1. 1st Peruvian Workshop on IT Security
Sistemas de Detección de Intrusos
29.Dic.2003
Colaboración
http://escert.upc.es
Roger Carhuatocto
Miembro esCERT-UPC
Responsable de Servicios Educacionales
Instituto de Investigación UNI -FIIS esCERT-UPC
http://www.uni.edu.pe
C/ Jordi Girona, 1-3. Campus Nord, UPC
08034 Barcelona ~ España
Tel. (34)934015795 ~ Fax. (34)934017055
Atención : No se permite la reproducción total o parcial de este material sin el permiso del autor
1
Introducción
Vulnerabilidad Desarrollo Parche
Descubrimiento
pública parche aplicado
1-5 Atacantes potenciales Millones de atacantes potenciales
tiempo
Totalmente indefensos •Riesgo asumido Seguros
•Riesgo acotado
•Riesgo eliminado
§ Problemas:
§ Tiempo que transcurre desde que se descubre la vulnerabilidad y se
comenta en diversas listas de seguridad hasta que las empresas de
seguridad desarrollan el parche.
§ Durante ese periodo aparece el exploit.
§ Los técnicos analistas desarrollan el patrón del nuevo ataque para
implantarlo en los sistemas de detección de intrusos.
§ Objetivo: Reducir el tiempo que pasa desde que sale un nuevo ataque
hasta que lo detecta un IDS.
Intrusion Detection System / Roger Carhuatocto 2
2. ¿Qué es una intrusión?
§ Una intrusión puede ser definida como un conjunto de acciones que
intentan comprometer o poner en peligro la integridad, la
confidencialidad o la disponibilidad de un sistema informático.
§ Las intrusiones se pueden producir de varias formas:
§ Externos: Atacantes que acceden a los sistemas desde Internet.
§ Internos
§ Abuso de recursos
§ Usuarios autorizados del sistema que intentan ganar
privilegios adicionales para los cuales no están autorizados.
§ Usuarios autorizados que hacen un mal uso de los privilegios
o recursos que se han asignado.
Intrusion Detection System / Roger Carhuatocto 3
¿Qué es una intrusión?
§ Actividad intrusiva y actividad anómala
§ Las intrusivas son un subconjunto de las anómalas
§ Intrusivas pero no anómalas: Se les denomina falsos
negativos y en este caso la actividad es intrusiva pero como no
es anómala no se consigue detectar. Se denominan falsos
negativos porque el sistema erróneamente indica ausencia de
intrusión.
§ No intrusivas pero anómalas: Se denominan falsos positivos
y en este caso la actividad es no intrusiva, pero como es
anómala el sistema decide que es intrusiva.
§ Ni intrusiva ni anómala: Son negativos verdaderos, la
actividad es no intrusiva y se indica como tal.
§ Intrusiva y anómala: Actividad intrusiva y detectada. Positivos
verdaderos
Intrusion Detection System / Roger Carhuatocto 4
3. ¿Qué es un IDS?
§ Intrusion Detection System, herramienta de seguridad que monitoriza
los eventos que ocurren en un sistema informático con la intención
de localizar posibles intentos de intrusión.
§ Intento de intrusión: cualquier intento de comprometer la
confidencialidad, integridad o disponibilidad de un sistema informático, o
de eludir los mecanismos de seguridad de éste.
§ Basan su funcionamiento en la recolección y el análisis de
información de diferentes fuentes. Posteriormente determinan la
posible existencia de un ataque.
H. Ethernet H. IP H. TCP Payload
Análisis FW
Análisis IDS
Intrusion Detection System / Roger Carhuatocto 5
Clasificación de los IDS
§ Podemos clasificar los IDS según 2 diferentes criterios:
§ Según la fuente de información.
1. HIDS (Host Intrusion Detection System)
2. NIDS (Network Intrusion Detection System)
§ Según el tipo de análisis.
1. Detección de abusos o firmas (Signature-based detection)
2. Detección de anomalías (Profile-based detection)
Intrusion Detection System / Roger Carhuatocto 6
4. Tipos de Respuesta
Una vez se ha producido un análisis de los eventos y hemos detectado
un ataque, el IDS reacciona. Los tipos de respuesta son:
Activa
§ Las respuestas activas son acciones automáticas que se toman cuando
ciertos tipos de intrusiones son detectados. Podemos establecer dos
categorías distintas:
§ Recogida de información adicional: Consiste en incrementar el nivel de
sensibilidad de los sensores para obtener más pistas del posible ataque
§ Cambio del entorno: Parar el ataque filtrando en el Firewall.
Pasiva
§ En este tipo de respuestas se notifica al responsable de seguridad de la
organización, al usuario del sistema atacado o a algún CERT de lo sucedido.
§ También es posible avisar al administrador del sitio desde el cual se produjo
el ataque avisándole de lo ocurrido.
Intrusion Detection System / Roger Carhuatocto 7
¿Dónde colocar un IDS?
Topologías
§ Diferentes topologías dentro de una red
§ Diferentes Sistemas: Web, Mail, VPN, Routers, Wireless Lan,
Application Server, FTP, File Server, entorno de producción y de
pruebas.
§ Tipos de IDS a distribuir: NIDS, HIDS
§ Buscar un compendio entre coste económico, seguridad y
necesidad de la empresa.
Intrusion Detection System / Roger Carhuatocto 8
5. ¿Dónde colocar un IDS?
Topologías
Intrusion Detection System / Roger Carhuatocto 9
¿Dónde colocar un IDS?
Topologías
§ El router de entrada tiene un Host
IDS que se encarga de monitorizar
la actividad de red.
§ Envía alarmas al módulo central.
Ventajas:
§ Arquitectura simple de implementar
y de gestión.
§ Apto para pequeñas redes.
Desventajas:
§ Sobrecarga de procesamiento en el
router de entrada.
§ Poco escalable.
Intrusion Detection System / Roger Carhuatocto 10
6. ¿Dónde colocar un IDS?
Topologías
§ Ubicado entre el router y el firewall.
§ Analiza todo el tráfico que atraviesa el router.
§ El módulo de administración recibe alarmas del
router, firewall y del NIDS
Ventajas:
§ La interfase de monitorización analiza el tráfico
antes de atravesar el firewall.
§ La interfase de administración puede reconfigurar
el firewall y el router en caso de intrusión.
§ Escalabilidad
§ Control centralizado de las alarmas.
§ El tráfico de la red no se ve afectado por la
puesta del IDS
Desventajas:
§ Más equipos que configurar.
§ La re-configuración dinámica del router y firewall,
por parte del NIDS, afecta la performance de
estos equipos.
Intrusion Detection System / Roger Carhuatocto 11
¿Dónde colocar un IDS?
Topologías
Intrusion Detection System / Roger Carhuatocto 12
7. Limitaciones de los NIDS
§ Una de los problemas más importantes de los NIDSs es
su incapacidad de reconstruir exactamente lo que está
ocurriendo en un sistema que están monitorizando.
§ Los detectores de intrusos basados en firmas funcionan
examinando el contenido de los paquetes que se están
transmitiendo por la red.
Intrusion Detection System / Roger Carhuatocto 13
Productos
Snort
Snort
§ Es un IDS en tiempo real desarrollado por Marty Roesch.
§ Se puede ejecutar en máquinas UNIX y Windows. Es el número uno
en sistemas de detección de intrusos.
§ Dispone actualmente de 1.200 filtros y de multitud de aplicaciones
para el análisis de sus alertas.
§ En Snort no es posible separar el componente de análisis y los
sensores en máquinas distintas.
§ Sí que es posible ejecutar Snort atendiendo a varios interfaces a la
vez (cada uno podría estar monitorizando lugares distintos dentro de
una red).
§ Para conocer su funcionamiento y configuración se puede consultar
el excelente manual en:
www.snort.org/docs/SnortUsersManual.pdf
Intrusion Detection System / Roger Carhuatocto 14
8. Productos
Tripwire
http://www.tripwire.com
§ La herramienta Tripwire es un comprobador de integridad para ficheros y
directorios de sistemas.
§ Compara un conjunto de estos objetos con la información sobre los mismos
almacenada previamente en una base de datos.
§ Alerta al administrador en caso de que algo haya cambiado.
§ La idea es simple:
§ Se crea un resumen de cada fichero o directorio importante para nuestra
seguridad nada más instalar el sistema
§ Los resúmenes se almacenan en un medio seguro (un CD-ROM o un
disco protegido contra escritura).
§ Si alguno de los ficheros es modificado Tripwire nos alertará la próxima
vez que realicemos la comprobación.
§ Para generar esos resúmenes se utilizan funciones hash, de forma que es
casi imposible que dos ficheros generen el mismo resumen.
§ Tripwire implementa MD2, MD4, MD5, Snefru, CRC-16 y CRC-32.
Intrusion Detection System / Roger Carhuatocto 15
Productos
Honeypot/Honeynet
§ El objetivo de algunos HIDS no es engañar a un atacante durante
mucho tiempo, proporcionándole un subentorno en el sistema que
aparente de forma muy realista ser algo vulnerable, sino que su
`decepción' es bastante más elemental:
§ Se limitan a presentar un aspecto que parece vulnerable, pero que un
aprendiz de hacker puede descubrir que no es más que un engaño.
§ Su tarea es recopilar información del atacante y del ataque en sí
§ Un programa que se encargue de escuchar en el puerto 31337 de
nuestro sistema - donde lo hacen algunos troyanos- y, cada vez
que alguien acceda a él, guardar la hora, la dirección origen, y los
datos enviados por el atacante.
§ En realidad, no es una simulación que pueda engañar al hacker,
pero hemos logrado el objetivo de cualquier sistema de detección
de intrusos: registrar el ataque
§ Se puede considerar un honeypot , ya que simula un entorno
vulnerable, aunque sólo logre engañar a nuestro atacante durante
unos segundos
Intrusion Detection System / Roger Carhuatocto 16
9. Productos
HoneyNet/HoneyPot Diagrama
http://paladion.net/media/honeynet/paladion_honeynet.htm
Intrusion Detection System / Roger Carhuatocto 17
Productos
Ethereal
http://www.ethereal.com
Intrusion Detection System / Roger Carhuatocto 18
10. Productos
AirSnort
http://sourceforge.net/projects/airsnort
Cortesía de Jaime Robles – http://www.RedLibre.net
Intrusion Detection System / Roger Carhuatocto 19
Productos
Network Stumbler
http://www.stumbler.net
Para PocketPC
Intrusion Detection System / Roger Carhuatocto 20
11. Productos
Shadow
http://www.nswc.navy.mil/ISSEC/CID/
SHADOW
§ Secondary Heuristic Analisys For Defensive Online Warfare
§ Stephen Northcutt en NSWC inició la implementación sobre SUN de sniffer
software de dominio público (netlog: icmplogger, udplogger, tcplogger),
incrementaron potencia de captura con Linux, PC y tcpdump
§ Consta de dos componentes: agente colector cerca de firewall y un
analizador dentro del firewall.
§ La interfaz, realizada con perl y apache, permite al analista evaluar gran
cantidad de información de red y decidir de qué eventos informar.
§ No es en tiempo real ya que es necesario la intervención de un IDS
analista.
§ La clave de SHADOW es la inteligente definición de filtros de tcpdump.
Intrusion Detection System / Roger Carhuatocto 21
Productos
Shadow
http://www.nswc.navy.mil/ISSEC/CID/
§Whois y Lookup
§Nmap
§Search
§Report
§Incident report
§S tatistics page
Intrusion Detection System / Roger Carhuatocto 22
12. Productos
RealSecure
RealSecure
§ RealSecure es el sistema de detección de intrusos comercial desplegado
de forma más generalizada.
§ Está dividido en dos partes:
§ directores, que se utilizan para tareas administrativas y operativas, y
sensores, que son los generadores de eventos.
§ Están disponibles los sensores basados en red y basados en host .
§ Tienen versiones para UNIX y para Windows NT/2000, pero la consola
sólo se ejecuta en NT/2000.
§ RealSecure utiliza normativas para definir eventos de interés.
§ Estas normativas se configuran en el director de análisis y se descargan
desde los sensores.
§ El sensor la toma y la utiliza en la detección de eventos.
§ Si la consola está funcionando los eventos se toman en tiempo real.
Intrusion Detection System / Roger Carhuatocto 23
Productos
NetRanger
NetRanger
§ NetRanger (de Cisco Systems), es un ejemplo de IDS con capacidad de equipo
'R'. Cisco lo llama 'componente de seguridad dinámico'.
§ La respuesta automática incluye la capacidad de reiniciar conexiones o
reconfigurar enrutadores.
§ Los componentes del sistema incluyen sensores, una estación de análisis y
equipos R.
§ Es el sensor IDS disponible comercialmente más competente.
§ Soporta reensamblaje de paquetes, por lo que los ataques que colocan una
parte de la cadena en un fragmento y la segunda parte en un segundo
fragmento, seguirán siendo detectados.
§ Software tanto para UNIX como para Windows.
§ Ventajas
§ Gran integración con routers Cisco
§ Capacidad avanzada del sensor.
§ Inconvenientes
§ Alto coste del sistema.
§ Para mayor información de este producto podemos consultar la web de Cisco.
www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/
Intrusion Detection System / Roger Carhuatocto 24
13. Complementos
Sistemas de valoración y análisis de vulnerabilidades
§ Las herramientas de análisis de vulnerabilidades determinan si una red
o host es vulnerable a ataques conocidos.
§ Los sistemas que realizan valoración de vulnerabilidades buscan
servicios y configuraciones con vulnerabilidades conocidas en nuestra
red.
File Integrity Checkers ( Controladores de integridad de Ficheros)
§ Los ’File Integrity Checkers’ son otra clase de herramientas de
seguridad que complementan a los IDSs.
§ Los atacantes a menudo alteran los sistemas de ficheros una vez que
tienen acceso completo a la máquina, dejando puertas traseras que
más tarde facilitan su entrada al sistema
§ El producto Tripwire (www.tripwiresecurity.com) es quizá el ejemplo
más conocido de este tipo de herramientas.
Intrusion Detection System / Roger Carhuatocto 25
Complementos
Honeypots
§ Son sistemas que están diseñados para ser atacados y que capturan
de forma silenciosa todos los movimientos del atacantes.
§ Se usan principalmente para lo siguiente:
§ Evitar que el atacante pase su tiempo intentado acceder a sistemas
críticos.
§ Recogen información sobre la actividad del atacante.
§ Permiten al administrador recabar pruebas de quién es el atacante.
§ Los honeypots se usan ampliamente para investigar sobre nuevos
ataques, y facilitan la incorporación de nuevas firmas en los IDSs.
Intrusion Detection System / Roger Carhuatocto 26
14. Conclusiones
§ IDS es un complemento de seguridad de los cortafuegos
§ Buscar soluciones que se adapten a los recursos de la empresa
§ Integrar los IDS en la política de seguridad de la empresa
§ Deben adaptarse a nuevos requerimientos
Intrusion Detection System / Roger Carhuatocto 27
Referencias
§ URL’s de genéricas
§ http://www.nss.co.uk/download_form.htm
§ http://www.networkintrusion.co.uk/consoles.htm#ACID
§ http://www.sans.org/rr/intrusion/intrusion_list.php
§ http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf
§ http://www.securityfocus.com/cgi-bin/sfonline/ids_topics.pl
§ http://www.creangel.com/papers/Eluding%20Network%20Intrusion%2
0Detection.pdf
Intrusion Detection System / Roger Carhuatocto 28
15. Referencias
§ Evadiendo/atacando NIDS, herramientas
§ Whisker (Rain Forest Puppy )
http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2
§ Fragrouter - Dug Song - http://www.anzen.com/research/nidsbench
§ Congestant - horizon, Phrack 54
§ Pudding - Roelof W. Temmingh< roelof@sensepost.com >
Proxy which recodes HTTP requests using most of RFP's IDS
evasion encoding methods, plus random UTF-8 encoding support
§ ADMmutate - http://www.ktwo.ca/readme.html
A shellcode mutation engine, can evade NIDS. attack the signature analysis
method with a technique very well known to virus enthusiasts, a polymorphic
algorithm
that is designed to impair the effectiveness of regexp's against known
attack signatures. (signatures are typically several bytes that are known
to be the same for every execution of the exploit)
§ ……
Intrusion Detection System / Roger Carhuatocto 29
Referencias
§ Stick (IDS stress tool used to evaluate the bottle neck point in an IDS in an
operational environment)- http://www.eurocompton.net/stick
§ Honeynet, Honeypot:
§ Honeynet Project – http://www.honeynet.org
§ The Value of Honeypots - http://www.securityfocus.com/infocus/1492
§ Thread on 'Basic Honeypot Box' (initiated by Brian)
http://www.securityfocus.com/archive/119/241251/2003-07-13/2003-07-19/1
§ Thread on 'Does The Honeypot work as good as Honeynet?' (initiated by Faiz)
http://www.securityfocus.com/archive/119/241288/2003-07-13/2003-07-19/1
§ Thread titled 'Heh heh, evil thought for reducing risk' (initiated by Lance)
http://www.securityfocus.com/archive/119/242084/2003-07-13/2003-07-19/1
Intrusion Detection System / Roger Carhuatocto 30