14A - Evadiendo IDSs Firewalls y Honeypots v1

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots
Evadiendo IDSs, Firewalls y

Honeypots
Agenda
Introducción
Terminología
IDS
IDS: Historia
Eventos de interés
Técnicas de detección de intrusiones
IDS: Tipos
Chequeo de archivos individuales
Sistemas de verificación de integridad
¿Verdadero o Falso?
Indicadores generales de intrusión
Herramientas de IDS
Si el IDS detecta un ataque
Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 2

Copyright © 2008 SIClabs
Agenda (Cont.)
Técnicas de evasión de IDS

Herramientas de evasión
Packet Crafters
Herramientas de packet crafting
Intrusion Prevention System
Firewalls
Filtrado de paquetes
Cosas que NO hace un firewall
Tipos de Firewall
Identificación de Firewalls
Atravesando Firewalls
Herramientas
Honeypots

1
Agenda (Cont.)
Tipos de honeypots
Ventajas y desventajas de los honeypots
Ubicación de un honeypot
Herramientas
Honeypots virtuales
Detección de honeypots
Honeynets
The Honeynet Project

Introducción
Los atacantes siempre están buscando nuevas maneras de acceder

a los sistemas.
El hecho de personalizar las configuraciones puede prevenir

algunas acciones maliciosas.
Los IDS, Firewalls y Honeypots son tecnologías que pueden ayudar

a evitar ataques.

Terminología
IDS (Intrusion Detection System)

Un sistema de detección de intrusiones es un componente que
inspecciona los datos de una red o equipo en busca de elementos
sospechosos que puedan representar un ataque
Firewall
Es un dispositivo de software o hardware que protege los recursos
de una red privada de los usuarios de otras redes, definiendo un
perímetro de seguridad.
Honeypot
Es un dispositivo destinado a ser comprometido a fin de estudiar el
comportamiento de los atacantes o desviar su atención.

2
IDS
Un IDS recopila información para analizarla y correlacionarla

Se compone de tres elementos básicos
Un sensor
Una consola
Un protocolo de comunicación entre ambos
Su comportamiento en las redes incluye el sniffing de paquetes
Al detectar un posible ataque, envía una alarma

IDS: Historia
En 1972 James Anderson (USAF) publica un texto sobre la

seguridad en computadoras
Cada vez había mas procesos "críticos" controlados por

computadoras y los militares temían no controlarlos
En 1980 Anderson escribe "Computer Security Threat Monitoring

and Surveillance“ con las bases de la detección de intrusos en
sistemas de computadoras mediante consultas de logs.
Entre 1984 y 1996, Dening y Neummann desarrollan el primer

modelo de IDS denominado IDES (Intrusion Detection Expert
System) basado en reglas

Eventos de Interés
Es el subconjunto mínimo de muestras que debemos analizar para

considerar nuestra red “segura”
Se obtiene a partir de aplicar los filtros, firmas y reglas del sistema

de detección de intrusos al tráfico total

3
Técnicas de Detección de Intrusiones
Reconocimiento de Firmas
Identificación de eventos y acciones conocidas
Detección de Anomalías
Identificación de comportamientos anómalos
Anomalía de Protocolos
Identificación de paquetes TCP/IP anómalos

IDS: Tipos
NIDS (Network IDS)

Elemento de red que inspecciona el tráfico de la misma
HIDS (Host IDS)

Software que inspecciona los eventos dentro del marco de un
sistema operativo
Monitor de Logs
Correlaciona y analiza los logs de sistemas y aplicaciones
Verificador de integridad
Chequea la integridad de archivos de un sistema

Chequeo de Archivos Individuales
Md5sum
[infierno]# md5sum paquete.tgz
1f772cb7df86e9481668b644d47baf70 paquetes.tgz
[infierno]# cat paquete.tgz.md5
1f772cb7df86e9481668b644d47baf70 paquete.tgz
Sha1sum
[infierno]# sha1sum paquete.tgz
1395702345678ae15f6179aae6098690afd20304
paquetes.tgz
[infierno]# sha1sum -c paquete.sha1
paquete: OK

4
Sistemas de Verificación de Integridad
Los sistemas de verificación de integridad complejos pueden

utilizarse en muchos casos como HIDS por sus funciones de
detección de cambios
Suelen automatizar las tareas de verificación para facilitar la tarea

del administrador
Brindan diversas opciones de detección de alteraciones en el

sistema de archivos

¿Verdadero o Falso?
Verdadero Positivo
Debería generarse una alarma y ésta se genera
Falso Positivo
No debería generarse una alarma, pero ésta se genera
Verdadero negativo
No debería generarse una alarma, y ésta no se genera
Falso negativo
Debería generarse una alarma pero ésta no se genera

Indicadores Generales de Intrusión
Modificación de software y archivos de configuración

Bajo rendimiento inusual en el sistema
Cuelgues y reinicios en el sistema
Períodos en los cuales los logs no registran datos
Ausencia de logs o logs incompletos
Procesos desconocidos
Cambios en los permisos del sistema de archivos
Cambios raros en el tamaño de archivos
Problemas de disponibilidad en los sistemas
Conexiones desde y hacia lugares desconocidos
Repetición de intentos de conexiones
Presencia de archivos extraños
Ausencia de archivos determinados

5
Herramientas: Tripwire
Tripwire fue creado por Eugene Spafford y Gene Kim en 1992

Tripwire utiliza dos claves:
La "site key" que se emplea para encriptar los archivos de
configuración y de políticas
La "local key" que se usa para encriptar la información referida
al estado de los archivos que se monitorean
Para administrar el programa necesitamos de estas dos claves
Sitio: http://www.tripwire.org/

Herramientas: AIDE
AIDE (Advanced Intrusion Detection Environment) es un sistema de

detección de intrusiones a nivel de host (HIDS) que actua sobre los
archivos de la misma forma que Tripwire.
Fue creado en 1999 por Rami Lehti, Pablo Virolainen y Richard van
den Berg.
El archivo de configuración está basado en expresiones regulares,
macros y reglas para archivos y directorios.
Trabaja con un conjunto de marcas (flags) para comprobar en
archivos y directorios, que son combinación de permisos,
propiedades de archivos y hashes.
Link: http://www.cs.tut.fi/~rammer/aide.html

Herramientas: AFICK
AFICK (Another File Integrity Checker) fue creado por Eric Gerbier
en el año 2002.
Aparece como una excelente alternativa dado que está escrito en
Perl, lo que lo hace liviano y portable.
Tiene un módulo para Webmin y una interfaz gráfica escrita en perl-
Tk.
También necesita crear una base de datos inicial, controlada por un
archivo de configuración.
Proporciona un archivo de configuración por defecto que tiene una
sintaxis muy similar a la de AIDE.

6
Herramientas: AFICK
http://afick.sourceforge.net
Herramientas: Fcheck
FCheck es una herramienta de verificación open source escrita en

Perl.
El código de FCheck fue escrito desde cero por Michael A.
Gumienny en 1996.
Dada su simplicidad posee limitaciones como que no es posible
definir políticas o que los archivos duplicados se verifican dos veces
También puede tener inconvenientes con nombres de archivos con
caracteres no imprimibles y no realiza chequeos de sintaxis en el
archivo de configuración.
Estos detalles no afectan a un uso simple del programa, por lo cual
se recomienda para entornos no muy complejos.
Link: http://www.geocities.com/fcheck2000/fcheck.html

Herramientas: Integrit
Integrit, creado por Ed L. Cashin en el año 2000.

Utiliza muy poca memoria, su diseño es simple, modular y
minimalista.
Utiliza los algoritmos de GnuPG, está diseñado para uso
desatendido y posee reglas muy intuitivas en el archivo de
configuración.
Incluye la opción de resetear los tiempos de acceso luego de las
verificaciones, y su salida puede ser en XML o solo texto.
Puede crear una nueva base mientras corre un chequeo contra una
vieja base.
Como limitación por su simplicidad, podemos encontrar que solo
puede tener un directorio raiz en el archivo de configuración.
Link: http://integrit.sourceforge.net/

7
Herramientas: Samhain
HIDS que funciona bajo el estándar POSIX y tiene capacidad para

chequeos de integridad, detección de rootkits y monitorización de
puertos y procesos.
Permite monitoreo individual y de múltiples equipos, incluso con
diferentes SO, desde una consola web centralizada (Beltane).
Tiene un excelente capacidad de auditoría y almacenarlos en bases
de datos.
Puede chequear atributos de SELinux, POSIX ACLs, o flags de
filesystems.
Puede manejar distintos niveles de recursividad en diferentes
directorios.
Chequea unidades montadas con sus opciones, inicio y cerrado de
sesiones.
Puede integrarse con otros sistemas de monitoreo como Prelude y
Nagios, y comunicarse con aplicaciones externas para respuestas
activas
Herramientas: Samhain + Beltane
http://www.la-samhna.de/library/scanners.html
Herramientas: Osiris
HIDS creado por Brian Wotring en 1999, se encuentra entre los

proyectos de Shmoo (AirSnort).
Es distribuido bajo licencia BSD.
Es portable a varias plataformas del universo Linux y otras.
Utiliza la arquitectura cliente/servidor para monitorear cambios en
un equipo.
Las comunicaciones entre consola y equipos se realiza por un canal
cifrado.
Puede monitorear módulos del kernel.
No puede manejar bases encriptadas.
Link: http://osiris.shmoo.com/index.html

8
Herramientas: Snort
“EL” software de IDS basado en red.

Es muy flexible y ofrece capacidades de auditoría en texto y bases
de datos.
Implementa un motor de detección de ataques y barrido de puertos
que permite registrar, alertar y responder ante cualquier anomalía
predefinida.
Existen herramientas de terceros para mostrar informes en tiempo
real (ACID) o para convertirlo en un sistema de prevención de
intrusiones.
Implementa un lenguaje de creación de reglas flexible, potente y
sencillo.
Durante su instalación ya nos provee de cientos de filtros o reglas
para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap, etc..
Puede funcionar solo como monitor de tráfico o como IDS.

Herramientas: Snort
Utiliza la libcap y tcpdump como registro de paquetes de fondo.

Está disponible bajo licencia GPL y funciona bajo plataformas
Windows y Linux.
Dispone de una gran cantidad de filtros o patrones predefinidos así
como actualizaciones constantes.
Posee un sistema de firmas de ataques que se puede actualizar por
Internet.
Los usuarios pueden crear firmas basadas en las características de
los nuevos ataques de red y enviarlas a la lista de correo de firmas
de Snort.
Link: http://www.snort.org/

Herramientas: IDScenter (Snort frontend)
http://www.engagesecurity.com/products/idscenter/
9
Herramientas: OSSEC
OSSEC es un HIDS open source.

Realiza análisis de logs, chequeos de integridad, monitoreo del
registro de Windows, detección de rootkits.
Genera alertas en tiempo real y respuestas activas.
Corre en multiples plataformas, incluyendo Linux, OpenBSD,
FreeBSD, MacOS, Solaris y Windows.

Herramientas: OSSEC

Si el IDS Detecta un Ataque
Bloquear la dirección IP del atacante en el Firewall

Alertar al administrador
Generar logs con toda la información posible
Guardar toda la evidencia y capturas de paquetes
Lanzar otras aplicaciones para actuar sobre el evento

10
IDS: Técnicas de Evasión
Inserción
Evasión
DoS
Ataques complejos
Ofuscación
Desincronización de conexiones
Fragmentación
Empalme de sesiones

Herramientas de Evasión
Sidestep
Admutate
Fragrouter
Mendax
Stick

Packet Crafters
Los packet crafters son generadores de paquetes a medida.

Los paquetes que se crean pueden ser válidos o no en una red.
Los encabezados se manipulan a fin de analizar el comportamiento
de dicho paquete al ser transmitido.
Existen herramientas que permiten realizar esto

11
Herramientas
HPing2
Scapy
Nemesis
PackETH
Yersinia

Sistema de Prevención de Intrusiones (IPS)
La tendencias futuras de los sistemas de detección de intrusos

evoluciona hacia los sistemas de prevención de intrusos.
Los definiremos como un dispositivo que tiene la habilidad de

detectar ataques conocidos y desconocidos y reaccionar a esos
para impedirlos.

Firewalls
Un firewall divide una red segura de una red segura, normalmente

una privada de una publica (Ej: Internet).
Su función principal es examinar los paquetes en busca de
coincidencia con las reglas definidas.
El filtrado es en sentido entrante y saliente.
También puede crear logs y generar alarmas.
Toma acciones en base a cierto criterio y acepta o rechaza los
paquetes.

12
Filtrado de Paquetes
Por dirección de origen / destino

Por puerto de origen / destino
Por protocolo de capa superior
Por estado de conexión

Cosas que NO Hace un Firewall
NO protege conexiones que NO pasan por el firewall (Ej:

modem)
NO protege contra el malware
NO protege contra acciones internas
NO protege contra ataques de ingeniería social

Tipos de Firewall
Packet Filters
Circuit Level Gateways
Application Level Gateways
Stateful multilayer

13
Tipos de Firewall (Cont.)
Packet Filters
Filtran en capa 3
Solo entienden direcciones IP
Aplicable a routers

Circuit Level Gateways

Filtran en capa 4
No filtran paquetes individuales sino sesiones
Entienden de puertos y sesiones
La información parece provenir del propio gateway

Application Level Gateways

Filtran en capa 7
Se utilizan como proxy
Entienden comandos específicos de los protocolos

14
Stateful multilayer
Filtran en todas las capas anteriores
Son mas costosos y difíciles de administrar
Tienen gran capacidad de análisis y filtrado

Identificación de Firewalls
Port Scanning
Analisis de puertos abiertos y filtrados
Firewalking
Relevamiento de las ACL
Requiere un agente en la red interna
Banner Grabbing
Lectura de los banners de los servicios que corren en un equipo

Atravesando Firewalls
La manera mas común de traspasar un firewall es utilizar un puerto

que probablemente este habilitado y enviar información por allí.
Puede realizarse un túnel en este puerto.
De ser posible la conexión debe abrirse desde el interior de la red
para que se permita mas fácilmente.
Una técnica muy efectiva es utilizar paquetes TCP ACK.

15
Herramientas: httptunnel
http://www.http-tunnel.com
Otras Herramientas
007 shell
Icmp shell
Ackcmd
Covert_tcp
ftest y ftestd
Blade
Traffic IQ pro

Honeypots
Elemento informático cuya intención es atraer hackers simulando

ser sistemas vulnerables o débiles
Es una herramienta de seguridad informática utilizada para recoger

información sobre los atacantes y sus técnicas
También pueden distraer a los atacantes de las máquinas más

importantes del sistema
Algunos honeypots son solo programas que se limitan a simular

sistemas operativos y otros son sistemas reales

16
Honeypots: Tipos
Honeypots de baja interacción

Solo simulan puertos abiertos sin interactuar
Honeypots de media interacción

Simulan servicios corriendo detrás de un puerto
Honeypots de alta interacción

Corren servicios reales

Ventajas y Desventajas de los Honeypots
Ventajas
Recolecta pocos datos pero de mucha utilidad
No hay falsos positivos
Requiere mínimos recursos
Sirven para atacantes internos y externos
Desventajas
Son fuentes potenciales de riesgo
Si no son atacados no tienen utilidad

Ubicación de un Honeypot
Si su ubicación es demasiado obvia cualquier experimentado la

descubrirá y evitará todo contacto.
Debe integrarse con el resto del sistema.
Pueden existir internos o externos exclusivamente.
En una red, podrían encontrarse delante, detrás del firewall o en la
DMZ.

17
Herramientas: Specter
http://www.specter.com/
Herramientas: KFSensor
http://www.keyfocus.net/kfsensor/
Herramientas: PatriotBox
http://www.alkasis.com/
18
Otras Herramientas
HoneyBot
Netbait
ManTrap
Honeyd
Sebek

Honeypots Virtuales
Los honeypots pueden ser físicos o virtuales.

Esto surgió simplemente aprovechando las características del
protocolo TCP/IP sobre un sistema operativo.
Múltiples direcciones IP
Múltiples servicios
Múltiples interfaces
Con esto se aprovechan las ventajas de la virtualización.
Son útiles para simulaciones de redes grandes.

Detección de Honeypots
Detección del sistema operativo base en caso de virtualización.

Detección de las posiciones de memoria en caso de virtualización.
Detección de la obviedad de los servicios y vulnerabilidades.
Detección del comportamiento de auditoría en el sistema.
Detección del comportamiento de las herramientas de honeypots.

19
Honeynets
Al extender el concepto de honepots a la simulación de

redes y dispositivos, aparecen las honeynets
Las honeynets simulan escenarios de red para ser
atacados de la misma manera que un honeypot
Pueden estar fisicamente conectados a la red real pero
lógicamente separados

The Honeynet Project
Organización de investigación no lucrativa dedicada al aprendizaje

de las herramientas, tácticas y motivos de la comunidad hacker y a
compartir lo aprendido
Fue fundado en 1999 por Lance Spitzner
La herramienta primaria utilizada para recoger esta información es

la Honeynet
Todo el proyecto es open source bajo licencia BSD


Honeypots
Links, Referencias y
Lecturas Complementarias
20
Referencias y Lecturas Complementarias
CEH Official Certified Ethical Hacker Review Guide

By Kimberly Graves
(Sybex) ISBN: 0782144373
Certified Ethical Hacker Exam Prep
By Michael Gregg
(Que) ISBN: 0789735318
Hacking Exposed, Fifth Edition
By S.McClure, J.Scambray, and G.Kurtz
(McGraw-Hill Osborne Media) ISBN: 0072260815
Gray Hat Hacking, Second Edition
By S.Harris, A.Harper, C.Eagle, J.Ness
(McGraw-Hill Osborne Media) ISBN: 0071495681


Honeypots
Preguntas?
21

14A - Evadiendo IDSs Firewalls y Honeypots v1

Cargado por

Copyright:

Formatos disponibles

14A - Evadiendo IDSs Firewalls y Honeypots v1

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

14A - Evadiendo IDSs Firewalls y Honeypots v1

Cargado por

Copyright:

Formatos disponibles

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots

Evadiendo IDSs, Firewalls y

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 2

Técnicas de evasión de IDS

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 3

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 4

Los atacantes siempre están buscando nuevas maneras de acceder

El hecho de personalizar las configuraciones puede prevenir

Los IDS, Firewalls y Honeypots son tecnologías que pueden ayudar

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 5

IDS (Intrusion Detection System)

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 6

Un IDS recopila información para analizarla y correlacionarla

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 7

En 1972 James Anderson (USAF) publica un texto sobre la

Cada vez había mas procesos "críticos" controlados por

En 1980 Anderson escribe "Computer Security Threat Monitoring

Entre 1984 y 1996, Dening y Neummann desarrollan el primer

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 8

Es el subconjunto mínimo de muestras que debemos analizar para

Se obtiene a partir de aplicar los filtros, firmas y reglas del sistema

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 9

Técnicas de Detección de Intrusiones

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 10

NIDS (Network IDS)

HIDS (Host IDS)

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 11

Chequeo de Archivos Individuales

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 12

Sistemas de Verificación de Integridad

Los sistemas de verificación de integridad complejos pueden

Suelen automatizar las tareas de verificación para facilitar la tarea

Brindan diversas opciones de detección de alteraciones en el

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 13

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 14

Indicadores Generales de Intrusión

Modificación de software y archivos de configuración

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 15

Tripwire fue creado por Eugene Spafford y Gene Kim en 1992

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 16

AIDE (Advanced Intrusion Detection Environment) es un sistema de

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 17

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 18

FCheck es una herramienta de verificación open source escrita en

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 20

Integrit, creado por Ed L. Cashin en el año 2000.

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 21

HIDS que funciona bajo el estándar POSIX y tiene capacidad para

Herramientas: Samhain + Beltane

HIDS creado por Brian Wotring en 1999, se encuentra entre los

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 24

“EL” software de IDS basado en red.

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 25

Utiliza la libcap y tcpdump como registro de paquetes de fondo.

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 26

Herramientas: IDScenter (Snort frontend)

OSSEC es un HIDS open source.

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 28

Ethical Hacker Security Training – Evadiendo IDSs, Firewalls y Honeypots 29

Si el IDS Detecta un Ataque