS para darle m0s e"icacia al sistema, en caso de incidencias puntuales .ntre sus "unciones destaca: )ombina las nuevas reglas con reglas e4istentes 3ctuali!acin de reglas v*a Internet Permite cargar los archivos v*a: S(,P, "tp o compil0ndolos directamente 'einicia los sensores del Snort despu/s de modi"icar las reglas Permite reali!ar hacer copias de seguridad de las pol*ticas Soporta SnortN 2 F .s una herramienta ideal para administradores de sistemas, porque gracias a esta herramienta se pueden tener varias con"iguraciones de Snort para cada situacin 3dem0s simpli"ica mucho la con"iguracin de pol*ticas 80s in"ormacin y descarga de IDS Policy 8anager: http://666 active6or4 org/Programs/IDSPolicy8anager/tabid/AA/De"ault asp4