Академический Документы
Профессиональный Документы
Культура Документы
Otro tipo de sensores que se podran considerar son los sensores hbridos o los
sensores distribuidos, que combinan las funciones de los HIDS y de los NDIS
para explotar las ventajas de cada uno de estos tipos de sensores.
Una forma en la que un intruso pudiera ser no detectado por un NDIS es usando
una comunicacin cifrada en la red pues as la informacin capturada no podra
ser interpretada por el NDIS
Otra forma sera realizar ataques en una red con mucho trfico, (se podra saber
por el tiempo de respuesta de un ping, por ejemplo) usando paquetes
fragmentados, pues el NDIS no podra ser capaz de analizar todos los paquetes
para determinar el ataque, y encima se aadira el inconveniente de que stos
estn fragmentados.
Algunos ejemplos de herramientas NDIS son: Snort o Bro que son de cdigo
abierto o Etrust Intrusion Detection o Cisco Secure Intrusion Detection Sysytem
que son herramientas comerciales.
Una herramienta que puede utilizar esta tcnica es Nessus. Otras herramientas
podrn ser Retina Network Community, OpenVas o NeXpose Community
Edition.
1.5 Per qu els equips de decepci proporcionen un valor afegit tan important
en l'mbit de detecci i prevenci d'intrusions? Argumenta en quin lloc dels
marcats amb *desplegaries un equip de decepci en el diagrama de xarxa
adjunt.
[ Xarxa interna ] * <-> Tallafocs 1 <-> DMZ <-> * Tallafocs 2 *
<-> Internet
| |
Servidor BD Servidor mail
Por esta regla de tres, los equipos de decepcin que instalara seran los
siguientes:
Entre el cortafuego 1 y la red interna para intentar atraer a los atacantes a
la red interna de la empresa
Entre el cortafuego 2 y la zona DMZ para intentar atraer a los atacantes
de la zona desmilitarizada que contiene el servidor de correo y la BD de la
empresa.
2.1 Qu s el projecte HoneyMix i quins problemes intenta solucionar?
Las limitaciones que presenta, debido a que no tiene un control minucioso sobre
los datos, es que no puede emular a 2 o ms sistemas vulnerables (HoneyPots)
con el mismo servicio a la vez. Por ejemplo si usa un servicio HTTP para emular
un ataque XSS en un HoneyPot y se usa un servicio HTTP para emular Sql
Injection en otro, no es capaz de recoger o filtrar los datos de ambos ataques a
la vez, solo podr usar uno.
Una de las ventajas que tiene HoneyMix sobre una HonyeNet es que es ms
inteligente, gracias al uso de SDN (Redes definidas por Software), en el sentido
de que es capaz de crear un mapa con todos los servicios disponibles en la red y
administrar el control de los datos de estos servicios.
5. SDN switch. Es gestionado por el motor FDE. En caso de ataque, conecta con
HoneyMix para recibir las instrucciones sobre qu direccin debe tomar el flujo
de datos para redirigirlo al HoneyPot apropiado, ponindolo en cuarentena, y
gracias al uso de NFV, crea una nueva instancia del HoneyPot afectado y
establece un nuevo flujo de datos para dicha instancia.
2.4 Quines tcniques s'utilitzen per realitzar fingerprinting de sistemes de
decepci honeypot?
Hay varias tcnicas que pueden utilizar los intrusos para detectar si estn en un
sistema honeypot, algunas de ellas son:
3.2.1 Crea unes signatures per a detectar datagrames ICMP Echo Request i una
altra per a detectar els ICMP Timestamp Request.
Per a fer que es processin aquestes firmes, utilitza eines com hping3 i nmap per
generar el trnsit necessari.
Com a resposta a aquest apartat, inclou les signatures creades, les comandes
utilitzades i el contingut de l'arxiu signatures.log.
Las rdenes que he ejecutado para hacer peticiones ICMP Timestamp Request:
nmap -sn 192.168.1.128
hping3 192.168.1.128 --icmp-ts
Las rdenes que he ejecutado para hacer peticiones ICMP Echo Request:
hping3 192.168.1.128 --icmp
nmap -PR 192.168.1.128
3.2.2 Crea una signatura per a detectar connexions al port TCP/80 de la teva
mquina Kali Linux. Per a aix, abans inicia el servidor Apache2 amb la segent
comanda:
/etc/init.d/apache2 start
3.2.3 Crea unes signatures per a detectar connexions al port TCP/80 de la teva
mquina Kali Linux que continguin la paraula root tant en la URL com al
payload de la petici HTTP. Per a aix, abans inicia el servidor Apache2 amb la
segent comanda:
/etc/init.d/apache2 start
Com a resposta a aquest apartat, inclou les signatures creades, les comandes
utilitzades i el contingut de l'arxiu signatures.log.
Per a aquests apartats utilitzarem un arxiu pcap que cont malware, i que
podem descarregar de la segent URL.
http://malware-traffic-analysis.net/2016/03/14/2016-03-14-Rig-EK-
afterdtransrentcar.com.pcap
3.3.1 Extreu els arxius del pcap utilitzant Bro. Per aix es suggereixen dos
scripts:
lscript Bro de la segent URL a lapartat "Part 3: Extract All The Files".
https://www.bro.org/current/exercises/faf/index.html#part-3-extract-all-
thefiles
Com a resposta a aquest apartat, inclou les comandes utilitzades, els scripts
utilitzats, el llistat darxius extrets, els tipus d'arxius mitjanant l's de l'eina
file , i els hashes MD5 i SHA1.
Para hacer este ejercicio, lo primero que he hecho es extraer los archivos del
pcap pero usando el script hash-all-files.bro, para que aada en files.log el
hash del MD5 y del SHA1, tal como se explica en
https://www.bro.org/current/exercises/faf/index.html. El objetivo es comprobar
que coinciden con la comprobacin final que se hace de hashes. La orden es:
(Nota he hecho una copia de files.log con el nombre files_hash.log)
3.3.2 Carrega el segent script Bro que realitza cerques contra la base de
dades de Team Cymru mitjanant el hash SHA1 dels arxius que es transfereixen
a travs de la xarxa. Per aix, modifica larxiu /etc/bro/site/local.bro i fes servir la
directiva
" @load "./usr/share/bro/policy/frameworks/files/detect-MHR.bro
Referncies
http://www.team-cymru.org/MHR.html
https://www.bro.org/sphinx/scripts/policy/frameworks/files/detect-
MHR.bro.html
He iniciado el script local desde una carpeta llamada analizar, con la orden:
bro -i eth0 C local Site::local_nets += {192.168.1.0/24, 172.17.0.0/16}
(Nota: no he tenido que hacer nada ya que la lnea @load
frameworks/files/detect-MHR ya estaba descomentada)
https://www.virustotal.com/en/search/?
query=a5e4171f0b7631f70bf1110c121d8bd60b214e16
En este link, sale un informe donde aparece que el nombre del archivo original
analizado es: HTTP-Fq8PFd2Y4tfPc9CPZd
Como curiosidad comentar que hasta la fecha es detectado como malware por
32 de los 56 antivirus que lo analizan (56%). Entre los que lo detectan destacan
Avast, Kaspersky, McAfee, Symantec y Microsoft, y entre los que no lo detectan
destacan Comodo, F-Prot, MalwareBytes y Panda
Referncia
https://www.bro.org/sphinx-git/logs/index.html
Per a aquests apartats utilitzarem un arxiu pcap que cont malware, i que
podem descarregar de la segent URL.
http://malware-traffic-analysis.net/2016/03/11/2016-03-11-Angler-EK-
afterfixwindowsproblems.com.pcap
Abans d'utilitzar bro-cut hem de generar els logs en format text. Per a aix,
executa Bro
per a processar l'arxiu pcap de la segent forma.
bro -r 2016-03-11-Angler-EK-after-fixwindowsproblems.com.pcap
3.4.1 Utilitza bro-cut per a processar els arxius de logs i indica la data, adrea IP
d'origen, port d'origen, direcci IP de dest, port de dest i durada per a totes les
connexions TCP. Indica la comanda utilitzada i els resultats obtinguts com a
resposta a aquest apartat.
Muestro fecha y hora separada por guiones y busco protocolo tcp en el fichero
conn.log, que nos da informacin sobre las conexiones que se han producido y
que protocolo se ha utilizado. El resultado lo creo en el fichero solucin_tcp.log
En otros ficheros log no tiene sentido analizar la informacin pues es este el que
nos aporta toda la informacin pedida. El fichero files.log aporta informacin
sobre ficheros que se usan en la conexin y http.log informa sobre las rdenes
que usa el protocolo http
3.4.2 Utilitza bro-cut per a processar els arxius de logs i indica la data, adrea IP
d'origen, port de dest, longitud de resposta (en bytes), nom del host dest i URI
per a totes les connexions HTTP amb una longitud de resposta major a 0 bytes.
Indica la comanda utilitzada i els resultats obtinguts com a resposta a aquest
apartat.
bro-cut uid resp_bytes < conn.log | awk '$2>0' | sort > file_conn.log
bro-cut uid -U %d-%m-%Y ts id.orig_h id.resp_p host uri < http.log | sort | unique
file_http.log
Por ltimo uno los ficheros por su primer campo en comn, uid, y obtengo el
resultado final.
Nota: A pesar de unir por su UID, se pueden apreciar resultados con UID
repetidos, esto se debe a que hay filas que tienen el mismo UID pero diferente
URI en el fichero http.log