Академический Документы
Профессиональный Документы
Культура Документы
Profesor:
Jean Polo Cequeda Olago
INTRODUCCIN
1. QU ES UN IDS?
Cortafuegos vs IDS
Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un
sistema o en una red, considerando intrusin a toda actividad no autorizada o no que no
debera ocurrir en ese sistema. Segn esta definicin, muchos podran pensar que ese
trabajo ya se realiza mediante los cortafuegos o firewalls.
Definicin
Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection
System) es un programa usado para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que
usan herramientas automticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo
del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta,
gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o
falsas alarmas.
Algunas de las caractersticas deseables para un IDS son:
organizacin.
Funcionamiento
Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo de
deteccin que posee o de su naturaleza y reaccin cuando detecta un posible ataque.
Los NIDS analizan el trfico de la red completa, examinando los paquetes individualmente,
comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de
red y detectando paquetes armados maliciosamente y diseados para no ser detectados por
los cortafuegos. Pueden buscar cual es el programa en particular del servidor de web al que
se est accediendo y con que opciones y producir alertas cuando un atacante intenta
explotar algn fallo en este programa. Los NIDS tienen dos componentes:
Un sensor: situado en un segmento de la red, la monitoriza en busca de trfico sospechoso
Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la configuracin
reacciona a las alarmas recibidas.
Las principales ventajas del NIDS son:
Detectan accesos no deseados a la red.
No necesitan instalar software adicional en los servidores en produccin.
Fcil instalacin y actualizacin por que se ejecutan en un sistema dedicado.
Como principales desventajas se encuentran:
Examinan el trfico de la red en el segmento en el cual se conecta, pero no puede detectar
un ataque en diferentes segmentos de la red. La solucin ms sencilla es colocar diversos
sensores.
Pueden generar trfico en la red.
Ataques con sesiones encriptadas son difciles de detectar.
En cambio, los HIDS analizan el trfico sobre un servidor o un PC, se preocupan de lo que
est sucediendo en cada host y son capaces de detectar situaciones como los intentos
fallidos de acceso o modificaciones en archivos considerados crticos. Las ventajas que
aporta el HIDS son:
Herramienta potente, registra comandos utilizados, ficheros abiertos,...
Tiende a tener menor nmero de falsos-positivos que los NIDS, entendiendo falsos-positivos
a los paquetes etiquetados como posibles ataques cuando no lo son.
Menor riesgo en las respuestas activas que los IDS de red.
Los inconvenientes son:
Requiere instalacin en la mquina local que se quiere proteger, lo que supone una carga
Los dos tipos de detecciones que pueden realizar los IDS son:
La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico de red, por
ejemplo, combinaciones dentro de un paquete que no se podran dar legtimamente. Este
tipo de deteccin puede incluir los intentos de un usuario por ejecutar programas sin permiso
(por ejemplo, sniffers). Los modelos de deteccin basado en el mal uso se implementan
observando como se pueden explotar los puntos dbiles de los sistemas, describindolos
mediante unos patrones o una secuencia de eventos o datos (firma) que sern
interpretados por el IDS.
Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS frente a un
posible ataque:
Pasivos.
Reactivos.
Los IDS pasivos detectan una posible violacin de la seguridad, registran la informacin y
genera una alerta.
Los IDS reactivos estn diseados para responder ante una actividad ilegal, por ejemplo,
sacando al usuario del sistema o mediante la reprogramacin del cortafuegos para impedir el
trfico desde una fuente hostil.
2. QU ES SNORT?
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo
un dominio de colisin). Es un software muy flexible que ofrece capacidades de
almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos
abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de
puertos que permite registrar, alertar y responder ante cualquier anomala previamente
definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real
(ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.
Este IDS implementa un lenguaje de creacin de reglas flexible, potente y sencillo. Durante
su instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP,
ataques web, CGI, Nmap...
Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en
nuestra red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los
logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso
NIDS). Cuando un paquete coincide con algn patrn establecido en las reglas de
configuracin, se logea. As se sabe cundo, de dnde y cmo se produjo el ataque.
An cuando tcpdump es considerada una herramienta de auditora muy til, no se considera
un verdadero IDS puesto que no analiza ni seala paquetes por anomalas. tcpdump imprime
toda la informacin de paquetes a la salida en pantalla o a un archivo de registro sin ningn
tipo de anlisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean
potencialmente maliciosas y las almacena en un registro formateado, as, Snort utiliza la
biblioteca estndar libcap y tcpdump como registro de paquetes en el fondo.
Snort est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y
UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, as como
actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan
siendo detectadas a travs de los distintos boletines de seguridad.
Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la
log toda la actividad de la red en que se ha configurado Snort para un posterior anlisis.
Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la
Intuitivamente, el usuario tiende a utilizar un elevado nmero patrones para protegerse, pero
paradjicamente esto puede perjudicar la seguridad, ya que no todos los ataques que Snort
es capaz de detectar son tiles (para el atacante) en el segmento de red que monitorizamos
y en cambio corremos el riesgo de sobrecargar la herramienta, que dejar pasar todos los
paquetes que no pueda analizar.
Para utilizarlo correctamente, tambin es necesario estudiar los patrones de trfico que
circulan por el segmento donde el sensor escucha para detectar falsos positivos y, o bien
reconfigurar la base de datos, o bien eliminar los patrones que los generan.
En definitiva, pese a todas las facilidades y automatizaciones y como casi todas las
herramientas de seguridad, es un apoyo que no puede sustituir la tarea del responsable de
seguridad que es quien debe analizar toda la informacin de forma minuciosa y continuada.
Preprocesadores.
Plugins de salida.
Los preprocesadores son componentes o plugins que pueden ser usados con Snort para
arreglar, rearmar o modificar datos, antes que el motor de deteccin haga alguna operacin
para encontrar si el paquete esta siendo enviado por un intruso. Algunos preprocesadores
realizan deteccin buscando anomalas en las cabeceras de los paquetes y generando
alertas. Son muy importantes porque preparan los datos para ser analizados contra reglas en
el motor de deteccin.
Los plugins de salida toman la salida del sistema de alerta y permiten almacenarlas en
distintos formatos o reaccionar antes el mismo. Por ejemplo: enviar emails, traps SNMP,
syslog, insertar en una base de datos, etc. Plugins de salida:
Syslog
XML
Traps SNMP
Mensajes SMB
4. COMANDOS DE SNORT
Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes
funcionalidades:
-A Set alert mode: fast, full, console, or none //(alert file alerts only)//
-v Be verbose
La instalacin se realiz una distribucin Linux (Ubuntu 12.04 propiamente dicho) por medio
de la terminal de lnea de comandos.
Se siguieron los siguientes pasos:
1. Abrir una terminal
2. Escribir el comando de instalacin de paquete
sudo apt-get install snort
En este paso pide la direccin de red local (la cual va a ser la que se estar
monitoreando). En este punto puede haber 3 opciones de configuracin:
Lo cual har que se pidan las configuraciones, que sern guardadas en el archivo
/etc/snort/snort.debian.conf
Con lo cual se nota que la interface necesaria en la wlan0 (ya que la conexin se est
realizando de manera inalmbrica).
8. Ahora se deber escribir la direccin de red que se desea escanear (paso similar al
realizado durante la instalacin, paso 3).
Modo Promiscuo significa que se analizar todos los paquetes que pasen por el
segmento aunque no sean de una conexin propia.
10.
12. Se especifica el correo electrnico en que se desea recibir los resmenes diarios.
14. Finalmente la solicitud del comando al finalizar para recargar las configuraciones
hechas.
En este ejemplo se est creando el archivo sites.rules el cual contendr reglas sobre:
El usuario ingresa a la pgina de google
El usuario ingresa a la pgina de facebook
Se est realizando un ping sobre la mquina host.
2. El anterior comando abrir un nuevo archivo del programa gedit con el nombre dado.
Como se dijo en el anterior paso se est realizando las 3 reglas. Se guarda y se cierra
el archivo.
En este ejemplo se pueden notar tanto la regla de Facebook como la regla de Ping en
funcionamiento.
Ejecucin de snort
1. Nos dirigimos hacia el directorio de snort
2. Ejecutamos snort