Académique Documents
Professionnel Documents
Culture Documents
Monitoreo de redes y
Sistemas de Detección de
Intrusiones
SEGURIDAD DE LA INFORMACION
Network Security Monitoring
S E G U R I DAD DE LA I N F O R MAC I O N
Y su continuación
S E G U R I DAD DE LA I N F O R MAC I O N
Recolección y almacenamiento de
tráfico
S E G U R I DAD DE LA I N F O R MAC I O N
Contenido Completo
• Proposito
–Almacenar los paquetes completos brinda maxima
flexibilidad para el análisis.
–Los paquetes pueden ser posteriormente analizados
por múltiples herramientas de análisis.
–Otras herramientas están limitadas por el tipo de
selección que realizan.
–Mayores posibilididades de análisis forense post-
incidente.
–El cifrado oculta el contenido pero no los encabezados
(en túneles, se ven los extremos)
5
Generación de datos de sesiones
Proposito
6
Ejemplo Argus (http://qosient.com/argus/)
S E G U R I DAD DE LA I N F O R MAC I O N
NFSen (http://nfsen.sourceforge.net)
S E G U R I DAD DE LA I N F O R MAC I O N
Generación de datos estadísticos
Proposito
9
Ejemplo tcpdstat
S E G U R I DAD DE LA I N F O R MAC I O N
Estadísticas Wireshark
S E G U R I DAD DE LA I N F O R MAC I O N
IDS – Sistemas de Detección de Intrusiones
S E G U R I DAD DE LA I N F O R MAC I O N 12
Problemas comunes de los IDS
Falsos positivos: Ocurre cuando la herramienta clasifica una acción como una
posible intrusión cuando se trata de un comportamiento legítimo, que no
constituye una violación de seguridad. Muchas veces se pueden disminuir los
falsos positivos haciendo más específicas las descripciones de los patrones de
detección de una vulnerabilidad.
S E G U R I DAD DE LA I N F O R MAC I O N
Objetivos
S E G U R I DAD DE LA I N F O R MAC I O N
Objetivos
S E G U R I DAD DE LA I N F O R MAC I O N
Clasificación de IDS
S E G U R I DAD DE LA I N F O R MAC I O N 16
Basados en patrones
• NIDS
– Reconocimiento de patrones en el tráfico de red para
identificar intentos de ataques conocidos
• HIDS
– Monitoreo automático de Logs
– Chequeo de integridad de archivos
S E G U R I DAD DE LA I N F O R MAC I O N 17
Basados en anomalías
• NIDS
– Monitoreo estadístico de tráfico para determinar
actividad de DoS, escaneo de puertos, brute-force
login
• HIDS
– Comportamiento extraño de usuarios
– Parametros del sistema excedidos: Logins fallidos,
Carga de CPU, etc.
S E G U R I DAD DE LA I N F O R MAC I O N 18
¿Dónde ubicar el IDS?
S E G U R I DAD DE LA I N F O R MAC I O N 19
Ataques a NIDS
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplo: Fragmentación IP
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplo NIDS: SNORT
S E G U R I DAD DE LA I N F O R MAC I O N 22
Arquitectura
S E G U R I DAD DE LA I N F O R MAC I O N
Snort: Componentes básicos
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplos preprocesadores
HTTP_inspect
Este preprocesador es utilizado para procesar las URIs contenidas en
las solicitudes HTTP. Su principal función consiste en normalizar las
URIs para que aparezcan en su forma más simple y unívoca. Algunas
técnicas de evasión de IDS se basan en escribir los URIs de un
request HTTP de manera distinta para que el IDS no detecte el ataque,
y en este hecho reside la gran utilidad del preprocesador http_inspect.
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplos Reglas Snort
S E G U R I DAD DE LA I N F O R MAC I O N 26
Ejemplos Reglas Snort – MS015-034
S E G U R I DAD DE LA I N F O R MAC I O N 27
Alertas generadas por Snort
S E G U R I DAD DE LA I N F O R MAC I O N 28
Snorby (https://snorby.org/)
S E G U R I DAD DE LA I N F O R MAC I O N
Bro NSM (http://www.bro.org/)
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplo log bro-ids
• 2013-01-16T19:09:47+0000 90E6goBBSw3
192.168.238.152 41482 217.160.51.31 80 1 GET
www.testmyids.com / - Mozilla/5.0 (X11; Ubuntu; Linux
x86_64; rv:18.0) Gecko/20100101 Firefox/18.0 0 39
200 OK - - - (empty) - - - text/plain - -
• 2013-01-16T19:09:47+0000 90E6goBBSw3
192.168.238.152 41482 217.160.51.31 80 2 GET
www.testmyids.com /favicon.ico - Mozilla/5.0 (X11;
Ubuntu; Linux x86_64; rv:18.0) Gecko/20100101
Firefox/18.0 0 640 404 Not Found - -- (empty) - - -
text/html - -
S E G U R I DAD DE LA I N F O R MAC I O N
HIDS - Swatch
S E G U R I DAD DE LA I N F O R MAC I O N
Logcheck (http://www.logcheck.org)
S E G U R I DAD DE LA I N F O R MAC I O N
logcheck
Security Events
=-=-=-=-=-=-=-=
Aug 1 09:09:34 matute sshd[1401]: (pam_unix) authentication
failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=10.xx.yy.26
Aug 1 09:09:36 matute sshd[1401]: error: PAM: User not
known to the underlying authentication module for illegal
user n3ssus from 10.xx.yy.26
System Events
=-=-=-=-=-=-=
Aug 1 09:21:31 matute sshd[2473]: Did not receive
identification string from 10.xx.yy.26
Aug 1 09:21:37 matute sshd[2474]: Bad protocol version
identification 'GET / HTTP/1.0' from 10.xx.yy.26
S E G U R I DAD DE LA I N F O R MAC I O N
HIDS: Tripwire, Aide
S E G U R I DAD DE LA I N F O R MAC I O N 36
Ejemplo Reporte Aide
Envelope-to: root@localhost.localdomain
Delivery-date: Fri, 14 Apr 2006 06:25:16 -0300
To: root@localhost.localdomain
Subject: Daily AIDE report for localhost.localdomain
From: root <root@localhost.localdomain>
added:/usr/bin/tftp
File: /bin/tar
Size : 163820 , 163852
Bcount: 328 , 336
Mtime : 2004-08-03 11:31:59 , 2006-02-24 18:21:24
Ctime : 2006-01-27 09:24:39 , 2006-03-27 19:56:39
Inode : 2326559 , 2326584
MD5 : lqHdZO5kJKbPp4OQFdmNZw== , 0O0qYuZFk3VRPSEaK8Xp+w==
SHA1 : sB7B1di8CecXlpNZ16kw/kSLVVs= , Xu6u1r5mPWNOT4iB3w4Dp9KRp58=
S E G U R I DAD DE LA I N F O R MAC I O N
Otro HIDS: ossec (http://www.ossec.net/)
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplos OSSEC
OSSEC HIDS Notification. 2007 Aug 14 13:20:23
[Tue Aug 14 13:20:23 2007] [error] [client 10.xx.yy.51] user test not found: /nagios2/,
referer: http://monitor.arcert.gov.ar/
Aug 14 13:08:04 monitor sshd[21642]: Bad protocol version identification 'quit' from
UNKNOWN
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplos OSSEC
S E G U R I DAD DE LA I N F O R MAC I O N
Ejemplos OSSEC
S E G U R I DAD DE LA I N F O R MAC I O N
IPS – Sistemas de Prevención de Intrusiones
S E G U R I DAD DE LA I N F O R MAC I O N 42
IPS de red
Ejemplo de Regla:
drop tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg:"SMTP
AUTH user overflow attempt"; flow:to_server,established;
content:"AUTH"; nocase; pcre:"/^AUTH\s+\S+\s+[^\n]{128}/mi";
reference:bugtraq,13772; classtype:attempted-admin; sid:3824; rev:1;)
S E G U R I DAD DE LA I N F O R MAC I O N 43
ModSecurity (https://www.modsecurity.org/)
ModSecurity es un motor de
detección y prevención de
intrusiones para aplicaciones web.
Operando como un módulo del
servidor web apache, el propósito
de ModSecurity es aumentar la
seguridad de aplicaciones web,
protegiendolas de ataques
conocidos y desconocidos.
Es un Web application Firewall.
44
Características
S E G U R I DAD DE LA I N F O R MAC I O N
Configuración
S E G U R I DAD DE LA I N F O R MAC I O N
Honeypots
SEGURIDAD DE LA INFORMACION
Tipos de honeypots
• Baja Interacción
– Emula Servicios, aplicaciones, SO
– Bajo riesgo y facil de instalar y mantener, pero
captura información limitada.
• Alta Interacción
– Servicios, aplicaciones y SO reales
– Captura mucha información, pero riesgo alto y
consumen mucho tiempo para mantener.
S E G U R I DAD DE LA I N F O R MAC I O N 48
Ejemplos de honeypots
Baja
Interacción
• Honeyd
• Nepenthes/Dionaea
• Honeynets
Alta interacción
S E G U R I DAD DE LA I N F O R MAC I O N 49
Honeypots
• Honeyd (http://www.honeyd.org)
S E G U R I DAD DE LA I N F O R MAC I O N 50
Dionaea (http://dionaea.carnivore.it/)
S E G U R I DAD DE LA I N F O R MAC I O N 51
Honeynets
S E G U R I DAD DE LA I N F O R MAC I O N 52
Como trabaja
http://www.honeynet.org/papers/honeynet/
S E G U R I DAD DE LA I N F O R MAC I O N 53
Arquitectura de honeynets
S E G U R I DAD DE LA I N F O R MAC I O N 54
Control de flujo de datos
S E G U R I DAD DE LA I N F O R MAC I O N 55
Control de flujo de datos
No Restrictions
Honeypot
Internet
Honeywall
S E G U R I DAD DE LA I N F O R MAC I O N 56
Captura de datos
• Actividad de red
• Actividad de aplicaciones
• Actividad del sistema
S E G U R I DAD DE LA I N F O R MAC I O N 57
Sebek
S E G U R I DAD DE LA I N F O R MAC I O N 58
Arquitectura Sebek
S E G U R I DAD DE LA I N F O R MAC I O N 59
Capture-HPC Client honeypot
S E G U R I DAD DE LA I N F O R MAC I O N