2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01

7/25/2019 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01

1/51

Tema 4. Deteccion de Instrusos

Tema 4. Deteccion de InstrusosSeguridad en Informatica 2

Francisco Medina Lopez

Facultad de Contadura y AdministracionUniversidad Nacional Autonoma de Mexico

2014-2
http://find/http://goback/


2/51


Agenda

1 Introduccion a la Deteccion de Intrusos

2 Sistemas de Deteccion de Intrusos en Red

3 Sistemas de Prevencion de Intrusiones

4 Snort como IDS/IPS
http://find/


3/51


Introduccion a la Deteccion de Intrusos

1 Introduccion a la Deteccion de IntrusosDefiniciones y ConceptosComponentesCaractersticas



http://find/


4/51



Definiciones y Conceptos




http://find/


5/51




Que es una intrusion?

Definicion

Secuencia de eventos relacionados que deliberadamente tratan decausar dano, como hacer un sistema indisponible, acceder ainformacion no autorizada o manipular dicha informacion.

Esta definicion aplica tanto para intentos fallidos, como para losexitosos

T 4 D i d I


6/51




Que son los Sistemas de Deteccion de Intrusos?

Deteccion de Intrusos

Proceso de vigilar y analizar eventos que ocurren en un sistemade computo o red para buscar signos que indiquen problemas deseguridad (violaciones a polticas).

Sistema de Deteccion de Intrusos

Herramientas, metodos y recursos que ayudan a detectar,identificar y reportar actividad no autorizada en un servidor o una

red.

Los sistemas:

Ejecutan funciones de centinelaAlertan y activan alarmas a partes

responsables cuando ocurren actosde interes

Los IDSs realmente no detectanintrusos, detectan trafico en la redque puede o no, ser una intrusion

T 4 D t i d I t
http://find/


7/51




Funciones de un IDS

Registrar indicadores de actividad de intrusos .

Activar las alertas correspondientes.

Puede buscar ataques provenientes de fuera de la red.

Monitorear las actividades desde la red interna .

Algunos IDSs tambien buscan actividades anomalas.Requiere configuracion adaptada a peculiaridades de la red quese busca defender.

El IDS puede tomar acciones automaticas cuando ocurren

ciertas condiciones.Ejemplo: enviar mensaje de radio al administrador del sistema.

Muchos IDSs pueden configurarse para atacarautomaticamente a los sospechosos.

Otros se optimizan para recoger informacion para analisis

forense en tiempo real.

Tema 4 Deteccion de Instrusos
http://find/


8/51




Proceso basico de deteccion de intrusos

Intrusion Detection & Prevention, Carl Endorf, Eugene.



9/51



Componentes





http://goforward/http://find/http://goback/


10/51



Componentes

http://wiki.hill.com/wiki/index.php?title=Intrusion_detection_system

Fuente de Datos

Proporciona el flujo de registros deeventos

Motor de Analisis

Encuentra indicadores de intrusion

Componente de Respuestas

Genera reacciones basadas en el

resultado arrojado por el motor deanalisis

http://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://wiki.hill.com/wiki/index.php?title=Intrusion_detection_systemhttp://find/


11/51



Componentes

Fuente de Datos del IDS

Cuatro tipos

HostRedAplicacionObjetivo

El monitor o sensor:

Recolecta informacion de una fuente de datos y la pasa almotor de analisis

http://find/


12/51


Componentes

Fuente de Datos del IDS (2)

Monitores basados en host

Recogen datos de fuentes internas a una computadora (usual:

nivel de S.O.)Estas fuentes pueden incluir registros de auditora del S.O. ybitacoras del mismo

Monitores basados en red

Recogen paquetes que pasan por la redFrecuente: uso de dispositivos de red configurados en modopromiscuo

http://find/


13/51


Componentes

Fuente de Datos del IDS (3)

Monitores basados en aplicaciones

Obtienen informacion de aplicaciones en ejecucion

Las fuentes son bitacoras de aplicaciones y otros registrosinternos de ellas

Monitores basados en objetivo

Generan sus propios datosUsan criptografa de hash para detectar alteraciones a objetosdel sistemaComparan alteraciones con una poltica

http://find/


14/51


Componentes

Motor de Analisis

Definidas las fuentes de informacion, se debe determinar elmotor de busqueda

Este toma informacion de las fuentes y la examina paradetectar sntomas de ataques o violaciones a la poltica deseguridad.

Mayora de casos: se recurre a tres tipos de analisis:

Deteccion basada en FirmasDeteccion basada en AnomalasMezcla de los dos

http://find/


15/51


Componentes

Motor de Analisis (2)

Deteccion de Abusos:

Se busca ocurrencia de algo definido como maloPara ello, se filtran eventos buscando patrones de actividadcoincidentes con ataques o violacion a poltica de seguridad

Usa tecnicas de coincidencia de patronesGeneral: sistemas comerciales usan esta tecnica

Deteccion de Anomalas:

Se busca algo raro o inusualSe analizan eventos del sistema usando tecnicas estadsticas

Para hallar patrones de actividad aparentemente anormalesMixto

Deteccion de anomalas permite identificar ataques nuevos odesconocidosDeteccion de abusos protege contra ataques conocidos

http://find/


16/51


Componentes

Motor de Analisis (3)

http://find/


17/51


Componentes

Respuestas

Identificada la ocurrencia, el IDS debe determinar la accion aejecutar

No limitada a accion contra sospechoso: disparar alarmas dediferentes tiposSe pueden incluir mensajes a consola del administrador de laredEnvo de mensaje al localizador del administrador

Otra respuesta es modificar el IDS o el sistema vigiladoModificacion en IDS puede incluir cambio en el tipo de analisisque se hace

En el caso de los sistemas vigilados:Cambios en configuracion

Modificaciones a privilegios de acceso

Respuesta comun:Registrar resultados del analisis en bitacora usada para generar

reportes

http://find/


18/51


Caractersticas





http://find/


19/51


Caractersticas

Caractersticas deseables en IDSs

Efectividad:

Requerimiento mas importante: IDSs deben detectar de formaexacta y consistente los ataques, o patrones definidos

Facilidad de uso:Expertos en seguridad difciles y caros

Necesario manejo por no expertos en seguridad

Adaptabilidad:

IDS debe adaptarse a diferentes plataformas, ambientes ypolticasMayora de ambientes no son homogeneos

IDS capaz de entender entradas de otros sistemas


I d i l D i d I


20/51


Caractersticas

Caractersticas deseables en IDSs (2)

Robustez:

IDS suficientemente confiableTener mecanismos redundantes y caractersticas que permitan

operar en caso de fallas

Rapidez:

Ser capaz de ejecutar vigilanciaReportar eventos en momento de ocurrencia

Eficiencia:Uso optimo de recursos de computo, almacenamiento, y anchode bandaAfectacion mnima al desempeno del sistema vigilado


I t d i l D t i d I t
http://find/


21/51


Caractersticas

Caractersticas deseables en IDSs (3)

Seguridad:

Contar con caractersticas que eviten utilizacion por personal

no autorizadoEscalabilidad:

Componentes con interfaces estandar bien documentadasEstas interfases deben soportar los mecanismos deautenticacion apropiados.

Equilibrio:Permitir a usuarios mantener balance entre necesidades deadministracion y de seguridad


Sistemas de Deteccion de Intrusos en Red
http://find/


22/51



2 Sistemas de Deteccion de Intrusos en RedIntroduccion

ProblematicaEjemplos




http://find/


23/51


Introduccion









24/51


Introduccion

Definicion

NIDS

Network Intrusion DetecctionSystem, son un conjunto deherramientas, metodos yrecursos que ayudan adetectar, identificar y reportaractividad no autorizada en unared.


http://find/


25/51


Introduccion

Fuente de Datos

Port mirroring (spanning): Copias de los paquetes de entraday salida son enviados a un puerto especial donde pueden seranalizados.

Network taps: Dispositivos que son colocados en el mediofsico por donde pasa el trafico.
http://find/


26/51




27/51

Problematica

Desventajas con IDSs en basados en red

Velocidad del canal

No pueden hacer frente a todo el volumen de datos que fluye

en la redEn ambientes con switches: IDS debe colocarse de tal modoque la carga pase por un puerto de escucha

Cifrado

Ningun IDS puede revisar paquetes cifrados, porque no tienelas llaves. Esto permite perpetrar ataques ocultos enconexiones cifradas




28/51

Ejemplos






Tema 4. Deteccion de InstrusosSistemas de Deteccion de Intrusos en Red


29/51

Ejemplos

Algunos IDSs basados en red

Snort

NIKSUN NetDetector

Sax2

IBM Proventia NetworkIntrusion Prevention System(IPS)

Bro

Cisco Secure IDS (NetRanger)

Cyclops

Shoki

SecureNet IDS/IPS

SecurityMetricsEnterasys Intrusion PreventionSystem

Juniper Networks ISG Series

Integrated Security Gateway

http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.html

Tema 4. Deteccion de InstrusosSistemas de Prevencion de Intrusiones
http://www.snort.org/http://www.niksun.com/product.php?id=4http://www.ids-sax2.com/http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://bro-ids.org/http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.htmlhttp://www.e-cop.net/http://shoki.sourceforge.net/http://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523https://www.securitymetrics.com/securitymetricsappliance.adphttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.juniper.net/us/en/products-services/security/isg-series/http://www.juniper.net/us/en/products-services/security/isg-series/http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.htmlhttp://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IDS.htmlhttp://www.juniper.net/us/en/products-services/security/isg-series/http://www.juniper.net/us/en/products-services/security/isg-series/http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttps://www.securitymetrics.com/securitymetricsappliance.adphttp://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523http://shoki.sourceforge.net/http://www.e-cop.net/http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.htmlhttp://bro-ids.org/http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www-935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097http://www.ids-sax2.com/http://www.niksun.com/product.php?id=4http://www.snort.org/http://find/http://goback/


30/51



3 Sistemas de Prevencion de IntrusionesIntroduccionEjemplos


http://find/


31/51

Introduccion





http://find/


32/51

Introduccion

Definicion

IPS

Intrusion Prevention System, son un conjunto de herramientas,metodos y recursos que ayudan a monitorear la actividad de unared esperando la ocurrencia de algun evento y ejecutando unaaccion basada en reglas predefinidas cuando este sucede.

Se consideran la evolucion de los IDSs

http://find/


33/51

Ejemplos






Ej l
http://find/


34/51

Ejemplos

Algunos IDSs basados en red

McAfee Network Security Manager

APSolute Immunity

IPS-1

Strata GuardJuniper NetScreen

SecureNet IDS/IPS

Enterasys Intrusion Prevention System

http://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.html


Ej l
http://www.mcafee.com/us/enterprise/products/network_security/network_security_manager.htmlhttp://www.radware.com/Products/ApplicationNetworkSecurity/DefensePro.aspxhttp://www.checkpoint.com/products/ips-1/http://www.stillsecure.com/strataguard/http://www.juniper.net/us/en/products-services/security/netscreen/http://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523http://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.htmlhttp://www.networkintrusion.co.uk/index.php/products/IDS-and-IPS/Network-IPS.htmlhttp://www.enterasys.com/products/advanced-security-apps/dragon-intrusion-detection-protection.aspxhttp://www.intrusion.com/Default.aspx?DN=bee1192e-5a5b-4a44-b653-efce9f846523http://www.juniper.net/us/en/products-services/security/netscreen/http://www.stillsecure.com/strataguard/http://www.checkpoint.com/products/ips-1/http://www.radware.com/Products/ApplicationNetworkSecurity/DefensePro.aspxhttp://www.mcafee.com/us/enterprise/products/network_security/network_security_manager.htmlhttp://find/


35/51

Ejemplos

Magic Quadrant for Intrusion Prevention Systems

Gartner, S.A.. es un proyectode investigacion de tecnologa

de la informacion y de firmaconsultiva con sede enStamford, Connecticut,Estados Unidos. Se conocancomo el Grupo Gartner hasta

2001.a

ahttp://www.gartner.com/

Tema 4. Deteccion de InstrusosSnort como IDS/IPS
http://www.gartner.com/http://www.gartner.com/http://find/


36/51




4 Snort como IDS/IPSIntroduccion

Instalacion y Configuracion de Snort


Introduccion
http://find/


37/51

Introduccion







Introduccion
http://find/


38/51

Introduccion

Definicion

Snort

Es un IDS / IPS liberado bajo la licencia de GPL desarrollado porla empresa Sourcefire. Uiliza tanto la deteccion basada en firmascomo anomalas.


Introduccion
http://find/


39/51

Introduccion

Caractersticas

Disponible bajo licencia GPL.

Funciona bajo plataformas Windows, GNU/Linux y Mac OS.

Muestra


Introduccion
http://find/


40/51

Historia

Snort fue desarrollado en 1998 bajo el nombre de APE por

Marty Roesch.Empezo a distribuirse a traves del sitiohttp://packetstormsecurity.com/

En Diciembre de 1999 se libera la version 1.5 con una nueva

arquitectura basada en plug-ins


Introduccion
http://packetstormsecurity.com/http://packetstormsecurity.com/http://find/


41/51

Arquitectura de Snort

1 Modulo de captura del trafico.

2 Decodificador.

3 Preprocesadores

4 Motor de Deteccion.

5 Archivo de Reglas.

6 Plugins de deteccion.

7 Plugins de salida.


Introduccion
http://find/


42/51

Categoras de reglas Snort

1 Reglas de Protocolo: Son dependientes del protocolo que seesta analizando, por ejemplo en el protocolo httpesta la

palabra reservada uricontent.2 Reglas de Contenido Genericas: Permiten especificar

patrones para buscar en el campo de datos del paquete, lospatrones de busqueda pueden ser binarios o en modo ASCII,

esto es muy util para buscar exploits los cuales suelen terminaren cadenas de tipo /bin/sh.


Introduccion
http://find/


43/51

Categoras de reglas Snort (2)

3 Reglas de Paquetes Malformados: Especificancaractersticas sobre los paquetes, concretamente sobre suscabeceras las cuales indican que se esta produciendo algun

tipo de anomala, este tipo de reglas no miran en el contenidoya que primero se comprueban las cabeceras en busca deincoherencias u otro tipo de anomala.

4 Reglas IP: Se aplican directamente sobre la capa IP, y soncomprobadas para cada datagrama IP, si el datagrama luegoes Tcp, Udp o Icmp se realizara un analisis del datagrama consu correspondiente capa de protocolo, este tipo de reglasanaliza con contenido y sin el.


Introduccion
http://find/


44/51

Evaluacion de reglas en Snort

A5 Deteccion de ataques en red con Snort, Joaqun Garca Alfaro, P.10


http://find/


45/51







http://find/


46/51

Instalacion de Snort en Kali Linux

Para realizar la instalacion de snort sobre Kali Linux ejecutar elsiguiente comando:

apt-get -y install snort


http://find/


47/51

Configuracion de Snort en Kali Linux

El primer paso en la configuracion de Snort, es establecer la

interfaz de red que vamos a utilizar comosensor.


http://find/


48/51

Configuracion de Snort en Kali Linux (2)

Indicar la direccion IP del equipo o el bloquederedaanalizar.


http://find/


49/51

Inicio de Snort

Para iniciar Snort en modo consola usar el comando:

snort -q -A console -i eth1 -c

/etc/snort/snort.conf

Para iniciar Snort como daemon usar el comando:

service snort startUtilizar el comando tail para monitorear los resultados entiempo real

tail -f /var/log/snort/alert.log

Tema 4. Deteccion de InstrusosConclusiones
http://find/


50/51

Conclusiones

Un IPS protege al equipo proactivamente y un IDS lo protegereactivamente.

IDS es solo una parte de las herramientas de seguridad, nodebe considerarse como una contramedida por si solo.

Tema 4. Deteccion de InstrusosReferencias bibliograficas


51/51

Referencias bibliograficas I

Andrew Williams.Snort Intrusion Detection and Prevention Toolkit(2007)

Carl Endorf, Eugene Schultz y Jim MellanderIntrusion Detection & Prevention (2004)
http://find/

2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01

Documents

Transcript of 2014 2 Seugirdad Informatica2 Tema4 Ids 140506201912 Phpapp01