Академический Документы
Профессиональный Документы
Культура Документы
Monitoreo de redes y
Sistemas de Deteccin de
Intrusiones
SEGURIDAD DE LA INFORMACION
Network Security Monitoring
SEGURIDAD DE LA INFORMACION
Y su continuacin
SEGURIDAD DE LA INFORMACION
Recoleccin y almacenamiento de
trfico
SEGURIDAD DE LA INFORMACION
Contenido Completo
Proposito
Almacenar los paquetes completos brinda maxima
flexibilidad para el anlisis.
Los paquetes pueden ser posteriormente analizados
por mltiples herramientas de anlisis.
Otras herramientas estn limitadas por el tipo de
seleccin que realizan.
Mayores posibilididades de anlisis forense post-
incidente.
El cifrado oculta el contenido pero no los encabezados
(en tneles, se ven los extremos)
5
Generacin de datos de sesiones
Proposito
6
Ejemplo Argus (http://qosient.com/argus/)
SEGURIDAD DE LA INFORMACION
NFSen (http://nfsen.sourceforge.net)
SEGURIDAD DE LA INFORMACION
Generacin de datos estadsticos
Proposito
9
Ejemplo tcpdstat
SEGURIDAD DE LA INFORMACION
Estadsticas Wireshark
SEGURIDAD DE LA INFORMACION
IDS Sistemas de Deteccin de Intrusiones
SEGURIDAD DE LA INFORMACION 12
Problemas comunes de los IDS
SEGURIDAD DE LA INFORMACION
Objetivos
SEGURIDAD DE LA INFORMACION
Objetivos
SEGURIDAD DE LA INFORMACION
Clasificacin de IDS
SEGURIDAD DE LA INFORMACION 16
Basados en patrones
NIDS
Reconocimiento de patrones en el trfico de red para
identificar intentos de ataques conocidos
HIDS
Monitoreo automtico de Logs
Chequeo de integridad de archivos
SEGURIDAD DE LA INFORMACION 17
Basados en anomalas
NIDS
Monitoreo estadstico de trfico para determinar
actividad de DoS, escaneo de puertos, brute-force
login
HIDS
Comportamiento extrao de usuarios
Parametros del sistema excedidos: Logins fallidos,
Carga de CPU, etc.
SEGURIDAD DE LA INFORMACION 18
Dnde ubicar el IDS?
SEGURIDAD DE LA INFORMACION 19
Ataques a NIDS
SEGURIDAD DE LA INFORMACION
Ejemplo: Fragmentacin IP
SEGURIDAD DE LA INFORMACION
Ejemplo NIDS: SNORT
SEGURIDAD DE LA INFORMACION 22
Arquitectura
SEGURIDAD DE LA INFORMACION
Snort: Componentes bsicos
SEGURIDAD DE LA INFORMACION
Ejemplos preprocesadores
HTTP_inspect
Este preprocesador es utilizado para procesar las URIs contenidas en
las solicitudes HTTP. Su principal funcin consiste en normalizar las
URIs para que aparezcan en su forma ms simple y unvoca. Algunas
tcnicas de evasin de IDS se basan en escribir los URIs de un
request HTTP de manera distinta para que el IDS no detecte el ataque,
y en este hecho reside la gran utilidad del preprocesador http_inspect.
SEGURIDAD DE LA INFORMACION
Ejemplos Reglas Snort
SEGURIDAD DE LA INFORMACION 26
Ejemplos Reglas Snort MS015-034
SEGURIDAD DE LA INFORMACION 27
Alertas generadas por Snort
SEGURIDAD DE LA INFORMACION 28
Snorby (https://snorby.org/)
SEGURIDAD DE LA INFORMACION
Bro NSM (http://www.bro.org/)
SEGURIDAD DE LA INFORMACION
Ejemplo log bro-ids
2013-01-16T19:09:47+0000 90E6goBBSw3
192.168.238.152 41482 217.160.51.31 80 1 GET
www.testmyids.com / - Mozilla/5.0 (X11; Ubuntu; Linux
x86_64; rv:18.0) Gecko/20100101 Firefox/18.0 0 39
200 OK - - - (empty) - - - text/plain - -
2013-01-16T19:09:47+0000 90E6goBBSw3
192.168.238.152 41482 217.160.51.31 80 2 GET
www.testmyids.com /favicon.ico - Mozilla/5.0 (X11;
Ubuntu; Linux x86_64; rv:18.0) Gecko/20100101
Firefox/18.0 0 640 404 Not Found - -- (empty) - - -
text/html - -
SEGURIDAD DE LA INFORMACION
HIDS - Swatch
SEGURIDAD DE LA INFORMACION
Logcheck (http://www.logcheck.org)
SEGURIDAD DE LA INFORMACION
logcheck
Security Events
=-=-=-=-=-=-=-=
Aug 1 09:09:34 matute sshd[1401]: (pam_unix)
authentication failure; logname= uid=0 euid=0 tty=ssh
ruser= rhost=10.xx.yy.26
Aug 1 09:09:36 matute sshd[1401]: error: PAM: User not
known to the underlying authentication module for
illegal user n3ssus from 10.xx.yy.26
System Events
=-=-=-=-=-=-=
Aug 1 09:21:31 matute sshd[2473]: Did not receive
identification string from 10.xx.yy.26
Aug 1 09:21:37 matute sshd[2474]: Bad protocol version
identification 'GET / HTTP/1.0' from 10.xx.yy.26
SEGURIDAD DE LA INFORMACION
HIDS: Tripwire, Aide
Envelope-to: root@localhost.localdomain
Delivery-date: Fri, 14 Apr 2006 06:25:16 -0300
To: root@localhost.localdomain
Subject: Daily AIDE report for localhost.localdomain
From: root <root@localhost.localdomain>
added:/usr/bin/tftp
File: /bin/tar
Size : 163820 , 163852
Bcount: 328 , 336
Mtime : 2004-08-03 11:31:59 , 2006-02-24 18:21:24
Ctime : 2006-01-27 09:24:39 , 2006-03-27 19:56:39
Inode : 2326559 , 2326584
MD5 : lqHdZO5kJKbPp4OQFdmNZw== , 0O0qYuZFk3VRPSEaK8Xp+w==
SHA1 : sB7B1di8CecXlpNZ16kw/kSLVVs= , Xu6u1r5mPWNOT4iB3w4Dp9KRp58=
SEGURIDAD DE LA INFORMACION
Otro HIDS: ossec (http://www.ossec.net/)
SEGURIDAD DE LA INFORMACION
Ejemplos OSSEC
OSSEC HIDS Notification. 2007 Aug 14 13:20:23
[Tue Aug 14 13:20:23 2007] [error] [client 10.xx.yy.51] user test not found:
/nagios2/, referer: http://monitor.arcert.gov.ar/
SEGURIDAD DE LA INFORMACION
Ejemplos OSSEC
SEGURIDAD DE LA INFORMACION
Ejemplos OSSEC
OSSEC HIDS Notification. 2006 Oct 24 18:46:29
Received From: (xx) 200.1.2.a->/var/log/maillog
Rule: 3354 fired (level 12) -> "Multiple misuse of SMTP service (bad
sequence of commands)."
Portion of the log(s):
SEGURIDAD DE LA INFORMACION
IPS Sistemas de Prevencin de Intrusiones
SEGURIDAD DE LA INFORMACION 42
IPS de red
Ejemplo de Regla:
drop tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25 (msg:"SMTP
AUTH user overflow attempt"; flow:to_server,established;
content:"AUTH"; nocase; pcre:"/^AUTH\s+\S+\s+[^\n]{128}/mi";
reference:bugtraq,13772; classtype:attempted-admin; sid:3824; rev:1;)
SEGURIDAD DE LA INFORMACION 43
ModSecurity (https://www.modsecurity.org/)
ModSecurity es un motor de
deteccin y prevencin de
intrusiones para aplicaciones web.
Operando como un mdulo del
servidor web apache, el propsito
de ModSecurity es aumentar la
seguridad de aplicaciones web,
protegiendolas de ataques
conocidos y desconocidos.
Es un Web application Firewall.
44
Caractersticas
SEGURIDAD DE LA INFORMACION
Configuracin
SEGURIDAD DE LA INFORMACION
Honeypots
SEGURIDAD DE LA INFORMACION
Tipos de honeypots
Baja Interaccin
Emula Servicios, aplicaciones, SO
Bajo riesgo y facil de instalar y mantener, pero
captura informacin limitada.
Alta Interaccin
Servicios, aplicaciones y SO reales
Captura mucha informacin, pero riesgo alto y
consumen mucho tiempo para mantener.
SEGURIDAD DE LA INFORMACION 48
Ejemplos de honeypots
Baja Interaccin
Honeyd
Nepenthes/Dionaea
Honeynets
Alta interaccin
SEGURIDAD DE LA INFORMACION 49
Honeypots
Honeyd (http://www.honeyd.org)
SEGURIDAD DE LA INFORMACION 50
Dionaea (http://dionaea.carnivore.it/)
SEGURIDAD DE LA INFORMACION 51
Honeynets
SEGURIDAD DE LA INFORMACION 52
Como trabaja
http://www.honeynet.org/papers/honeynet/
SEGURIDAD DE LA INFORMACION 53
Arquitectura de honeynets
SEGURIDAD DE LA INFORMACION 54
Control de flujo de datos
SEGURIDAD DE LA INFORMACION 55
Control de flujo de datos
No Restrictions
Honeypot
Internet
Honeywall
SEGURIDAD DE LA INFORMACION 56
Captura de datos
Actividad de red
Actividad de aplicaciones
Actividad del sistema
SEGURIDAD DE LA INFORMACION 57
Sebek
SEGURIDAD DE LA INFORMACION 58
Arquitectura Sebek
SEGURIDAD DE LA INFORMACION 59
Capture-HPC Client honeypot
SEGURIDAD DE LA INFORMACION