Tesis de Seguridad en Redes PDF
Tesis de Seguridad en Redes PDF
Tesis de Seguridad en Redes PDF
INGENIERO EN INFORMTICA
Universidad de Almera
Autor: Mara Isabel Gimnez Garca Tutores: Julio Gmez Lpez y Nicols Padilla Soriano
Almera, 2008
Quisiera dedicar unas palabras de agradecimiento a todas aquellas personas que han contribuido a que la realizacin de este proyecto haya sido posible. Especialmente: A los profesores Julio Gmez y Nicols Padilla, como tutores del proyecto, por la dedicacin, atencin y predisposicin que han demostrado en todo momento, as como por su calidad profesional y por su cercana personal. A mis compaeros, por los momentos que hemos vivido da a da y que siempre permanecern en mi recuerdo, en especial a Lara, Mara del Mar y Gloria. Y por supuesto a las personas que han estado siempre conmigo y me han apoyado incondicionalmente especialmente: a mi madre, a mi hermano Jos, a Sonia y a Roberto. Y tambin quisiera dedicrselo con un cario especial a mi padre y a mi abuela, porque a pesar de ya no estar conmigo, siempre estarn en mi corazn dndome fuerzas.
NDI CE
NDICE ______________________________________________________VII OBJETIVOS DEL PROYECTO __________________________________ XIII CAPTULO 1 INTRODUCCIN A LOS IDS________________________ 1
1 2 3 4 Introduccin a la seguridad informtica _____________________________ 1 Sistemas de Deteccin de Intrusos __________________________________ 3 Funciones de un IDS _____________________________________________ 6 Tipos de Sistema de Deteccin de Intrusos (IDS) ______________________ 7
4.1 4.2 4.3 4.4 Tipos de IDS en funcin del enfoque ____________________________________7 Tipos de IDS en funcin del origen de los datos __________________________14 Tipos de IDS en funcin de su estructura ________________________________17 Tipos de IDS en funcin de su comportamiento___________________________19
6 7 8
Minera de datos ________________________________________________ 27 Resumen de IDS ________________________________________________ 28 Los sistemas de Deteccin de Intrusos en la Actualidad________________ 33
8.1 8.2 8.3 8.4 8.5 Sistemas Cisco ____________________________________________________33 Internet Security Systems (ISS) _______________________________________34 Symantec ________________________________________________________35 Enterasys ________________________________________________________35 Snort ____________________________________________________________36
VIII
3 4
2 3 4 5 6
Deshabilitar firewall y selinux_____________________________________ 67 Instalacin automtica___________________________________________ 68 Instalacin y compilacin manual__________________________________ 68 Configuracin __________________________________________________ 70 Modos de ejecucin _____________________________________________ 72
6.1 6.2 6.3 6.4 Sniffer Mode______________________________________________________73 Packet Logger Mode________________________________________________74 Network Intrusin Detection System (NIDS)_____________________________75 Inline Mode ______________________________________________________75
Frontends _____________________________________________________ 75
7.1 7.2 7.3 Instalacin de Apache_______________________________________________76 Instalacin de PHP _________________________________________________76 Instalacin de MySQL ______________________________________________77
ndice IX
7.4 Instalacin de Frontends_____________________________________________78
IDSWakeup___________________________________________________ 155
2.1 2.2 2.3 Instalacin ______________________________________________________156 Ejecucin _______________________________________________________157 Pruebas realizadas ________________________________________________158
4.2 4.3
7 8
ndice XI 1 2 3 Introduccin __________________________________________________ 249 Arquitectura de red ____________________________________________ 250 SnortSam_____________________________________________________ 250
3.1 3.2 3.3 3.4 3.5 3.6 Instalacin del Agente _____________________________________________250 Configuracin del Agente___________________________________________251 Instalacin del parche SnortSam _____________________________________253 Configuracin de Snort_____________________________________________254 Ejecucin _______________________________________________________254 Prueba__________________________________________________________255
Snort_inline___________________________________________________ 260
4.1 4.2 4.3 4.4 Instalacin ______________________________________________________260 Configuracin ____________________________________________________262 Ejecucin _______________________________________________________263 Prueba__________________________________________________________266
CONCLUSIONES _____________________________________________ 273 TRABAJO FUTURO ___________________________________________ 275 BIBLIOGRAFA ______________________________________________ 277
XIV
A continuacin, se muestra a modo de resumen de qu trata cada uno de los captulos que forma parte de este proyecto: Introduccin a los IDS. Se pretende realizar una introduccin a la seguridad informtica y al estado del arte de los sistemas de deteccin de intrusos, viendo las tendencias que se dan en la actualidad. Snort. Se ver el sistema de deteccin de intrusos de software libre Snort. Se pretende analizar los elementos que lo componen, as como los plugins disponibles para Snort y los sistemas que lo utilizan. Instalacin y Configuracin. Se explicar el proceso de instalacin y configuracin del IDS Snort, as como de un conjunto de herramientas utilizadas para mejorar su funcionalidad. Benchmarks. Se utilizarn distintos benchmarks y conjuntos de datos para la evaluacin y testeo del funcionamiento de IDS, con el objetivo de comprobar su capacidad de deteccin. Puesta en marcha de un IDS en la UAL. Se pondr en funcionamiento una solucin de sistema de deteccin de intrusos implementada con Snort en los servidores de un departamento de la UAL con la finalidad de evaluar su funcionamiento y rendimiento. Puesta en marcha de un IPS. Se explicarn otro tipo de sistemas, capaces de prevenir los ataques adems de detectarlos y se pondrn en funcionamiento algunos de ellos para comprobar su accin preventiva.
Adems se adjunta un CD-ROM, en el que se incluye los principales archivos de configuracin que se han creado a lo largo del proyecto.
CAPTULO 1
La seguridad en los sistemas informticos es una cuestin de gran importancia que viene siendo objeto de estudio desde 1970. El concepto de seguridad hace referencia a las medidas y al control destinados a la proteccin contra la negacin de servicio y la ausencia de autorizacin (ya sea de forma accidental o intencionada) para descubrir, modificar o destruir datos o sistemas. Debido a la dificultad y segn la mayora de estudios e investigaciones, a la imposibilidad de garantizar esta caracterstica en los sistemas operativos o redes de computadores, el trmino seguridad se sustituye por el de fiabilidad. Se define la fiabilidad como la probabilidad de que un sistema se comporte tal y como se espera de l. As pues, se habla de sistemas fiables en lugar de sistemas seguros. De forma general, se entiende que mantener un sistema seguro, o fiable, consiste bsicamente en garantizar cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudio. La confidencialidad, requiere que la informacin sea accesible nicamente por aquellos que estn autorizados. La integridad, que la informacin se mantenga inalterada ante accidentes o intentos maliciosos. La disponibilidad significa que el sistema informtico se mantenga trabajando sin sufrir ninguna degradacin en cuanto a accesos y ofrezca los recursos que requieran los usuarios autorizados cuando stos los necesiten. Por ltimo, el no repudio garantiza al emisor que la informacin fue entregada y ofrece una prueba al receptor del origen de la informacin recibida. El uso creciente de los sistemas informticos ha incrementado el problema de los accesos no autorizados y la manipulacin de datos. El alto nivel de conectividad en el que nos encontramos, no slo proporciona acceso a gran cantidad y variedad de fuentes de datos de forma cada vez ms rpida, sino que origina un aumento de las intrusiones de red. Es por ello muy importante, conocer los distintos ataques informticos e intrusiones que existen. En primer lugar, vamos a definir el trmino ataque. Ataque es toda aquella accin que suponga una violacin de la seguridad de nuestro sistema. Hay multitud de trabajos referentes a la categorizacin y clasificacin de ataques e intrusiones informticas [Asl95][Kum95][Lan94][Lind97][Lou01]. Uno de los primeros trabajos dedicados a categorizar diferentes aspectos de la seguridad informtica, se centraba en la debilidad de los sistemas informticos y defectos de diseo en sistemas operativos [Att76], as como en vulnerabilidades funcionales y mtodos de abusos informticos [Par75].
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Varias de las tcnicas desarrolladas posteriormente se centran en dos aspectos: categorizacin de uso indebido de computadoras y categorizacin de los usuarios que intentaban obtener acceso no autorizado a ordenadores. As como el intento de describir los tipos de ataques informticos, habiendo numerosos trabajos en torno a este tema. Neumann y Parker [Neu89a][Neu89b][Neu95], en su labor de describir tipos de ataques informticos, desarrollaron el SRI Computer Abuse Methods Model, el cual describe aproximadamente 3000 ataques y usos indebidos recogidos durante unos veinte aos, y los clasifica en un rbol de nueve categoras de ataques. Lindqvist y Jonson [Lind97], extendieron este modelo expandiendo las categoras 5, 6 y 7 del rbol original. Jayaram y Morse [Jay97] tambin desarrollaron una clasificacin de amenazas de seguridad en redes, en la que proveen cinco clases de amenazas de seguridad y dos clases de mecanismos de seguridad. Otro trabajo significativo en taxonomas de ataques fue realizado por el grupo CERIAS de Purdue University [Asl95][Kum95b][Krs98]. Ivn Krsul [Krs98], proporcion una taxonoma ms compleja de ataques informticos organizados en cuatro grupos (diseo, supuestos ambientales, fallos de codificacin y errores de configuracin). Richardson [Ric99][Ric01] extendi estas clasificaciones desarrollando una base de datos de vulnerabilidades para ayudar en el estudio del problema de ataques de denegacin de servicio (DoS). La base de datos se pobl con 630 ataques de sitios populares donde se reportaban incidentes informticos. Estos ataques se clasificaron dentro de las categoras correspondientes a las extensiones de la taxonoma de fallos de seguridad de Aslam [Asl95] y de la taxonoma de Krsul [Krs98]. Dentro del proyecto de evaluacin de deteccin de intrusos DARPA, Kendall [Ken98] desarroll una base de datos de ataques similar, que se puede encontrar en los conjuntos de datos de evaluacin de deteccin de intrusos DARPA (DARPA intrusion detection evaluation data sets) [DAR04]. En esta base de datos, utilizada actualmente como elemento evaluador y comparativo de los sistemas de deteccin desarrollados por los investigadores, los ataques se clasifican en cuatro grupos principales, utilizando como criterio el tipo de ataque. A continuacin se muestran los cuatro tipos de ataques que se pueden establecer: Denegacin de Servicio (DoS). Estos ataques tratan de detener el funcionamiento de una red, mquina o proceso; en caso contrario denegar el uso de los recursos o servicios a usuarios autorizados [Mar01]. Hay dos tipos de ataques DoS; por un lado ataques de sistema operativo, los cuales tratan de explotar los fallos en determinados sistemas operativos y pueden evitarse aplicando los respectivos parches; y ataques de red, que explotan limitaciones inherentes de los protocolos e infraestructuras de red. Indagacin o exploracin (probing). Este tipo de ataques escanean las redes tratando de identificar direcciones IP vlidas y recoger informacin acerca de ellas (servicios que ofrecen, sistemas operativos que usan). A menudo, esta informacin provee al atacante una lista de vulnerabilidades potenciales que podran ser utilizada para cometer ataques a los servicios y a las mquinas. Estos ataques son los ms frecuentes, y a menudo son precursores de otros ataques.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
R2L (Remote to Local). Este tipo de ataque se produce cuando un atacante que no dispone de cuenta alguna en una mquina, logra acceder (tanto de usuario como root) a dicha mquina. En la mayora de los ataques R2L, el atacante entra en el sistema informtico a travs de Internet. U2R (User to Root). Este tipo de ataque se da cuando un atacante que dispone de una cuenta en un sistema informtico es capaz de obtener mayores privilegios explotando vulnerabilidades en los mismos, un agujero en el sistema operativo o en un programa instalado en el sistema.
Ante estas amenazas se vio la necesidad de definir diferentes estrategias para garantizar la confidencialidad, integridad, la disponibilidad y el no repudio de la informacin. Actualmente, el aumento del conocimiento sobre el funcionamiento de los sistemas, conlleva una mayor preparacin de los intrusos y un mayor acceso a herramientas con las que determinar las debilidades de los sistemas y explotarlas para obtener los privilegios necesarios para realizar cualquier accin daina. A todo sto hay que sumar los problemas de configuracin, y la falta de recursos para instalar los parches de seguridad necesarios. En definitiva, se hace patente la necesidad de concienciar y ensear en torno a la seguridad informtica. Tambin hay que tener en cuenta la dificultad que conlleva la creacin de software, ya que ste es cada vez ms complejo y el ciclo de vida del software se est reduciendo significativamente debido al aumento de la competitividad del mercado. Este hecho acarrea la consecuencia de realizar diseos pobres, traducindose en errores en el software. En este marco nos encontramos con el uso de polticas y procedimientos de seguridad, como las tcnicas de encriptacin y los cortafuegos (firewalls). Si bien estos elementos aunque proveen una primera lnea de defensa para asegurar los recursos de la red, deben ser complementados con herramientas que permitan monitorizar el comportamiento del trfico y las actividades de los usuarios de la red. En esta lnea, surgen los sistemas de deteccin de intrusos, como uno de los campos ms investigados en los ltimos aos.
Uno de los mecanismos de defensa ms usados para reducir el riesgo de las compaas ante ataques dirigidos hacia los bienes informticos han sido los sistemas de deteccin de Intrusos o IDS (Intrusion Detection Systems). Un IDS es un elemento que escucha y analiza toda la informacin que circula por una red de datos e identifica posibles ataques. Cuando aparece un ataque, el sistema reaccionar informando al administrador y cerrar las puertas al posible intruso reconfigurando elementos de la red como firewalls y routers. Los IDS han sido usados ampliamente a lo largo de estos ltimos aos por muchas compaas porque han proporcionado una capa adicional de seguridad. Sin embargo se ha encontrado que estos elementos proporcionan seguridad reactiva, es decir para que
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
haya proteccin debe existir primero un ataque. Si un ataque es pequeo y efectivo el IDS reaccionar demasiado tarde y el ataque lograr su objetivo. Las primeras investigaciones sobre deteccin de intrusos comienzan en 1980 en un trabajo de consultora realizado para el gobierno norteamericano por James P. Anderson [AND72]. Anderson, expuso la idea de que el comportamiento normal de un usuario podra caracterizarse mediante el anlisis de su actividad en los registros de auditora. As, los intentos de intrusin podran descubrirse detectando actividades anmalas que se desviaran notablemente de su comportamiento normal. A partir de este momento, comienzan una gran variedad de investigaciones en busca de tcnicas y algoritmos para el anlisis del comportamiento de un sistema informtico. Una de las definiciones de la deteccin de intrusos es la propuesta por el NIST (Institute of Standards and Technology)[BAC], que la define como el proceso de monitorizacin de eventos que suceden en un sistema informtico o red y el anlisis de dichos eventos en busca de signos de intrusiones. Estos sistemas estn continuamente supervisando los componentes de la red y las personas o intrusos que estn intentando entrar ilegalmente en ella, describiendo las actividades o procesos que realizan individuos o sistemas no autorizados sobre elementos de la red. Los IDS (Sistemas de Deteccin de Intrusos) ayudan a entender el ataque, estimar los daos causados y tratan de prevenir otros ataques similares. El primer modelo de deteccin de anomalas fue el propuesto por Dorothy Denning [DEN86], que se basaba en la idea de monitorizar las operaciones estndares de un sistema objetivo, observando desviaciones en su uso. Su artculo provee un marco para establecer las metodologas que posteriormente inspiraran a muchos investigadores. Entre 1988 y 1990 el Instituto de Investigacin SRI Internacional [SRI] desarrolla la propuesta de Denning. De ese modo surge IDES (Intrusion Detection Expert System), [DEN86] un sistema experto que detecta las desviaciones a partir del comportamiento de diferentes sujetos. IDES fue el primer sistema de deteccin de anomalas en host. Paralelamente se realiza en 1988, en los laboratorios Lawrence Livermore de la Universidad de California, el proyecto Haystack [SMA88] para las fuerzas areas de EE.UU. Haystack era el primer IDS que analizaba los datos de auditora y los comparaba con patrones de ataque predefinidos. De este modo naca el primer sistema de deteccin de usos indebidos basado en firmas, el tipo de IDS ms extendido en el mercado actual. En 1990, surgen los primeros proyectos de IDS basados en red. Todd Heberlein introduce tal idea y desarrolla NSM (Network Security Monitor) [HEB95] en la Universidad de California. En esa misma fecha, en Los Alamos National Laboratory de EEUU realizan un prototipo de un sistema experto que monitoriza la actividad de red. Su nombre es NADIR (Network Anomaly Detector and Intrusion Reporter) [BIS94]. A partir de este momento, comienzan una gran variedad de proyectos de investigacin que hacen uso de distintas tcnicas y algoritmos para la deteccin de intrusos. Los IDS permiten, no solo la deteccin de ataques cubiertos por otros componentes de seguridad, sino la deteccin de intrusiones que pasan desapercibidas a otros
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
componentes del dispositivo de seguridad. As pues, realizan dos tareas fundamentales: la prevencin y la reaccin. La prevencin de las actividades de intrusos se realiza a travs de herramientas que escuchan el trfico en la red o en una computadora. Estos programas identifican el ataque aplicando el reconocimiento de patrones (normas) o tcnicas inteligentes. Esta labor permite informar de los intentos de ataques o de actividades sospechosas de manera inmediata. Existe la posibilidad adems, de elaborar respuestas defensivas antes de la materializacin del ataque. El mtodo reactivo se garantiza utilizando programas que bsicamente realizan el anlisis de archivos de logs en los sistemas. Se trata de detectar patrones de intrusin en las trazas de los servicios de red o en el comportamiento del sistema. Tambin son considerados como signos de intrusin, la modificacin de ficheros comunes, ficheros del sistema y otros. Los sistemas de deteccin de intrusos suelen estar formados por: los sensores, los analizadores y la interfaz de usuario. Los sensores tienen la responsabilidad de coleccionar datos de inters y enviar esta informacin a los analizadores. Los analizadores determinan si ha ocurrido o est ocurriendo una intrusin y presentan pruebas de esta afirmacin, proporcionando el tipo de intrusin detectada y, en muchos casos, proponen o ejecutan un grupo de medidas de actuacin contra ellas. A continuacin se muestra en la Figura 1-1, el esquema general de un IDS.
Como se puede ver en la Figura 1-1, hay dos grandes grupos de IDS, atendiendo al tipo de analizador, o procesador de eventos que configuran el sistema de deteccin de intrusos: los sistemas basados en normas, que trabajan en la deteccin de uso indebido, comparando firmas (parte izquierda de la Figura 1-1) y los sistemas adaptables, que trabajan en la deteccin de anomalas, utilizando tcnicas estadsticas (parte derecha de la Figura 1-1).
Funciones de un IDS
Estos sistemas introducen mtodos de trabajo que permiten complementar y completar el trabajo realizado por otras herramientas de seguridad como los cortafuegos. Las funciones de un IDS se pueden resumir de la siguiente forma: Deteccin de ataques en el momento que estn ocurriendo o poco despus. Automatizacin de la bsqueda de nuevos patrones de ataque, gracias a herramientas estadsticas de bsqueda, y al anlisis de trfico anmalo. Monitorizacin y anlisis de las actividades de los usuarios. De este modo se pueden conocer los servicios que usan los usuarios, y estudiar el contenido del trfico, en busca de elementos anmalos. Auditora de configuraciones y vulnerabilidades de determinados sistemas. Descubrir sistemas con servicios habilitados que no deberan de tener, mediante el anlisis del trfico y de los logs. Anlisis de comportamiento anormal. Si se detecta una conexin fuera de hora, reintentos de conexin fallidos y otros, existe la posibilidad de que se est en presencia de una intrusin. Un anlisis detallado del trfico y los logs puede revelar una mquina comprometida o un usuario con su contrasea al descubierto. Automatizar tareas como la actualizacin de reglas, la obtencin y anlisis de logs, la configuracin de cortafuegos y otros.
Un IDS puede compartir u obtener informacin de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar las caractersticas de la red de acuerdo a los eventos que se generan. Tambin permite que se utilicen protocolos como SNMP (Simple Network Management Protocol) para enviar notificaciones y alertas a otras maquinas de la red. Esta caracterstica de los IDS recibe el nombre de interoperabilidad. Otra caracterstica a destacar en los IDS, es la correlacin, que consiste en la capacidad de establecer relaciones lgicas entre eventos diferentes e independientes, lo que permite manejar eventos de seguridad complejos que individualmente no son muy significativos, pero que analizados como un todo pueden representar un riesgo alto en la seguridad del sistema. La utilidad de un sistema de deteccin de intrusos debe ser evaluada teniendo en cuenta la probabilidad que tiene el sistema de detectar un ataque y la probabilidad de emitir falsas alarmas. Teniendo en cuenta el gran nmero de alertas que se generan y la gran cantidad de falsas alarmas producidas, la gestin o revisin de stas se convierte en una tarea muy complicada y la carga de trabajo se multiplica para los administradores de sistemas. Son pues, sistemas que requieren de un mantenimiento y una supervisin constante.
Actualmente, hay herramientas grficas que permiten visualizar los datos almacenados por los sistemas de deteccin y presentan los datos en distintas interfaces permitiendo encontrar y analizar detalles, tendencias y problemas que a simple vista no encontraramos.
Existen distintos tipos de IDS, atendiendo a distintas clasificaciones establecidas de acuerdo a las caractersticas que se usen para establecer dicha clasificacin. Cada uno de ellos se caracteriza por diferentes aproximaciones de monitoreo y anlisis y presenta distintas ventajas y desventajas. En la Figura 1-2, se muestran los distintos sistemas de deteccin de intrusos atendiendo a distintas clasificaciones.
4.1
Hay dos grandes grupos de IDS: los sistemas basados en normas, que trabajan en la deteccin de uso indebido y los sistemas adaptables, que trabajan en la deteccin de anomalas. Los sistemas de deteccin de usos indebidos, comparan firmas con la informacin recogida. Los de deteccin de anomalas, utilizan tcnicas estadsticas para distinguir el comportamiento usual del anormal. Para cada una de las tcnicas de deteccin de anomalas y de uso indebido se han utilizado diferentes tipos de algoritmos para dotar al sistema de conocimiento y de aprendizaje autnomo. En la Figura 1-3, se puede ver un resumen de las diferentes estrategias existentes [Noe02],[Laz04].
Si se hace una distincin de los IDS basada en el enfoque se pueden diferenciar dos grandes tipos: anomaly detection y misuse detection. 4.1.1 Deteccin de anomalas (Anomaly Detection)
Se puede definir anomala como la existencia de una discrepancia de una regla o de un uso. As pues, para poder detectar dicha discrepancia se tiene que definir primero lo que se considera como un comportamiento normal de un sistema. Una vez definido sto, se realizar una clasificacin como de sospechosa o intrusiva a aquellos comportamientos que se desven de lo que se considera como normal. La deteccin de anomalas se basa en la suposicin de que el comportamiento que tienen los usuarios y la red es lo suficientemente regular como para sacar un patrn , de forma que cualquier desviacin significante pueda ser considerada como una evidencia de una intrusin en el sistema.
Este tipo de enfoque fue propuesto por Dorothy Denning en su artculo: An intrusion detection model [DEN86]. En l propona la creacin de perfiles de uso de los sistemas durante un determinado perodo de tiempo. La deteccin de anomalas es una aproximacin que se basa en el aprendizaje de actividades normales y legtimas del sistema con el IDS entrenado para detectar actividades que se desvan del comportamiento normal. En lugar de utilizar firmas estticas, que slo pueden captar una actividad daina cuando se define explcitamente, estos sistemas de nueva generacin registran los niveles normales para distintos tipos de actividad en nuestra red. El problema con este tipo de sistemas es que son muy propensos a los falsos positivos, stos se producen cuando se dispara una alerta aunque la actividad que est marcando sea normal y permitida en nuestra red. Asimismo se tarda mucho en que un IDS de deteccin de anomalas desarrolle un modelo preciso de la red. Al principio, el sistema generara tantas alertas que sera casi intil. La deteccin de anomalas tiene la desventaja que depende de la calidad del proceso de aprendizaje: un entrenamiento demasiado restringido podra causar un sistema con un alto porcentaje de falsos positivos, mientras que un entrenamiento demasiado general, puede producir un alto porcentaje de falsos negativos. Adicionalmente, estos tipos de sistemas de deteccin de intrusin pueden ser engaados por alguien que conozca bien la red, ya que podran usar protocolos usados en la propia red y no activaran este tipo de sistemas. Sin embargo, una gran ventaja es que no tiene que actualizar firmas continuamente. A medida que esta tecnologa madure y se haga ms inteligente, probablemente se convierta en una forma muy usada para la deteccin de intrusos. Un ejemplo de IDS basado en actividades anmalas y de libre distribucin es Spade (Statical Packet Anomaly Detection Engine) [SPADE][BIL], un mdulo gratuito para el NIDS Snort. Otro ejemplo de sistema es Wisdom and Sense (W&S) [BIS94], que es un sistema de deteccin de anomalas desarrollado en el Laboratorio Nacional de Los lamos. Se maneja sobre una plataforma UNIX (IBM RT/PC) y analiza rastros de auditora de hosts VAX/VMS. Procura identificar el modelo de uso de sistema que difiere de normas histricas. Puede tratar registros de rastreo de auditora en tiempo real, aunque sea obstaculizado por el hecho de que el sistema operativo puede retrasar la escritura de los registros de auditora. El sistema est basado en la presuncin de que tal comportamiento es anmalo y podra ser descubierto comparando datos de auditora producidos por ellos con datos de operacin rutinaria. Dentro de este marco han aparecido sistemas para ayudar a los expertos de seguridad en anlisis de intrusos complicados. Entre estos sistemas se puede destacar un IDS Multiobjetivo Gentico Difuso(MOGFIDS), que aplica el marco de cmputo evolutivo basado en agentes para generar y desarrollar una base de conocimiento exacta e interpretable difusa. [TSA05] Este sistema est destinado a la deteccin de anomalas y extrae el conocimiento usando un marco de cmputo evolutivo basado en agentes.
10
4.1.1.1 Tcnicas de deteccin de anomalas Podemos encontrar diferentes tcnicas para realizar la deteccin de anomalas en un sistema. Para ello, se hace uso de mecanismos heursticos y estadsticos para realizar adaptaciones al comportamiento del objeto que se est estudiando, adems de detectar cambios imprevistos [ZUR04]. Sistemas basados en conocimiento Los sistemas basados en conocimiento o sistemas expertos fueron los que en un principio se usaron ms en la elaboracin de los IDS. El primer sistema experto desarrollado para este fin fue el IDES (Sistema Integrado de Desarrollo)[DEN86] . Otro modelo, el de Denning se basa en la siguiente hiptesis: las violaciones de seguridad se pueden detectar mediante la monitorizacin de los registros de auditora del sistema para buscar patrones anormales de uso, es decir, se utilizan reglas para adquirir conocimiento a partir de dichos registros. El SRI [SRI] trat de optimizar y redisear el modelo IDES, con lo que apareci el sistema NIDES (Next-generation intrusion Detection Expert System). Este modelo se ejecuta en su propia estacin de trabajo (NIDE host) y analiza los datos de auditora que se recogen de varios sistemas para detectar comportamientos inusuales o maliciosos de los usuarios. Para realizar esto se usan dos unidades complementarias de deteccin, una unidad de anlisis de firmas basada en reglas, y un subsistema estadstico de deteccin basado en perfiles generados [ZUR04]. Sistemas basados en mtodos estadsticos Como hemos visto anteriormente, muchas tcnicas se apoyan en mtodos estadsticos para representar el comportamiento de los sujetos en base a mtricas y modelos, y reglas para la obtencin de conocimiento de los registros de auditorias. Pues bien , un componente bsico de dichos sistemas es el de los perfiles de actividad, que son los encargados de caracterizar el comportamiento de un sujeto (normalmente usuarios), con respecto a un objeto (ficheros, programas, registros,). Esto se realiza mediante el establecimiento de mtricas, y modelos estadsticos como pueden ser: modelo operacional, modelo de significancia y desviacin estndar, modelo multivariado, modelo del proceso de Marcov y modelo de series temporales. Un ejemplo fue el sistema desarrollado llamado ISA-IDS (The Information and System Assurance Laboratory Intrusion Detection System) [Ye01b][ZUR04]. Sistemas basados en aprendizaje automtico Los sistemas de aprendizaje automtico son los ms estudiados para el modelado de comportamientos normales. Existe una gran diversidad de modelos de aprendizaje automtico [ZUR04], por ello se ha tratado de localizar el modelo que mejores resultados presente en cuanto a deteccin, reduccin de falsos positivos y tiempo de computacin. Algunos trabajos de referencia en este mbito son Barbar et al, de la Universidad de George Mason con el proyecto ADAM [BAR01] (Audit Data Analysis and Mining), que como su nombre indica, hace uso de tcnicas de minera de datos incrementales para la deteccin de trfico anmalo en tiempo real.
11
Otro proyecto de gran relevancia es el MINDS (Minnesota Intrusion Detection System), desarrollado en la Universidad de Minnesota. MINDS complementa a Snort [ERT03A] (un IDS de deteccin de uso indebido basado en firmas), detectando anomalas por medio del algoritmo SNN (Shared Nearest Neighbour, vecino ms cercano compartido). Una vez detectadas las anomalas, se realiza un resumen de las mismas mediante el anlisis de asociacin de patrones, donde se recogen las caractersticas que determinan que se trata de un ataque y se aaden a la base conocimiento como firmas nuevas. Otros proyectos importantes son la tesis de T. Lane de la Universidad de Purdue y ADMIT. [SEQ02] 4.1.2 Deteccin de usos incorrectos (Misuse Detection)
Los sistemas de deteccin basados en uso indebido monitorizan las actividades que ocurren en un sistema y las compara con una serie de firmas de ataques previamente almacenadas en una base de datos. Cuando se monitorizan actividades que coinciden con las firmas se genera una alarma. Este tipo de anlisis se atiene al conocimiento previo de las secuencias y actividades que forman un ataque. Se detectan las tentativas de explotacin de vulnerabilidades conocidas o patrones de ataques tpicos. Es la estrategia ms utilizada por los IDS comerciales. Un sistema de deteccin de uso indebido contiene dos componentes principales [Kum94]: Un lenguaje o modelo para describir y representar las tcnicas utilizadas por los atacantes. Programas de monitorizacin para detectar la presencia de un ataque basado en las representaciones o descripciones dadas.
Constituye el enfoque ms tradicional y actualmente sigue siendo el ms extendido. Estos sistemas tienen conocimientos especficos sobre determinados ataques y se basan en ellos para analizar los datos de entrada del sistema. Si alguno de los datos coincide con alguno de los patrones conocidos se emite una alerta. Una de las ventajas de los sistemas de deteccin basados en este tipo de anlisis es la fidedigna deteccin de patrones de ataques conocidos. Por otra parte, presenta desventajas como tener que conocer a priori el patrn de ataque, lo que provoca que nuevas intrusiones pasen desapercibidas por el detector, o la facilidad con la que se podra engaar al sistema con pequeas variaciones de los patrones de ataque conocidos. Un ejemplo de este tipo de sistemas es el artculo Un Agente de Deteccin de Mal Uso para Deteccin de Intrusos en una Arquitectura Multiagente [MOS07], en el que se describe el diseo de un agente de deteccin de mal uso para la inclusin en una arquitectura de deteccin de intrusos multiagente. En este sistema, el agente analiza paquetes que llegan de una conexin de red. Una vez que se descubre el comportamiento sospechoso, el agente pasa la informacin para que otros agentes tomen las acciones pertinentes.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
12
Este sistema se est poniendo en prctica en JADE, una plataforma multiagente basada en Java. Usa una implementacin en Java: el Drools-JBoss Rules, y est formado por un analizador que convierte las reglas Snort a reglas Drools. En el artculo se describe la arquitectura del Agente: el modelo de datos, el sniffer de paquetes, el engine, el modelo de accin, Por otro lado, NADIR, [BIS94] es un sistema de deteccin de uso indebido diseado por el Laboratorio Nacional de Los lamos. Se trata de un sistema automatizado experto, que aerodinamiza y complementa la revisin manual de los registros de auditora realizados por el S.O. El NADIR compara la actividad de red semanal de usuarios individuales y el ICN en total, manejando las polticas de seguridad y comunicando el comportamiento sospechoso al S.O. Otros autores, proponen sistemas basados en firmas para la deteccin de intrusos en tiempo real. En el artculo de John A. Stankovic entre otros [LEE00] se describe un mtodo de deteccin de intrusos en tiempo real para sistemas de bases de datos basados en firmas. La idea ms novedosa es la de explotar las propiedades de los datos de la deteccin de intrusos, en tiempo real, y considerando que estos datos tienen que cambiar su valor con el tiempo. Por eso se propone para permitir diferentes niveles de tolerancia en un sistema, mtodos para actualizar la latencia de los sensores de los IDS. Siguiendo en la lnea de la deteccin de intrusos en tiempo real, nos encontramos con MIDAS [BIS94], un sistema que usa un experto que proporciona la deteccin de intrusin en tiempo real y la deteccin de uso incorrecto. Al igual que IDES [DEN86], MIDAS utilizaba un sistema hbrido en el que combinaba tanto la estadstica de anomalas como reglas de seguridad de un sistema experto. MIDAS ha sido desarrollado para emplear el concepto bsico del anlisis estadstico de actividades de sistema informtico que se puede usar para caracterizar el sistema normal y el comportamiento de usuario. 4.1.2.1 Tcnicas de deteccin de uso indebido Los mtodos basados en conocimiento van comprobando los eventos que tienen lugar en los Host o redes para buscar reglas o patrones de ataques ya definidos. Se emplean representaciones de ataques ya conocidos para controlar su posible ocurrencia. Para representar los ataques se hace uso de los llamados sistemas expertos, firmas de ataques, transiciones de estados y redes de Petri [ZUR04]. Sistemas Expertos Los sistemas expertos tienen el conocimiento codificado mediante reglas de implicacin (condicin-accin) de tipo if-then-else. Si se cumplen todas las condiciones se aplica la regla. El motor de inferencia se encarga de detectar si ha ocurrido una intrusin basndose en las reglas y los hechos. Una de las ventajas que presenta esta tcnica es la separacin de la lgica de control sobre el dominio del problema, pero presenta la desventaja de que las reglas no son secuenciales, lo que dificulta aislar pasos de intrusiones basadas en el tiempo [ZUR04].
13
Algunos ejemplos de este tipo de sistemas son: IDES [DEN86], NIDX [BAU88], ComputerWatch [WAS90], ISOA [WIN90][WIN92], AutoGuard [ESM97] y Shadow [NOR98]. Deteccin de firmas A este tipo de tcnica tambin se la conoce como Sistema de Razonamiento Basado en Modelos, su funcionamiento consiste en observar la ocurrencia de patrones de cadenas que puedan ser sospechosas. Para ello realiza comparaciones de los eventos que ocurren en el sistema, con los patrones o firmas almacenadas en una base de datos de ataques, en busca de similitudes. Su principal desventaja es la necesidad de desarrollar e incorporar a la base de datos una firma nueva por cada nuevo tipo de ataque o vulnerabilidad descubierta. Los IDS ms conocidos basados en esta tcnica son Snort [SNO04], NFR (Network Flight Recorder) [RAN97], NSM (Network Security Monitor) [HEB95], NetRanger o Cisco Intrusion Detection [CIS99][CIS02], NID [LAW98], RealSecure [ISS02]. Anlisis de transaccin de estados Se basan en una mquina de estados finitos. Los ataques se representan como una secuencia de transiciones que caracterizan el estado de seguridad de un sistema. Cuando se alcanza un estado considerado como intrusin se lanza una alarma. La tcnica de transicin de estados fue propuesta inicialmente en STAT (State Transition Analysis Tool) [POR92], para ms tarde aparecer aplicaciones del estilo de USTAT (Unix State Transition Analysis Tool) [ILG92] y NetSTAT (Network Based State Transition Analysis Tool) [VIG98][VIG99]. Realizados por la Universidad de Santa Brbara (California). Como caso especial de esta tcnica de anlisis estn las Redes de Petri Coloreadas, usadas en el sistema IDIOT [Kum94]. Se obtiene ms simplicidad conceptual, generalidad, y representacin grfica. Por el contrario, requiere de un coste computacional alto al buscar equivalencias entre una red compleja y los eventos registrados. Otro ejemplo de Red de Petri que se ha experimentando han sido los modelos Fuzzy Reasoning Petri Nets (FRPN), usados para representar una serie de reglas fuzzy y usar un motor de inferencia para la deteccin. Se basan en combinar la lgica fuzzy y los sistemas expertos[MEI03][ZUR04]. 4.1.3 Hbridos
Tanto los IDS basados en deteccin de usos incorrectos (basados en firmas) como los basados en deteccin de anomalas, presentan ventajas e inconvenientes que hacen que ninguna de las dos soluciones sea claramente superior a la otra. As, los IDS basados en firmas resultan ms fiables y proporcionan mejores rendimientos frente a ataques conocidos. Sin embargo, no presentan capacidad para detectar nuevos ataques que no se encuentren en la base de datos de firmas. Por el contrario, los IDS basados en anomalas presentan la capacidad de detectar ataques previamente desconocidos, aunque su rendimiento resulte, con la tecnologa actualmente disponible, inferior.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
14
En cualquier caso, y sin desdear la necesidad de proteger los sistemas frente a ataques previamente observados, resulta de vital importancia disponer de sistemas que sean capaces de reaccionar ante el desarrollo de un nuevo ataque, al resultar stos los ms dainos precisamente por la ausencia de defensas preestablecidas. Un ejemplo de ello, podemos encontrarlo en el artculo de J.E. Daz-Verdejo [GAR07]. Se trata de un sistema que se puede ajustar para operar nicamente como detector basado en firmas, como detector basado en anomalas o como ambos (detector hbrido). Por otra parte, la versin resultante puede ser directamente utilizada para la captura y clasificacin de trfico de acuerdo a su naturaleza maliciosa o no, lo que facilita la adquisicin y gestin del trfico de entrenamiento.
4.2
Los IDS pueden clasificarse atendiendo a las fuentes de informacin que se utilicen. As tenemos tres tipos: IDS basados en host, basados en Red y los IDS hbridos. A continuacin se explicarn cada uno de ellos. 4.2.1 HIDS: Host-based Intrusion Detection Systems
Los HIDS estn diseados para monitorizar, detectar y responder a los datos generados por un usuario o un sistema en un determinado host, fueron los primeros IDS que surgieron. Estos IDS son tiles para identificar amenazas e intrusiones a nivel del host local, es decir, slo manejan informacin del host donde residen. Monitorizan gran cantidad de eventos, analizando actividades con una gran precisin, determinando de esta manera qu procesos y usuarios se involucran en una determinada accin. Recaban informacin del sistema como ficheros, logs, recursos, etc, para su posterior anlisis en busca de posibles incidencias. Sin embargo, cuando un sistema comprende cientos de hosts, los HIDS, por s solos, no son viables para realizar una monitorizacin adecuada. Requieren confianza en el sistema donde se van a instalar (un sistema de deteccin de intrusos de host no ser muy til en un sistema que ha sido comprometido anteriormente). Impactan directamente sobre el sistema que protegen; dado que comparten los mismos recursos que el sistema y aplicaciones que protegen y son vulnerables ante un ataque directo. Los HIDS [CHA07] utilizan las bitcoras del sistema, las cuales se generan de forma automtica por diferentes aplicaciones o por el propio ncleo del sistema operativo. Como se muestra en la Figura 1-4, se hace un anlisis de las bitcoras prestando especial atencin a los registros relativos a demonios de red, como un servidor web o el propio inetd. Por otra parte, se usan tambin verificadores de integridad de determinados ficheros de importancia vital para el sistema, como el de contraseas.
15
Tripwire es el IDS basado en host ms popular para Linux. Los desarrolladores de Tripwire, Tripwire, Inc., han abierto recientemente el cdigo fuente para la versin linux. Otro ejemplo es SWATCH que utiliza archivos de registro generados por syslog para alertar a los administradores de las anomalas, basndose en los archivos de configuracin del usuario. Ha sido adoptado ampliamente como un IDS basado en host. Ms ejemplos de HIDS son las herramientas Computer Watch y Discovery [BIS94]. Computer Watch, reduce la cantidad de datos vistos por un sistema operativo reduciendo al mnimo la prdida de cualquier contenido informativo. Fue diseado para el Sistema Operativo V/MLS, para ayudar, pero no sustituir, el S.O. Esta herramienta usa un sistema experto para resumir los acontecimientos sensibles y aplicar reglas para descubrir el comportamiento anmalo. Tambin proporciona un mtodo para el anlisis detallado de acciones de usuario para rastrear el comportamiento sospechoso. Discovery tambin utiliza un sistema experto, y fue desarrollado por TRW para descubrir accesos no autorizados en su base de datos. El sistema Discovery est escrito en COBOL y su sistema experto est escrito en shell AI. Ambos estn controlados sobre el 3090 de IBM. Su objetivo no es descubrir ataques sobre el sistema operativo, pero s descubrir los abusos de la aplicacin. 4.2.2 NIDS: Network Intrusion Detection Systems
Los NIDS son muy parecidos a los HIDS en tanto que monitorizan, detectan y responden ante los datos generados, pero en vez de proteger un determinado host, reciben los datos de la red local donde estn instalados. Tienen la ventaja de ser, normalmente, pasivos, de forma que no interfieren en el correcto uso de la red. Actan mediante la utilizacin de un dispositivo de red configurado en modo promiscuo, capturando todos los paquetes que pasan por l y almacenando la informacin de estos paquetes en un repositorio para su posterior anlisis en busca de patrones indicativos de un ataque como se puede apreciar en la Figura 1-5.
16
Analizan el trfico de red, normalmente, en tiempo real. No slo trabajan a nivel TCP/IP, tambin lo pueden hacer a nivel de aplicacin. Permiten la deteccin de ataques a un mayor nivel de abstraccin, puesto que ahora no solo tienen informacin de un solo host, sino de mltiples. No obstante, los NIDS solo perciben informacin que pasa por la red, siendo intil ante los ataques locales de los usuarios de un determinado host. Un NIDS, puede protegernos contra los ataques que entran a travs del cortafuegos hasta la LAN Interna. Los cortafuegos pueden estar mal configurados, permitiendo la introduccin de trfico no deseado en nuestra red. Incluso cuando funcionan correctamente, los cortafuegos normalmente dejan pasar algn trfico de aplicacin que puede ser peligroso, ya que slo puede ver el trfico que lo atraviesa desde el exterior y no respecto a la actividad de la LAN. Podemos pensar en los NIDS y en los cortafuegos como dispositivos de seguridad complementarios. Lo que llega a los puertos del cortafuegos, permitido por las reglas, se enva a los servidores internos provocando un trfico potencialmente daino. Un NIDS puede comprobar dicho trfico y marcar los paquetes sospechosos. Configurado correctamente puede hacer una doble comprobacin de las reglas de nuestro cortafuegos y proporcionarnos una proteccin adicional para los servidores de aplicacin. Bien ubicados, pueden analizar grandes redes y su impacto en el trfico suele ser pequeo. Los NIDS, requieren emular el comportamiento de los sistemas que protege para mantener una sincrona entre su procesamiento y el de estos equipos; si existe asincrona, el sistema puede ser evadido. Tambin necesita capacidad de procesamiento suficiente para evitar la prdida de paquetes y visibilidad de los equipos que vigila (configurar puertos de vigilancia en switches para permitir a este tipo de sistemas vigilar el trfico de los sistemas que protege puede tener consecuencias de desempeo en todo el segmento de red). Dentro de los NIDS, se han propuesto sistemas como el NetHost-Sensor [ABI03], que es un IDS basado en red con capacidad de evitar el cifrado end-to-end, los ataques DOS, y reduce falsos positivos. Utiliza el sensor RNS: RealSecure Network Sensor que es un producto de deteccin de intrusin del Sistema de Seguridad De Internet (ISS), que ofrece una arquitectura segura distribuida y la deteccin de Intrusos se hace con mltiples motores de deteccin. Otro ejemplo es el sistema NIDIA [SIQ06], Sistema de Deteccin de Intrusin de Red basado en Agentes Inteligentes, que se ha desarrollado como un sistema cooperativo de agentes inteligentes para permitir una deteccin de nuevos ataques que
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
17
usan las tcnicas de redes neuronales y tiene tambin capacidad de dar respuesta a ataques. El objetivo es proporcionar la tolerancia de fallos al NIDIA. Se propone la creacin de agentes, usando el concepto de centinelas, que supervisan el sistema para recoger la informacin relacionada con agentes y host donde se encuentran los agentes del NIDIA. 4.2.3 IDS Hbridos
Los sistemas hbridos renen lo mejor de ambos tipos. Normalmente estn constituidos por sensores en cada host que permiten una deteccin local de los sistemas y un sensor en cada segmento de red a vigilar. De esta forma se cubren las necesidades del HIDS con las del NIDS. Esta combinacin permite explotar las ventajas de ambas arquitecturas. Por un lado, los IDS basados en red permiten obtener informacin general y amplia de un ataque, y por otro lado los IDS basados en host proporcionan informacin ms especca del rastro del atacante. Como ejemplo de IDS hbrido puede citarse Prelude [VAN]. Prelude es un Sistema de Deteccin de Intrusos hbrido, distribuido bajo licencia GPL. Fue desarrollado principalmente bajo GNU/LINUX, pero tambin apoya otras plataformas en las que se incluyen las plataformas POSIX. Ha sido diseado para ser optimizado para ambientes distribuidos, es completamente modular, robusto y rpido. Prelude intenta recuperar "estmulos" sospechosos de sistemas host y el trfico de red, y genera respuestas asociadas a ataques a nivel de red o a nivel de host. Bsicamente su arquitectura est diseada para tener tantos sensores como sea posible (Prelude-NIDS, Syslogs Centralizados...) desplegados sobre la red. Los sensores envan sus alarmas a Managers de Seguridad. Los Managers, entonces son interrogados por un front-End Administrativo que ofrece un interfaz grfico conveniente para leer/manejar las alarmas. Hay varios sensores que pueden informar de las alarmas a mltiples managers. Los managers pueden informar a otros managers del sistema, y ser sondeado por un front-end, que hace de Prelude un IDS Hbrido completo y distribuido.
4.3
Esta clasificacin est basada en las estrategias de control que utiliza el IDS. En funcin de ello, tenemos dos tipos: distribuidos y centralizados. La distribuida hace uso de agentes donde la decisin se hace en cada punto de anlisis y la centralizada como su nombre indica se basa en un control desde una localizacin central. Seguidamente se explican ms profundamente cada una de ellas. 4.3.1 Distribuidos (DIDS)
El Sistema de Deteccin de Intrusin Distribuido (DIDS) es un proyecto conjunto entre UC Davis, Lorenzo Livermore el Laboratorio Nacional, el Laboratorio de Alimar, y Fuerzas Areas de los EU. Apareci para paliar las deficiencias de los sistemas centralizados, ya que hay estructuras de red, para las cuales no es factible analizar todo el trfico en un solo punto sin producir una degradacin del rendimiento.
18
En este caso se instalan sistemas distribuidos, que disponen de varios sensores repartidos por diversas mquinas y puntos de la red, que se comunican con un nodo central donde se reciben todas las informaciones relevantes y donde se cruzan los datos para disponer de una visin ms amplia del sistema como conjunto y detecta con mayor fiabilidad los ataques. El tener varios agentes distintos por toda la red permite ampliar la informacin de la que se dispone para la deteccin de un incidente en el sistema. Esto permite producir adems una nica respuesta a intrusiones visibles desde varios puntos de la red. Este tipo de IDS, ms que proteger, monitoriza la actividad entre varias rede, teniendo una visin global. Los Componentes habituales de un DIDS son: Agentes que monitorizan actividad. Transceptores que se encargan de la comunicacin Maestro/s que centralizan los datos. La consola de eventos, que es el interfaz con el operador. Otros componentes como: generadores, proxies, actores, clusters. . .
En el esquema anterior se puede ver los elementos que componen un sistema distribuido (D). En primer lugar est la consola de eventos (E), y posteriormente aparece un maestro y cinco transceptores (T) que constituyen cinco subsistemas(T). Cada subsistema est compuesto por un nmero determinado de agentes (A). 4.3.2 Centralizados
Son aquellos IDS que emplean sensores que transmiten informacin a un sistema central desde donde se controla todo. De esta forma se permite ahorrar equipamientos pero manteniendo un amplio conjunto de sensores desde donde se recoge la informacin. Un ejemplo de este tipo de estructura centralizada puede verse en la figura 1-7.
19
Ejemplos de NIDS centralizados, son ISOA [WIN90][WIN92] e IDES [DEN86]. Estos sistemas transfieren la informacin de mltiples anfitriones supervisados a un sitio central para el tratamiento. Estos emplean los mismos algoritmos que en los sistemas basados en host sin supervisar ningn trfico de red.
4.4
Los IDS se pueden clasificar en funcin de las tareas que realicen. Estas tareas son principalmente la prevencin y la reaccin. As pues, podemos distinguir entre IDS pasivos (realizan la prevencin escuchando el trfico) e IDS activos (elaboran respuestas defensivas antes del ataque). A continuacin pasamos a comentar cada uno de ellos. 4.4.1 Pasivos (IDS)
Los IDS pasivos son aquellos que slo notifican a la autoridad competente o al administrador de la red mediante el sistema que sea: alerta, log, etc. pero no actan sobre el ataque o atacante. Es decir, simplemente se dedican a procesar la informacin en busca de intrusos. Una vez que se ha detectado una intrusin, se emite una alerta y se deja que el operador humano realice o no una accin en consecuencia. Este sistema carecera de las unidades de respuesta. 4.4.2 Activos (IPS)
Un nuevo tipo de NIDS denominado Sistema de prevencin de intrusin (IPS, Intrusion Prevention System) [ESC05] se est publicitando como la solucin para la seguridad de las empresas. Este tipo de sistemas respondern a las alertas a medida que se generen. Esto puede realizarse trabajando con un cortafuegos o con un router, escribiendo reglas personalizadas en el momento que se detecta el problema, bloqueando e interrogando la actividad de las direcciones IP sospechosas o incluso contraatacando al sistema ofensivo.
20
Las respuestas que proporcionan estos sistemas son acciones automatizadas tomadas cuando se detectan ciertos tipos de intrusiones. Se tienen tres categoras de respuestas activas: Incrementar la sensitividad de las fuentes de informacin. Ya que se conoce informacin adicional de lo que se sospecha es un ataque, podra incrementarse el nivel de sensitividad de las fuentes de informacin. Un ejemplo es incrementar el nmero de paquetes que debe capturar un NIDS, y no restringirlo solamente a un puerto o computadora. Esto permite a una organizacin tener una mayor cantidad de informacin para poder capturar a un atacante. Cambiar el ambiente. Esto consiste en detener un ataque en progreso, a travs de la reconfiguracin de dispositivos como routers o sistemas de proteccin perimetral para bloquear el acceso del atacante. Tomar acciones contra el atacante. Esto involucra lanzar ataques en contra del intruso o intentar activamente obtener informacin acerca de la computadora del atacante o el sitio donde se encuentra. Sin embargo, este tipo de respuesta no es recomendable, debido a que muchos atacantes utilizan direcciones de red falsas cuando atacan sistemas, lo cual podra acarrear un gran riesgo el causar daos a sitios o usuarios inocentes.
Aunque esta nueva tecnologa se encuentra en constante evolucin, todava est muy lejos de poder proporcionar el anlisis y el juicio de una persona o de un sistema inteligente. Estos sistemas no poseen motores inteligentes, sino que se basan en mecanismos de respuesta muy simples. Por eso es peligroso emplear dichos sistemas, porque pueden bloquear o restringir el acceso a recursos del sistema informtico debido a falsos positivos o a anlisis errneos de los datos de entrada. El hecho es que cualquier sistema que dependa al cien por cien de una mquina y de su software, tarde o temprano podr ser burlado por algn intruso. Un ejemplo de IPS de libre distribucin es Inline Snort de Jed Haile, un mdulo gratuito para el NIDS Snort. Ms adelante se explicarn ms detalladamente los distintos tipos de sistemas de deteccin de intrusos existentes.
Los sistemas de prevencin de intrusos poseen un tipo de respuesta activa ante los ataques. El trmino de Respuesta Activa se aplica a cualquier funcin que altera o bloquea el trfico de red como resultado de los eventos de deteccin de intrusin. El objetivo de la repuesta activa es automatizar la respuesta a un ataque detectado y minimizar o idealmente anular los efectos malignos de los intentos de intrusin. En general hay cuatro estrategias distintas para la respuesta activa basada en red, cada una se corresponde con las distintas capas de la pila de protocolos: Enlace de Datos. Administrativamente deshabilita el puerto del switch sobre el que tiene lugar el ataque. Red. Altera la poltica del firewall o router que bloquea todos los paquetes hacia o desde la direccin IP del atacante.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
21
Transporte. Genera mensajes resets TCP (Transmisin Control Protocol) a los atacantes que usan el mtodo del protocolo TCP o de Port Unreachable (puerto inalcanzable) del protocolo ICMP (Interntet Control Message Protocol) para los que utilizan el mtodo UDP (User Datagram Protocol). Aplicacin. Altera la parte de los datos de los paquetes individuales desde el atacante. Por ejemplo si el atacante ha proporcionado un path a un shell /bin/sh, entonces cambia el paquete para que el path apunte a una locacin que no existe en el sistema como /bin/sh antes de que el paquete llegue. Este mtodo requiere recalcular el checksum de la capa de transporte.
Entre los IPS existentes, se ofrecen sobre todo acciones de alteracin o bloqueo del trfico ya sea por direccin IP como es el caso de SnortSam, por el protocolo de la capa de transporte como Fwsnort, o por la capa de aplicacin como en el caso de Snort_Inline.. En base a la accin que realizan se pueden dividir los IPS bsicamente en las siguientes categoras: IPS con accin de Filtrado de Paquetes. IPS con accin Bloqueante. IPS con accin de Decepcin.
A continuacin se vern algunos ejemplos de cada uno de ellos, para posteriormente seleccionar algunas de las soluciones propuestas para implementarlas y comprobar su funcionamiento.
5.1
Hogwash (http://hogwash.sourceforge.net/oldindex.html). Es un sistema que funciona como IDS/IPS. Hogwash puede detectar ataques en la red y si se desea puede filtrarlos. No puede parar todos los ataques, de hecho ningn IPS puede, pero consigue descartar una gran cantidad de ellos. Hogwash puede ser configurado de tres modos distintos: o IDS. Funciona como cualquier IDS, monitorizando trfico en una o en ms interfaces y genera alertas. Es capaz de enviar resets para terminar sesiones TCP pero en este modo, puede descartar paquetes que no debera de descartar, para proteger la red. En la figura 1-8, se muestra el esquema tpico de Hogwash en modo IDS.
22
o Inline Scrubber. En este modo Hogwash, filtra activamente exploraciones desde el trfico. Puede forzar a resets, descartar paquetes o modificar los paquetes en trnsito para acabar con el ataque. El esquema tpico de red en modo de filtrado de paquetes es el que se puede ver en la figura 1-9.
o HoneyPot Control. Hogwash arbitra conflictos de direcciones IP y de direcciones MAC para ayudar a ejecutar los honeypots. Es posible tener un array de honeypots detrs de un nico Hogwash, todos con la misma IP y direccin MAC. Puede enrutar a los atacantes a uno de los honeypots y sacarlo de la red de produccin. La mayor parte de esta funcionalidad es experimental. A continuacin se puede ver el esquema de red para este modo de Hogwash en la figura 1-10.
Dragon IPS (https://dragon.enterasys.com). Est diseado para bloquear a los atacantes, mitigar los ataques de denegacin de servicio y prevenir el acceso a la informacin dejando totalmente invisible a la red. Est construido sobre la tecnologa de deteccin de intrusin de Dragon y permite alertar sobre el ataque, descartando los paquetes ofensivos, terminando la sesin para ataques basados en TCP y UDP, y dinmicamente establece las polticas del cortafuegos para mantener a la fuente de la amenaza fuera de la red indefinidamente o durante un perodo configurable de tiempo. El IPS basado en red, Dragon, puede
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
23
liberar miles de vulnerabilidades y exploraraciones, basndose en firmas basadas en las bibliotecas de control y amenaza de Dragon. Snort_Inline (http://snort-inline.sourceforge.net/ [PAL]). Es uno de los ms conocidos sistemas de prevencin de intrusos de red. Fundamentalmente est construido sobre el IDS Snort para descubrir ataques, pero aade la caracterstica importante de la capacidad de cambiar o descartar paquetes cuando ellos fluyen por el host. Snort_inline toma paquetes desde iptables o IPFW via Libipq (Linux) o diversos sockets (FreeBSD), en lugar de libpcap y usa nuevos tipos de reglas para ayudar a iptables a tomar la decisin de pasar o descartar paquetes basndose en reglas snort. Snort_inline usa el encolado de paquetes (queue) de Iptables para permitir a Snort tomar la decisin sobre qu hacer con paquetes individuales cuando ellos atraviesan las interfaces de de red de un sistema Linux que acta como router o un puente de Ethernet. A continuacin se muestra el esquema tpico de red colocando snort_inline en modo bridge entre la red interna y el firewall, en la figura 1-11.
Fwsnort (http://cipherdyne.org/fwsnort/ [McR08]). Fwsnort traduce las reglas de firmas del IDS Snort a un conjunto de reglas equivalentes de Iptables en el kernel de Linux. Por la capacidad de Iptables para filtrar paquetes basados en las caractersticas de la red y en las cabeceras de transporte como en datos de la capa de aplicacin, Fwsnort es capaz de traducir casi el setenta por ciento de todas las reglas de Snort a reglas equivalentes IPtables. Los ataques son definidos por el potente ruleset de Snort y entonces pueden ser registrados y/o descartados directamente por Iptables. Fwsnort funciona como IPS bsico, ya que es desplegado dentro de Iptables y se ejecuta inline con cualquier red protegida por el cortafuegos. El esquema tpico de configuracin de red de Fwsnort, es el mismo que el de snort_inline, ya que se deben de ejecutar fwsnort + iptables en el mismo host. Michael Rash, es coautor del libro de Fwsnort: Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort [RAS07].
24
5.2
IPS de bloqueo de IP
Seguidamente se vern algunos IPS que realizan accin bloqueante:
Snortsam (www.snortsam.net [RAH06]). Es un sistema que interacta tanto con firewalls comerciales como de libre distribucin para bloquear direcciones IP, resultado de su interaccin con una versin modificada del IDS Snort. Snortsam soporta una especificacin de tiempo flexible para el bloqueo de direcciones, de forma que estas puedan ser bloqueadas por periodos que van desde segundos hasta indefinidamente. Es una herramienta gratis y de cdigo abierto, bajo licencia libre de GNU. Snortsam tiene dos componentes: un plug-in de salida para el Snort y un agente. El plug-in se implementa con un parche al cdigo fuente del Snort y enva comandos para el filtrado de direcciones segn aparezca configurado en las reglas del IDS. El agente se ejecuta como demonio y acepta comandos del plug-in de salida de Snort, intercambindose a travs de una sesin TCP cifrada. El agente es responsable de interactuar con el cortafuegos para bloquear las direcciones IP que Snort detecta. Snortsam tiene la capacidad de definir listas blancas de direcciones individuales o redes enteras las cuales nunca deben ser bloqueadas, aunque se genere una alerta con una direccin contenida en esta lista. Esta herramienta permite proteger contra la mayor cantidad de ataques posible, de los detectados por el NIDS. Una caracterstica importante es que permite situar el Snort y el Iptables en diferentes mquinas y utilizar varios sensores del NIDS Snort y varios agentes de filtrado, como se muestra en la figura 1-12.
Figura 1-12. Empleo del IPTables con varios sensores del Snort, comunicndose a travs del Snortsam.
Portsentry (www.cisco.com). Portsentry de Tecnologas Psionic Technologies (ahora como parte de Cisco) es un componente de libre distribucin de su suite TriSentry de herramientas de deteccin de ataques: portsentry, hostsentry y logsentry.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
25
Portsentry rastrea conexiones sobre el host donde se ejecuta y puede identificar posibles tentativas de exploracin contra el host. Cuando se descubre esta actividad, Portsentry negar el acceso a la exploracin del host. Opcionalmente portsentry puede descubrir tcnicas de exploracin ms avanzadas (exploraciones de syn entreabiertas) y tambin puede ser configurado en modos an ms reactivos. PortSentry es muy configurable, permitiendo la configuracin reactiva y detecta mtodos de escaneo avanzados. Si bien tiene como desventajas que la deteccin es especfica al host donde se ejecuta, genera en su modo por defecto gran cantidad de falsos positivos y no posee interfaz grfica.
5.3
A continuacin se describen algunos IPS que se basan en la decepcin o el engao hacia el atacante: DTK (http://www.all.net/dtk/index.html). El Toolkit Deception (DTK) es un conjunto de herramientas diseado para ofrecer a los defensores algunas ventajas importantes sobre los atacantes. La idea bsica no es nueva. Se usa una contestacin falsa para responder a los ataques. En el caso de DTK, esta falsa respuesta pretende hacer ver a los atacantes que el sistema que controla DTK tiene un nmero grande de vulnerabilidades extensamente conocidas. El engao del DTK es programable, pero tpicamente est limitado en producir la salida en respuesta a la entrada del atacante, de tal modo que simula el comportamiento de un sistema que es vulnerable al mtodo del atacante. Honeyd (http://www.honeyd.org/index.php). Es un pequeo demonio que crea hosts virtuales sobre una red. Los hosts pueden ser configurados para controlar servicios arbitrarios, y su comportamiento puede ser adaptado de modo que parece que estn ejecutando verdaderos sistemas operativos. Honeyd permite a un host reclamar mltiples direcciones sobre una LAN para la simulacin de red. Mejora la seguridad ciberntica proporcionando mecanismos para la deteccin de amenazas y la evaluacin. Tambin disuade a los adversarios ocultando verdaderos sistemas en medio de sistemas virtuales. En la figura 1-13, se muestra un ejemplo de red en el que se ha configurado Honeyd, creando hosts virtuales junto con sistemas reales, para realizar la simulacin de red y engaar a los atacantes.
26
Specter (http://www.specter.com/default50.htm). Es un honeypot o sistema de engao. Simula una mquina completa, proporcionando un objetivo interesante para atraer a hackers lejos de las mquinas de produccin. Specter, ofrece servicios comunes de Internet como SMTP, FTP, POP3, HTTP Y TELNET que aparecen absolutamente normales a los atacantes, pero de hecho son trampas para lograr que ellos se introduzcan y dejen rastros sin que el sistema muestre que hacen nada pero en realidad se est registrando todo en logs y se estn notificando a las personas de forma adecuada. Adems, Specter automticamente investiga a los atacantes mientras ellos todava tratan de entrar por la fuerza. Proporciona cantidades masivas de contenido de seales y genera los programas que dejarn seales ocultas sobre el ordenador del atacante. Las actualizaciones online semanalmente que se realizan automticamente en las bases de datos de vulnerabilidad y del contenido del honeypot, permiten al honeypot cambiar constantemiente sin la interaccin del usuario.
A continuacin se muestra la tabla 1-1 que resume los distintos IPS que se han explicado anteriormente. Tabla 1-1. Resumen IPS Nombre
Hogwash
Accin
Filtrado de Paquetes Filtrado de Paquetes
Caractersticas
Acta como IDS/IPS. Permite descartar paquetes. Descarta paquetes basndose en firmas. Mitiga los efectos de los ataques DDOS. Funciona junto con iptables y utiliza modificaciones de las reglas de Snort. Convierte las reglas de snort a reglas de iptables.
Url
http://hogwash.sourceforge.net/old index.html https://dragon.enterasys.com/
Dragon IPS
Snort_Inline Fwsnort
http://snort-inline.sourceforge.net/
http://cipherdyne.org/fwsnort/
Captulo 1. Introduccin a los IDS Bloqueo De IP Snortsam Consta de un agente y de un plugin para Snort. Permite la instalacin del Agente+Iptables en un host y los sensores Snort en distintos hosts. Es muy configurable. Detecta mtodos de escaneo avanzados. Pero slo detecta en el host donde se ejecuta. Usa una contestacin falsa para responder a los ataques. Hace ver que el sistema presenta muchas vulnerabilidades. Demonio que crea hosts virtuales sobre una red. Honeypot que simula una mquina completa, proporcionando un objetivo interesante. www.snortsam.net
27
Portsentry
Bloqueo De IP
www.cisco.com
http://www.all.net/dtk/index.html
Honeyd
Specter
Minera de datos
La minera de datos o Data Mining tambin llamada como bsqueda de patrones tiles en datos, se refiere a la aplicacin de algoritmos especficos para la extraccin de patrones (modelos) de los datos. La mayor parte de los algoritmos usados en la minera de datos son combinaciones de una pocas tcnicas y principios, concretamente una mezcla de tres componentes [ZUR],[ZUR04]: El modelo. Es el componente principal, consta de una funcin (clasificar, agrupar, resumir,) y el modo de representar el conocimiento (rboles, reglas,). El criterio de preferencia. La base por la se escoge un conjunto de parmetros sobre otros. Puede ser la funcin que hace que el modelo se ajuste ms apropiadamente a los datos que se disponen. El algoritmo de bsqueda. Un algoritmo para obtener modelos particulares y parmetros, los datos, el modelo y criterio de preferencia.
Como modelos de representacin nos podemos encontrar reglas y rboles de decisin, redes neuronales, vecino ms cercano, razonamiento basado en casos, redes bayesianas, atributos relacionales, etc. La representacin del modelo determina tanto la flexibilidad del modelo en cuanto a la representacin de los datos como la interpretabilidad del modelo en trminos humanos.
28
En la figura 1-14, se puede observar algunos de los algoritmos ms utilizados, clasificados segn la funcin de los modelos.
Tpicamente, cuanto ms complejos sean los modelos mejor se ajustarn a los datos, pero tambin ser ms complicada su comprensin y fiabilidad. Hay que ser consciente de que no existe el mejor mtodo de data mining, se dice que la eleccin del algoritmo para cada aplicacin en particular tiene algo de arte (o quizs prueba y error).
Resumen de IDS
Seguidamente en la Tabla 1-2, se muestra un resumen de los principales IDS desarrollados hasta la actualidad. Para cada IDS, se muestra el tipo de sistema del que se trata, las principales caractersticas y una descripcin de los mismos. En esta tabla aparecen tanto IDS que ya no estn en uso como IDS actuales, apareciendo resaltados los principales IDS que se utilizan en la actualidad.
29
Enfoque
Anomalas
Origen de datos
HIDS
Descripcin
Sistema experto de deteccin de anomalas que analiza rastros de auditora de hosts VAX/VMS. Utiliza mtodos estadsticos. 1989 NADIR (Network Anomaly Detection and Intrusion Reporter), es un sistema que usa un detector de anomalas basado en mtodos estadsticos y un sistema experto. 1991 MIDAS (Multics intrusion detection and alerting system), es un sistema experto que usa P-BEST y LISP.1988 http://midas-nms.sourceforge.net/index.html Tripwire es el IDS basado en host ms popular para Linux. Proporciona un nico punto de control para seguridad y estndares de configuracin en entornos fsicos y virtuales. www.tripwire.com Utiliza archivos de registro generados por syslog para alertar a los administradores de las anomalas. http://swatch.sourceforge.net Usa un sistema experto para resumir los acontecimientos sensibles y aplicar reglas para descubrir el comportamiento anmalo. IDS Basado en expertos. Su objetivo es descubrir abusos de las aplicaciones. Posee capacidad de evitar el cifrado end-to-end, los ataques DOS, y reduce falsos positivos. Utiliza el sensor RNS: RealSecure Network Sensor y posee mltiples motores de deteccin. Basado en Agentes Inteligentes. Utiliza la tcnica de redes neuronales para detectar ataques. ISOA (Information Security Officers Assistant) es un sistema que considera una gran variedad de estrategias incluyendo estadsticas, un comprobador y un sistema experto. 1990 IDES (Intrussion Detection Expert System) es un sistema experto cuyo motor de deteccin est basado en conocimiento. Posee un detector de anomalas estadstico. 1980 NIDES (Next-generation Intrusion Detection Expert System) posee un motor de deteccin basado en conocimiento Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida como patrones. http://www.snort.org/
Uso incorrecto
NIDS
MIDAS
Uso incorrecto
HIDS Hbrido
Tripwire
Firma digital
HIDS
SWATCH
HIDS
HIDS
HIDS NIDS
IDES
Anomalas
NIDES
Anomalas
HIDS
Snort
Basado en Firmas
NIDS
30
Prelude
Anomalas
Hbrido
AIDE
Firma digital
HIDS
SNARE
Basado en Firmas
HIDS
Squire
Basado en firmas
HIDS
Entercept
HIDS
Logcheck
HIDS
NetProwler
NIDS
Shadow
NIDS
AID
NIDS Centralizado
EMERALD
RealSecure
Uso indebido
HIDS
Prelude (Sistema de Gestin de Informacin de Seguridad) recoge, normaliza, clasifica, agrega, correlaciona y relata todos los eventos relacionados con la seguridad. www.prelude-ids.org AIDE (Deteccin de Intrusos Avanzada del Entorno) es una evolucin de libre distribucin de tripwire. Detecta cambios en ficheros del sistema local. http://sourceforge.net/projects/aide Es un Sistema de Anlisis de Intrusin e Informes del Entorno. Puede monitorizar y logear numerosos tipos de eventos de sistema, incluyendo: cundo se ejecuta un programa, quin lo ejecuta y a qu archivos accede, etc. http://www.intersectalliance.com/projects/Snare/oldi ndex.html Dragon Squire se encarga de monitorizar los logs de sistemas de produccin y firewalls, en busca de evidencias de actividad maliciosa o sospechosa. IDS que tambin puede funcionar como Sistema de Prevencin de Intrusos basado en host. Ofrece respuesta proactiva, seguridad de emails, bloqueo de virus, etc. http://www.re-soft.com/product/entercept.htm Logcheck es un paquete software que est diseado para ejecutar automticamente las violaciones de seguridad y actividad inusual. Proporciona accin proactiva ante los ataques. Permite la integracin multiplataforma de HIDS. http://www.c2000.com/products/sec_netp.htm Shadow (Secondary Heuristic Analysis for Defensive Online Warfare) procesa los archivos de log de tcpdump y puede identificar ataques. 1994 AID (Sistema de Deteccin de Intrusos Adaptativo) fue diseado para auditoras de red basadas en la monitorizacin de los hosts. Posee una arquitectura cliente-servidor formada por una estacin de monitorizacin central y varios agentes (servidores) en los hosts monitorizados. 1994 EMERALD (Event Monitoring Enabling Responses to Anomalous Live Disturbances). Proporciona un entorno de deteccin de anomalas y uso indebido y capacidad de anlisis del comportamiento de los sistemas y de la red. RealSecure ofrece varios componentes que se instalarn en funcin del tipo de red. Entre ellos estn: Manager Workgroup, Interfaz de Lnea de Comando, Sensores de Red, Sensores de Servidores y sensores de Sistema Operativo entre otros componentes. www.iss.net
31
BlackIce
HIDS
Anomalas, Patrones
NIDS
BlackICE proporciona un slido Firewall que detecta, informa y bloquea eficazmente los intentos de intrusin. 2003 www.iss.net Cisco IDS utiliza tcnicas de deteccin sumamente innovadoras y sofisticadas incluyendo modelado del reconocimiento, anlisis de protocolo, deteccin heurstica, y deteccin de anomalas, que proporciona la proteccin comprensiva de gran variedad de amenazas tanto conocidas como desconocidas. Entre la variedad de productos CISCO para la deteccin y prevencin de intrusos destacan: Aplicaciones de Sensores de Red: Cisco IDS 4235 Cisco IDS 4250 Switch Sensor: Catalyst 6500 IDS Module Host Sensor: Cisco IDS Host Sensor Router Sensor: Cisco IOS routers Firewall Sensor: Cisco PIX 500 Series Firewalls www.cisco.com Deteccin automtica de patrones. Representa la ltima generacin de proteccin de redes para empresas www.ca.com Network Flight Recorder (NFR), est basado en lipcap. Es un IDS comercial producido por NFR crea un dispositivo IDS dedicado que puede informar directamente a una estacin de anlisis o a una estacin de logging central. 1999 Su anlisis incluye deteccin de ataques especficos y de actividad inusual. http://www.bro-ids.org/ Es un Gateway perimetral integrado que protege el entorno de IT frente a amenazas basadas en Internet. 2000 www.microsoft.com/isaserver Es un agente de deteccin en tiempo real con una arquitectura de supervisin multiescalonada. Monitoriza el trfico de red con eventos del sistema y actividades de log que proporcionan una solucin nica con doble proteccin. http://www.nai.com El Monitor de Seguridad de Red (NSM) realiza un enmascaramiento sobre matrices de acceso para deteccin de anomala sobre una estacin de trabajo Sun-3/50. http://www.juniper.net/customers/support/products/ nsm.jsp
Basado en patrones
NIDS
Uso indebido
Hbrido
Bro
Basado en firmas
NIDS
ISA Server
HIDS
CyberCop Monitor
Hbrido
NSM
Anomalas
NIDS
32
Dragon
Hbrido
Uso indebido
El Dragn IDS/IPS es nico en la industria por su capacidad de integrar tanto funcionalidad basada en host como en red con el apoyo simultneo a las siguientes capacidades de deteccin y prevencin de intrusin: Basado en Firma Basado en Protocolo Basada en Anomalas Basada en Comportamiento www.enterasys.com/ids Proporcionan deteccin de intrusos basada en el Anlisis de transaccin de estados
Anomalas
HIDS Distribuido
Anomalas Uso indebido Basado en Firmas Anomalas Anomalas HIDS Distribuido NIDS
MINDS Ourmon
Securepoint
Basado en Firmas
NIDS
NIDS
NIDS
GuardedNet
NIDS
Utiliza mtodos estadsticos. Consta de un Servidor IDS Centralizado (CEI) que recoge los eventos de auditora de los host que monitoriza utilizando un Colector de Datos de Eventos (EDC) en cada uno de los hots. Utiliza aprendizaje automtico y tcnicas bayesianas. Emplea data mining. 2001 Primer ids de uso indebido basado en firmas. Utiliza tcnicas estadsticas. 1988 El proyecto ASAX tiene como objetivo el diseo y realizacin de un sistema universal para el anlisis eficiente distribuido de las corrientes de datos. 1994 Sistema basado en data mining. Utiliza aprendizaje automtico Ourmon es un sistema que realiza monitorizacin de red estadsticamente y deteccin de anomalas. http://ourmon.sourceforge.net/ El Sistema de Deteccin de Intrusin Securepoint (SIDS) permite analizar la red para detecciones de intrusos. SIDS protege la red de paquetes de datos ilegales y explora posibles troyanos y virus. http://www.securepoint.cc/products-download.html Software de background que constantemente supervisa OpenVMS y sistemas de UNIX Digital/Tru64, y enva alarmas en tiempo real sobre las intrusiones de seguridad posibles del sistema. http://www.ttinet.com/tti.html Proporciona deteccin, prevencin y respuestas a ataques y abusos originados en cualquier punto de la red. http://www935.ibm.com/services/us/index.wss/offering/iss/a10 28915 El sistema neuSECURE de GuardedNet automatiza la correlacin de datos entre varios dispositivos de seguridad de una organizacin y en el proceso, facilita la gestin de seguridad. http://www.ispplanet.com/services/ids/guardednet.html
33
Como se puede observar hay gran variedad de productos de deteccin de intrusos, ofreciendo cada uno de ellos comportamientos y funcionamientos distintos. Entre estos productos son muchos los que se encuentran disponibles en la actualidad, siendo bastante alto el nmero de ellos que son de libre distribucin.
En la tabla 1-1, se han visto los diferentes tipos de IDS. A continuacin se va a realizar una breve descripcin de los principales sistemas de deteccin de intrusos que se utilizan actualmente tanto comerciales como de libre distribucin. En el perodo de febrero de 2000 pareci haber una gran demanda de vendedores de IDS. En la actualidad hay gran variedad de productos destinados a la deteccin de intrusiones, si bien hay menos empresas que ofrezcan soluciones innovadoras en este sector. Entre los principales productos comerciales que estn presentes en la actualidad destacan: Cisco Internet Security Systems Symantec Enterasys
8.1
Sistemas Cisco
El sistema de deteccin de intrusos de Cisco, introdujo su primer IDS en el mercado en 1997 adquiriendo el Grupo Wheel y su tecnologa NetRanger [CIS99][CIS02]. Proporciona soluciones basadas tanto en sistemas basados en host como en red, y permiten detectar, prevenir y reaccionar contra actividades no autorizadas a travs de la red. Cisco IDS Host Sensor v2.0 es capaz de identificar ataques y prevenir accesos a recursos crticos del servidor antes de que ocurra cualquier transaccin no autorizada. Esto lo consigue integrando sus capacidades de respuesta con el resto de sus equipos. La versin del sensor de Cisco v3.0, incluye un mecanismo de actualizacin automtica de firmas, un lenguaje robusto que permite a los clientes escribir sus propias firmas y extensiones al mdulo de respuestas que aaden soporte para la familia de firewalls Cisco PIX y para los conmutadores Cisco Catalyst R. Cisco Secure IDS incluye dos componentes: Sensor y Director. Las herramientas de red de alta velocidad Cisco Secure IDS Sensors analizan el contenido y el contexto de los paquetes individuales para determinar si se autoriza su trfico. Si se detecta una intrusin, los sensores de Cisco Secure IDS pueden detectar el uso incorrecto en tiempo
34
real, enviar alarmas a una consola de gestin de Cisco Secure IDS Director para su localizacin y sacar al atacante de la red. Dado que el sistema Cisco Secure IDS incorpora funciones de respuesta pro-activas en Sensor, mediante la modificacin de las listas de control de acceso (ACL) de los routers Cisco los usuarios pueden configurar el sistema para rechazar o eliminar automticamente ciertas conexiones. Esta caracterstica puede ser temporal o, si se desea, se puede mantener indefinidamente. El resto del trfico de la red funcionar normalmente: slo se eliminar de forma rpida y eficaz el trfico no autorizado de los usuarios internos o de los intrusos externos. As se consigue que los operadores de seguridad tengan un poder de actuacin sobre toda la red para detener rpidamente la utilizacin inadecuada de recursos o el acceso de intrusos a la red. El sensor de Cisco se presenta en tres formatos distintos dependiendo de las necesidades de la organizacin: o Modulo IDS Catalyst R 6000. Es el primero diseado para integrar la funcionalidad IDS directamente dentro del conmutador permitiendo al usuario monitorizar trfico directamente del backplane del conmutador en lugar de utilizar mdulos software. Monitoriza 100 Mbps de trfico y aproximadamente 47.000 paquetes por segundo. o IDS-4250. Soporta hasta 500 Mb/s sin paralelizar y puede ser utilizado para monitorizar trfico en una red Gigabit y para trfico atravesando conmutadores usados para agregar trfico entre numerosas subredes. En la figura 1-15 se puede ver el diseo del Sensor Cisco 4250.
o IDS-4235. Este sensor est optimizado para monitorizar 200 Mb/s de trfico y es especialmente adecuado para monitorizar trfico en puertos SPAN (Switched Port Analyzer) y segmentos Fast Ethernet. Tambin es adecuado para monitorizar mltiples entornos T3. o IDS-4210. Est optimizado para monitorizar entornos de 45 Mb/s aunque tambin es adecuado para mltiples T1/El, T3 y entornos Ethernet.
8.2
ISS proporciona una solucin de deteccin de intrusin hbrida y un sistema NIDS que funciona independientemente del sistema hbrido. IIS apareci en el mercado de los NIDS con el lanzamiento de RealSecure [IIS02].
35
RealSecure proporciona deteccin, prevencin y respuestas a ataques y abusos originados en cualquier punto de la red. Entre las respuestas automticas a actividades no autorizadas se incluyen el almacenamiento de los eventos en una base de datos, el bloqueo de una conexin, enviar emails, suspender o deshabilitar una cuenta en un host o crear una alerta definida por el usuario. El sensor de red rpidamente se ajusta a diferentes necesidades de red, incluyendo alertas especficas por elusuario, sintonizacin de firmas de ataques y creacin de firmas definidas por el usuario. Las firmas son actualizables automticamente mediante la aplicacin X-Press Update. Todos los sensores son centralmente gestionados por la consola RealSecure SiteProtector.
8.3
Symantec
Symantec adquiri Axent y as obtuvo las tecnologas NetProwler y su Intruder Alert. Entre la gama de productos de Symantec [SYM04], estn los modelos de Seguridad de Gateway 320, 360 y 360R que no son vulnerables a los ataques de Denegacin de Servicios, aunque s lo son a ataques como servicios activos de identificacin en la interfaz WAN, la exploracin de los servicios y a la alteracin del firewall. En la figura 1-16, se muestra el Symantec Gateway Security 320-Firewall.
En el 2004, Symantec lanz firmware etiquetados para los modelos Symantec Firewall/VPN Appliance 100, 200 y 200R. Para fijar las vulnerabilidades que presentaba el sistema anterior, Symantec ha lanzado los firmware 622 para los modelos Symantec Gateway Security Appliance 320, 360 y 360R.
8.4
Enterasys
Enterasys [ENT02] es un tipo de compaa que construye diferentes medidas de seguridad para los usuarios y para las aplicaciones a travs de hardware de red orientado a los servicios y software de seguridad. Un ejemplo de producto desarrollado por Enterasys es Secure Gigabit Ethernet Workgroup L2 Switch con Soporte de Polticas Opcional, llamado Enterasys D2. Enterasys D2 proporciona 12 puertos Gigabit Ethernet (GbE) con conectividad de 10/100/1000 Mbps RJ45 con opciones integradas Power sobre Ethernet (PoE) y soporte para potencia redundante. A continuacin la figura 1-17 muestra el diseo del producto Enterasys D2.
36
Por otro lado adems de las soluciones comerciales se encuentran soluciones de libre distribucin de gran utilidad como Snort (http://www.snort.org/), Prelude (www.prelude-ids.org), SecurePoint (http://www.securepoint.cc/productsdownload.html), Aide (http://sourceforge.net/projects/aide), Snare (http://www.intersectalliance.com/projects/Snare/oldindex.html) , etc. Seguidamente se describe el sistema Snort como una de las principales herramientas de software libre que se utilizan en la actualidad.
8.5
Snort
Snort (www.snort.org), es una de los principales IDS de libre distribucin, que puede funcionar como un sniffer de paquetes o como un NIDS, adems se le puede aadir la funcionalidad inline, para funcionar como un sistema de prevencin de intrusos. Snort es rpido, flexible y altamente configurable. Utiliza tcnicas de deteccin de firmas y anomalas. Snort es un producto muy usado gracias a caractersticas como: su capacidad de deteccin, su conjunto de reglas, su libre distribucin, etc. Es un sistema que puede ser integrado con otras soluciones de seguridad y prevencin de ataques, y se le pueden aadir numerosos plugins para aumentar su funcionalidad. Ms adelante se explicar en profundidad este sistema, ya que Snort ser objeto de estudio en los siguientes captulos. No hay que olvidar que aparte de la solucin que representan los sistemas de deteccin de intrusos en la seguridad, actualmente hay gran variedad de productos que funcionan como sistemas de prevencin, firewall, honeypot, antivirus, antispam, que se pueden utilizar para crear una poltica de seguridad adecuada y que en muchas ocasiones deben complementarse entre ellas.
CAPTULO 2
SNORT
Introduccin
El sistema que se ha elegido para el desarrollo del proyecto ha sido Snort [SNO04]. Snort (www.snort.org) es un sistema de deteccin de intrusiones basado en red (NIDS). Su funcionamiento es similar al de un sniffer ya que monitoriza todo el trfico de la red en bsqueda de cualquier tipo de intrusin. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida como patrones. Snort est disponible bajo licencia GPL, es gratuito y funciona bajo plataformas Windows y GNU/Linux. Es uno de los ms usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, y actualizaciones constantes. La primera versin de Snort (Snort-0.96), surgi en Diciembre de 1998. Su autor fue Marty Roesch. La primera aproximacin de Snort fue APE, un programa para Linux escrito en Noviembre de 1998, por Marty Roesch. Este programa tena carencias como la falta de capacidad para trabajar en mltiples sistemas operativos o la de mostrar todos los tipos de paquetes del mismo modo. Fue en Diciembre de 1998, cuando Marty Roesch cre la primera versin de Snort (Snort-0.96), que ya estaba desarrollada con libcap, lo que la dotaba de una gran portabilidad. Esta primera versin era slo un sniffer de paquetes y no tena las capacidades reales de un IDS/IPS. Sin embargo, a partir de aqu, se han ido sucediendo numerosas versiones de Snort que han hecho de esta herramienta una de las ms importantes en la seguridad software.
Antes de iniciar la instalacin y configuracin de Snort es importante conocer los elementos que lo componen. Tal y como muestra la figura 2-1, los elementos que componen el esquema bsico de su arquitectura son: Mdulo de captura del trfico. Es el encargado de capturar todos los paquetes de la red utilizando la librera libpcap. Decodificador. Se encarga de formar las estructuras de datos con los paquetes capturados e identificar los protocolos de enlace, de red, etc. Preprocesadores. Permiten extender las funcionalidades preparando los datos para la deteccin. Existen diferentes tipos de preprocesadores dependiendo del
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
38
trfico que queremos analizar (por ejemplo, existen los preprocesadores http, telnet) Motor de Deteccin. Analiza los paquetes en base a las reglas definidas para detectar los ataques. Archivo de Reglas. Definen el conjunto de reglas que regirn el anlisis de los paquetedes detectados. Plugins de deteccin. Partes del software que son compilados con Snort y se usan para modificar el motor de deteccin. Plugins de salida. Permiten definir qu, cmo y dnde se guardan las alertas y los correspondientes paquetes de red que las generaron. Pueden ser archivos de texto, bases de datos, servidor syslog, etc.
2.1
El mdulo de captura de paquetes del sensor se encarga, tal y como su propio nombre indica, de realizar la captura del trfico que circula por la red, aprovechando al mximo los recursos de procesamiento y minimizando por tanto la prdida de paquetes a tasas de inyeccin elevadas. Para que los preprocesadores y posteriormente el motor de deteccin puedan conseguir paquetes se deben realizar algunas tareas previas. Snort no tiene ninguna facilidad nativa de paquetes an; por lo que requiere de una biblioteca de sniffing de paquetes externa: libpcap. Libpcap fue escogida para la captura de paquetes por su independencia de plataforma. Puede ser controlada sobre todas las combinaciones de hardware y S.O.; e incluso sobre WIN32 con winpcap.
Captulo 2. Snort
39
Debido a que Snort usa la biblioteca libpcap para capturar paquetes por la red, puede utilizar su transportabilidad para ser instalado en casi todas partes. La utilizacin de libpcap hace que Snort tenga un uso realmente independiente de plataforma. La responsabilidad de capturar paquetes directamente de la tarjeta de interfaz de red pertenece a libpcap. Esto hace que la facilidad de captura para paquetes raw proporcionados por el sistema operativo est disponible a otras aplicaciones. Un paquete raw es un paquete que se deja en su forma original, sin modificar como haba viajado a travs de la red del cliente al servidor. Un paquete raw tiene toda su informacin de cabecera de protocolo de salida intacta e inalterada por el sistema operativo. Las aplicaciones de red tpicamente no tratan paquetes raw; estos dependen del S.O. para leer la informacin del protocolo y expedir los datos de carga til correctamente. Snort es inslito en este sentido, usa la informacin de cabecera del protocolo que habra sido quitada por el sistema operativo para descubrir algunas formas de ataques. La utilizacin de libpcap no es el modo ms eficiente de adquirir paquetes raw. Ya que slo puede tratar un paquete a la vez, ocasionando un cuello de botella para anchos de banda altos (1Gbps). En el futuro, Snort probablemente pondr en prctica bibliotecas de captura de paquetes especficas para un S.O. o incluso un hardware. Hay otros mtodos adems de libpcap para capturar paquetes de una tarjeta de interfaz de red. Como el Filtro de Paquete Berkeley (BPF), el Interfaz de Proveedor de Enlace de transmisin (DLPI), y el mecanismo SOCK_PACKET en el kernel de Linux son otros instrumentos para capturar paquetes raw.
2.2
Decodificador
El motor de decodificacin est organizado alrededor de las capas de la pila de protocolos presentes en las definiciones soportadas de los protocolos de Enlace de Datos y TCP/IP. Cada subrutina en el decodificador impone orden sobre los datos del paquete, sobreponiendo estructuras de datos sobre el trfico de la red. Snort posee capacidades de decodificacin para protocolos Ethernet, SLIP y PPP. Se encarga de tomar los paquetes que recoge el libpcap y almacenarlos en una estructura de datos en la que se apoyan el resto de capas. En cuanto los paquetes han sido capturados, Snort debe descifrar los elementos de protocolo especficos para cada paquete. El decodificador de paquetes es en realidad una serie de decodificadores, de forma que cada uno descifra elementos de protocolos especficos. Funciona sobre la pila de protocoles de Red, que comienza con el nivel ms bajo: protocolos de la capa de Enlace de Datos, descifrando cada protocolo conforme asciende en la pila de protocolos de red. Un paquete sigue este flujo de datos movindose a travs del decodificador de paquetes, como se puede ver en la figura 2-2.
40
En cuanto los paquetes de datos son almacenados en una estructura de datos estn listos para ser analizados por los preprocesadores y por el motor de deteccin.
2.3
Preprocesadores
Para comprender mejor lo que es un preprocesador en primer lugar hay que entender la forma de comunicacin de un sistema. Como se puede ver en la figura 2-3, el protocolo TCP/IP es un protocolo basado en capas. Cada capa del protocolo tiene una funcionalidad determinada y para trabajar correctamente necesita una informacin (cabecera). Por ejemplo, la capa de enlace utiliza para enviar y recibir datos las direcciones MAC de los equipos, la capa de red utiliza las direcciones IP, etc. Los datos que se transmiten por la red en paquetes de forma individual, pueden llegar a su destino de forma desordenada, siendo el receptor el encargado de ordenar los paquetes y darles sentido.
Como Snort tiene que leer todo el trfico de la red e interpretarlo tambin tiene que llevar un control de los paquetes que se envan por la red y as poder darle forma a la informacin. Por ejemplo, escucha todo el trfico que tiene como destino una direccin y puertos determinados para ensamblar los datos y as poder interpretarlos. Los Preprocesadores son componentes de Snort que no dependen de las reglas ya que el conocimiento sobre la intrusin depende del mdulo Preprocesador. Se llaman siempre que llegue un paquete y se les puede aplicar reglas que estn cargadas en Snort. As pues, se encargan de coger la informacin que viaja por la red de una manera
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Captulo 2. Snort
41
catica y darle forma para que pueda ser interpretada la informacin. De esta forma una vez que tenemos los datos ordenados que viajan por la red aplicaremos las reglas (rules) para buscar un determinado ataque. La arquitectura de preprocesadores de Snort consiste en pequeos programas C que toman decisiones sobre qu hacer con el paquete. Estos pequeos programas C se compilan junto a Snort en forma de librera. Estos preprocesadores son llamados justo despus que Snort realice la Decodificacin, y posteriormente se llama al Motor de Deteccin. Si el nmero de preprocesadores es muy alto el rendimiento de Snort puede caer considerablemente. Las configuraciones predeterminadas para estos subsistemas son muy generales, a medida que experimentemos con Snort, podremos ajustarlas para obtener un mejor rendimiento y resultados. Seguidamente se muestra una lista de preprocesadores que incluye la versin 2.8 de Snort: frag3. El preprocesador frag3 se basa en la fragmetacin IP de los mdulos de Snort. Frag3 est intentando reemplazar el mdulo de fragmentacin frag2 y fue diseado con los objetivos siguientes: 1. Ejecucin ms rpida que frag2 con gestin de datos menos compleja. 2. Modelo de Host con tcnicas de antievasin. Formato de Frag3: preprocessor frag3_global preprocessor frag3_engine stream4 y stream4_reassemble. El mdulo Stream4 proporciona un flujo de reensamblado TCP y capacidades de anlisis de Snort. Stream4 tambin da a gran cantidad de usuarios la capacidad de rastrear muchas conexiones TCP simultneas. Stream4 puede manejar 8192 conexiones simultneas TCP en su configuracin por defecto; pero puede manejar ms de 100.000 conexiones simultneas. Formato de Stream4: preprocessor stream4: [noinspect], [asynchronous_link], [keepstats [machine|binary]], \ [detect_scans], [log_flushed_streams], [detect_state_problems], \ [disable_evasion_alerts], [timeout <seconds>], [memcap <bytes>], \ [max_sessions <num sessions>], [enforce_state], \ [cache_clean_sessions <num of sessions>], [ttl_limit <count>], \ [self_preservation_threshold <threshold>], \ [self_preservation_period <seconds>], \ [suspend_threshold <threshold>], [suspend_period <seconds>], \ [state_protection], [server_inspect_limit <bytes>], \ [enable_udp_sessions], [max_udp_sessions <num sessions>], \ [udp_ignore_any]
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
42
Formato de Stream4_reassemble: preprocessor stream4_reassemble: [clientonly], [serveronly], [both], [noalerts], \ [favor_old], [favor_new], [flush_on_alert], \ [flush_behavior random|default|large_window], \ [flush_base <number>], [flush_range <number>], \ [flush_seed <number>], [overlap_limit <number>], \ [ports <portlist>], [emergency_ports <portlist>] \ [zero_flushed_packets], [flush_data_diff_size <number>] \ [large_packet_performance] Flow. El mdulo Flow se propone para comenzar a unificar el estado que mantiene los mecanismos de Snort en un nico lugar. Desde la versin 2.1.0, slo se implementaba un detector portscan, pero a largo plazo, muchos de los subsistemas de Snort migrarn sobre plugins flow. Con la introduccin de flow, se hace la conversin del preprocesador anticuado. Formato de Flow: preprocessor flow: [memcap <bytes>], [rows <count>], \ [stats_interval <seconds>], [hash <1|2>] Stream5. El preprocesador Stream5 es un mdulo de reensamblado TCP para Snort.Intenta suplantar a Stream4 y a Flow, y es capaz de rastrear sesiones tanto para TCP como para UDP. Con Stream5, la regla 'flow' y palabras clave 'flowbits' son utilizables tanto con TCP como con UDP. Sfportscan. El mdulo sfPortscan, desarrollado por Sourcefire, es diseado para descubrir la primera fase en un ataque de red: Reconocimiento. En la fase de Reconocimiento, un atacante determina qu tipos de protocolos de red o servicios soporta un host. Detecta escaneos a nivel de herramienta, como puede ser un escaneo de puertos realizado con Nmap. Formato de Sfportscan: preprocessor sfportscan: proto <protocols> \ scan_type <portscan|portsweep|decoy_portscan|distributed_portscan|all>\ sense_level <low|medium|high> watch_ip <IP or IP/CIDR> ignore_scanners <IP list>\ ignore_scanned <IP list> logfile <path and filename> Rpc_decode. El preprocesador rpc_decode normaliza mltiples registros RPC fragmentados en un nico registro infragmentado. Esto normaliza el paquete en el buffer del paquete. Si permite stream4, esto slo tratar el trfico del lado cliente. Por defecto, se ejecuta sobre los puertos 111 y 32771. Formato de rpc_decode: preprocessor rpc_decode: <ports> [ alert_fragments ] \ [no_alert_multiple_requests] [no_alert_large_fragments] [no_alert_incomplete]
Captulo 2. Snort
43
Performance Monitor. Este preprocesador mide el funcionamiento en tiempo real y terico mximo de Snort. Siempre que este preprocesador se active, debera tener un modo de salida permitido, consola que imprime la estadstica por pantalla o un archivo con un nombre, donde se almacenen las estadsticas. Http_instpect y http_inspect_server. HTTP Inspect, es un decodificador genrico HTTP para usos de usuario.Dado un buffer de datos, HTTP Inspect, decodificar el buffer, encontrar campos HTTP, y los normalizar. HTTP Inspect trabaja tanto con respuestas del cliente como del servidor. Formato de http_inspect globlal: preprocessor http_inspect: global \ iis_unicode_map <map_filename> \ codemap <integer> \ [detect_anomalous_servers] \ [proxy_alert]
Smtp. El preprocesador SMTP es un decodificador SMTP para aplicaciones de usuario. Considerando un buffer de datos, SMTP descodifica el buffer y encuentra rdenes SMTP y respuestas. Ftp/telnet preprocessor. FTP/Telnet es una mejora al decodificador Telnet y proporciona la capacidad de inspeccin tanto del FTP como de Telnet. FTP/Telnet descodificar el flujo de datos, identificando rdenes de FTP, respuestas y secuencias de escape de Telnet y normalizar los campos. FTP/Telnet trabaja tanto con respuestas del cliente como del servidor. Formato de ftp/telnet: preprocessor ftp_telnet: global \ inspection_type stateful \ encrypted_traffic yes \ check_encrypted
Ssh. El preprocesador SSH detecta lo siguiente:Gobbles, CRC 32, Seguridad CRT, y el protocolo Mismatch exploit . Dce/rpc. El preprocesador dce/rpc detecta y descifra el trfico SMB y DCE/RPC. Principalmente est interesado en datos DCE/RPC, y slo descifra SMB para llegar a los datos DCE/RPC que transporta la capa SMB. Dns. El preprocesador DNS descifra respuestas DNS y puede detectar lo siguiente: DNS Desbordamientos Cliente RData, Tipos Anticuados De registro, y Tipos Experimentales De registro.
Estos preprocesadores se activan en Snort en el fichero de configuracin snort.conf, simplemente con comentar una lnea en dicho fichero el preprocesador se cargara o no. Tambin podemos implementar nuestros propios procesadores. A continuacin se muestra en la tabla 2-1, un resumen con una descripcin general de los preprocesadores de Snort.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
44
Descripcin
El preprocesador frag3 se basa en la fragmentacin IP de los mdulos de snort. Frag3 permite una ejecucin ms rpida que frag2 y permite tcnicas de antievasin. Proporciona un flujo de ensamblado TCP y capacidades de anlisis para poder rastrear hasta 100.000 conexiones simultneas. Permite unificar el estado que mantiene los mecanismos de Snort en un nico lugar. Desde la versin 2.1.0 slo se implementaba el detector portscan, pero a largo plazo muchos subsistemas de Snort utilizan flow. Es un mdulo de reensablado que intenta suplantar a stream4 y a flow. Permite rastrear tanto comunicaciones TCP como UDP. Es un mdulo desarrollado por sourcefire para detectar el primer paso de un ataque: el escaneo de puertos. Permite normalizar mltiples registros RPC fragmentados en un nico registro. Permite medir en tiempo real el funcionamiento de Snort. El funcionamiento de ste preprocesador lo veremos ms tarde. y Es un decodificador genrico para analizar el trfico http. Permite trabajar tanto para analizar las respuestas de los clientes como de los servidores. Es un decodificador SMTP para los clientes de correo electrnico. Permite decodificar el trfico ftp y telnet para buscar cualquier actividad anormal. Se utiliza para analizar tanto las respuestas de los clientes como de los servidores. Permite analizar el trfico ssh de clientes y servidores. Analiza el trfico SMB (compartir archivos y carpetas de Windows). Permite analizar el trfico de DNS para detectar diferentes tipos de ataques.
2.4
Reglas (Rules)
Las reglas o firmas son los patrones que se buscan dentro de los paquetes de datos. Las reglas de Snort son utilizadas por el motor de deteccin para comparar los paquetes recibidos y generar las alertas en caso de existir coincidencia entre el contenido de los paquetes y las firmas. El archivo snort.conf permite aadir o eliminar clases enteras de reglas. En la parte final del archivo se pueden ver todos los conjuntos de reglas de alertas. Se pueden desactivar toda una categora de reglas comentando la lnea de la misma. A continuacin, se vern las distintas reglas de Snort, y el formato de las mismas, para poder realizar su configuracin. 2.4.1 Categoras de reglas Snort Hay cuatro categoras de reglas para evaluar un paquete. Estas cuatro categoras estn divididas a su vez en dos grupos, las que tienen contenido y las que no tienen contenido. Hay reglas de protocolo, reglas de contenido genricas, reglas de paquetes mal formados y reglas IP.
Captulo 2. Snort
45
Reglas de Protocolo. Las reglas de protocolo son reglas las cuales son dependientes del protocolo que se est analizando, por ejemplo en el protocolo Http est la palabra reservada uricontent. Reglas de Contenido Genricas. Este tipo de reglas permite especificar patrones para buscar en el campo de datos del paquete, los patrones de bsqueda pueden ser binarios o en modo ASCII, esto es muy til para buscar exploits los cuales suelen terminar en cadenas de tipo /bin/sh. Reglas de Paquetes Malformados. Este tipo de reglas especifica caractersticas sobre los paquetes, concretamente sobre sus cabeceras las cuales indican que se est produciendo algn tipo de anomala, este tipo de reglas no miran en el contenido ya que primero se comprueban las cabeceras en busca de incoherencias u otro tipo de anomala. Reglas IP. Este tipo de reglas se aplican directamente sobre la capa IP, y son comprobadas para cada datagrama IP, si el datagrama luego es Tcp, Udp o Icmp se realizar un anlisis del datagrama con su correspondiente capa de protocolo, este tipo de reglas analiza con contenido y sin l.
En la tabla 2-2, se puede observar una lista con las clases de reglas ms habituales en Snort y una pequea descripcin de las mismas.
Tabla 2-2. Clases de reglas de Snort Clase de Regla attack-response.rules Descripcin Son las alertas para paquetes de respuesta comunes despus de que un ataque haya tenido xito. Raramente se informan como falsos positivos y debemos activarlas en la mayora de los casos. Permiten detectar puertas traseras o troyanos en el sistema. Representan el trfico de red no estndar que normalmente no debera verse en la mayora de las redes. Permite detectar el uso en la red interna de programas de Chat. Si en nuestra red permitimos el uso del Chat debemos deshabilitarla. Permite detectar ataques de denegacin de servicio. Estas reglas no sirven mucho en la red externa o la DMZ porque si se produce un ataque de ste tipo lo sabremos enseguida. Sin embargo, resulta muy til activarla en la red interna. Busca tipos de ataques de denegacin de servicio distribuido estndares. Buscan algunos ataques tpicos contra servidores DNS. Si no dispone de un servidor DNS propio debemos desactivarlas. Por defecto estn deshabilitadas. Generalmente se utilizan slo para probar nuevas reglas hasta que se desplazan a otra categora. Se utilizan para alertar de la utilizacin de exploit en nuestra red. Se utilizan para detectar ataques sobre servidores finger. Permiten detectar ataques en nuestros servidores FTP. Se recomienda activar la regla para poder detectar si alguien instala en la red un servidor de FTP ilegal. Registran el uso de los mensajes ICMP (por ejemplo, pings, escaneo de puertos). A menudo producen falsos positivos, podemos desactivar toda la clase a no ser que deseemos estar pendientes del trfico ICMP en nuestra red.
icmp-info.rules icmp.rules
46
imap.rules info.rules local.rules misc.rules multimedia.rules mysql.rules Netbios.rules nntp.rules oracle.rules other-ids.rules p2p.rules pop3.rules porn.rules
rpc.rules
rservices.rules
scan.rules shellcode.rules
smtp.rules
sql.rules telnet.rules
tftp.rules
virus.rules
Reglas correspondientes al uso del protocolo de acceso a mensajes desde internet (IMAP, Internet Message Access Protocol). Registra los mensajes de error de los servidores Web, FTP, etc. Por defecto el fichero se encuentra vaco y se utiliza para poder especificar nuestras propias reglas. Reglas que no encajan en ninguna de las restantes categoras. Permite registrar el uso de programas de videoconferencia en la red. Permite detectar ataques dirigidos a los servidores de bases de datos MySQL. Permite detectar actividad sospechosa sobre NetBIOS en la red interna. Permite detectar ataques a servidores de noticias tanto desde el punto de vista del cliente como del servidor. Reglas del servidor de base de datos Oracle. Si no tenemos un servidor de este tipo, las deshabilitamos. Estas reglas se relacionan con exploits en los IDS de otros fabricantes. Reglas que permiten detectar el uso de software para compartir archivos punto a punto. Permite detectar ataques en servidores de correo entrante. Esta regla permite detectar si los clientes de la red interna visitan pginas pornogrficas. No permite el filtrado de contenido. Si quieres filtrar el contenido debemos utilizar un Proxy (por ejemplo, squid). Esta clase controla las alertas de llamadas a procedimientos remotos (RPC). Es importante habilitar esta regla ya que los sistemas Windows dependen mucho de este servicio y hay muchos ataques dirigidos al mdulo RPC. Registra el uso de diversos programas de servicios remotos, como rlogin y rsh. Estas reglas en general, son de servicios inseguros, pero si tenemos que utilizarlos, pueden examinarse con este conjunto de reglas. Permite detectar cualquier intento de escaneo de puertos en la red. Permite detectar la actividad sospechosa de los clientes que utilizan un terminal. Permite detectar ataques de desbordamiento de memoria, exploits, escalada de privilegios, etc. Contienen las alertas para el uso del servidor de correo en la LAN. Esta seccin necesitar algn ajuste ya que muchas actividades de servidor de correo normales activarn reglas de esta seccin. Permite detectar ataques genricos sobre servidores de base de datos SQL. Registra el uso de telnet en la red. Es recomendable activar la regla ya que telnet se puede utilizar para conectarnos a routers u otros dispositivos. TFTP es una versin lite del servidor FTP. Es muy recomendable activar esta regla porque muchos troyanos utilizan TFTP para enviar datos desde la red interna al exterior. Contiene las firmas de algunos gusanos y virus conocidos. Su utilizacin no implica en ningn caso dejar de utilizar antivirus pero si es recomendable activarla. Todas estas clases se refieren a diversos tipos de actividad web sospechosa. Algunas son genricas, como las clases web-attacks. Otras clases, como web-iis y web-frontpage, son especficas de una determinada plataforma. Sin embargo, aunque creamos que no
Captulo 2. Snort
47
estamos ejecutando un servidor web Microsoft o PHP, es mejor habilitarlas todas para descubrir cualquier tipo de esta actividad en nuestra red. Registra el uso del entorno grfico X11.
2.4.2
Personalizacin de reglas
La forma ms fcil de limitar el trfico de las alertas es desactivar reglas que no se aplican en nuestro sistema, esto lo podemos hacer entrando en la configuracin de Snort. El directorio /etc/snort/rules/ contiene muchos archivos con la extensin .rules, cada uno de ellos contiene las reglas agrupadas por categoras. Se puede deshabilitar una clase entera de reglas comentndola en el archivo de configuracin o se puede deshabilitar reglas individuales si se requiere de la proteccin del resto de reglas de la clase. Para comentar una regla concreta, se busca en los archivos .rules apropiados y se inserta un comentario delante de la lnea de dicha regla. Hay que tener en cuenta que normalmente es mejor deshabilitar una sola regla que toda la clase, a no ser que sta no se aplique en una determinada configuracin. El motor de deteccin es realmente el corazn de la funcionalidad de Snort. Snort usa un lenguaje de descripcin simple y flexible para indicar cmo se deben de manejar los datos. Para que Snort pueda coger las ltimas vulnerabilidades, deberemos de actualizar nuestras reglas. Aunque los conjuntos de reglas estndar incluidos en Snort proporcionan una proteccin adecuada contra armas de ataques conocidas, podemos disear algunas reglas personalizadas especficas para que nuestra red obtenga el mejor rendimiento del IDS. Snort permite mucha versatilidad para crear nuevas reglas. Modificando nuestras propias reglas, minimizaremos los falsos positivos. Las reglas que abarcan muchos casos generales suelen poseer altos ndices de falsos positivos, mientras que las particulares no. La idea es crear nuevas reglas avanzadas, en funcin de los servicios que se desean monitorizar. Se pueden escribir reglas para: Registrar el acceso hacia o desde determinados servidores. Buscar determinados tipos de nombres de archivos en nuestra organizacin. Vigilar determinados tipos de trfico que no pertenecen a nuestra propia red.
La escritura de reglas de Snort es fcil de aprender y nos permite aadir funcionalidades al programa, sin muchos conocimientos de programacin. Como hemos podido comprobar, las reglas de Snort son simplemente declaraciones de texto dentro de un archivo de reglas. Si se desea que Snort busque un comportamiento nico que debera ser sospechoso en nuestra red, se puede codificar rpidamente una regla y probar el resultado. El formato de una regla de Snort es bsicamente una sola lnea de texto que empieza con
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
48
una accin (normalmente alert) seguida por diversos argumentos. Se pueden aadir mltiples lneas simplemente aadiendo una barra inclinada (/) al final de cada lnea. Tambin se puede llamar a otros programas utilizando una declaracin de inclusin para obtener una regla ms compleja. En su forma bsica, una regla de Snort consta de dos partes: Un encabezado Las opciones
En la Figura 2-4, se puede ver la estructura que presenta una regla y su cabecera.
A continuacin se muestran ms detalladamente los distintos componentes de una regla. 2.4.2.1 Cabecera de una regla La cabecera permite establecer el origen y destino de la comunicacin, y sobre dicha informacin realizar una determinada accin. La cabecera contiene algunos criterios para unir la regla con un paquete y dictar qu accin debe tomar una regla. Su estructura es: <accin> <protocolo> <red origen> <puerto origen> <direccin> <red destino> <puerto destino> La estructura general de la cabecera de la regla es la que se puede observar en la Tabla 2-3. Tabla 2-3: Estructura de la Cabecera de una regla Snort Accin Protocolo alert tcp Puerto Direccin Red Destino Puerto Origen Destino $EXTERNAL_NET any $HOME_NET 53 Red Origen
Y el significado de cada campo es el siguiente: Protocolo. Permite establecer el protocolo de comunicaciones que se va a utilizar. Los posibles valores son: TCP, UDP, IP e ICMP.
Captulo 2. Snort
49
Red de origen y red de destino. Permite establecer el origen y el destino de la comunicacin. Puerto de origen y destino. Permite establecer los puertos origen y destino de la comunicacin. Indica el nmero de puerto o el rango de puertos aplicado a la direccin de red que le precede. Direccin. Permite establecer el sentido de la comunicacin. Las posibles opciones son: ->, <- y <>. Accin. Permite indicar la accin que se debe realizar sobre dicho paquete. Los posibles valores son: o alert: Genera una alerta usando el mtodo de alerta seleccionado y posteriormente loggea el paquete. o log: Comprueba el paquete. o pass: Ignora el paquete. o activate: Alerta y luego activa otra regla dinmica. o dynamic: Permanece ocioso hasta que se active una regla, entonces actua como un inspector de reglas.
A continuacin se puede ver un ejemplo donde se aplica a una regla al trfico que va a dos servidores web internos: alert tcp any any <> [10.0.0.11, 10.0.0.12] 80 Las dos direcciones de Red pueden ser una nica IP, bloques CIDR, o una lista que combine las dos opciones. Podemos listar mltiples direcciones individuales y redes separndolas con una coma, sin espacios y escribiendo la declaracin entre corchetes, por ejemplo: alert tcp any <> [192.168.0.2,192.168.0.5,192.168.0.10] 80 / (content:"|00 05 A4 6F 2E|";msg:"Test Alert";) Esta sentencia se centra en el trfico que proviene de cualquier direccin enlazada para las mquinas 192.168.0.2, 192.168.0.5 y 192.168.0.10 en el puerto 80. Suponiendo que se tratan de los servidores Web, la sentencia buscar el trfico entrante con los datos hexadecimales de la seccin de contenido. 2.4.2.2 Las Opciones de las reglas Las opciones estn separadas entre s, por (;) y las claves de las opciones estn separadas por (:). Hay cuatro tipos de opciones: Meta-data. Proporciona la informacin sobre la regla pero no tenga alguno afecta durante la deteccin. Payload. Busca patrones (firmas) dentro de la carga til del paquete.
50
Non-Payload. Busca patrones dentro de los dems campos del paquete, que no sean carga til (por ejemplo, la cabecera). Post-detection. Permite activar reglas especficas que ocurren despus de que se ejecute una regla.
La tabla 2-4, muestra las opciones de las reglas de Snort. Tabla 2-4. Ejemplo de Opciones de las Reglas Snort Opcin
msg flow content reference reference classtype sid rev
Tipo
meta-data non-payload payload meta-data meta-data meta-data meta-data meta-data
Claves de Opcin
"DNS EXPLOIT named 8.2->8.2.1" to_server,established "../../../" bugtraq,788 cve,1999-0833 attempted-admin 258 6
Seguidamente se describen las principales opciones de las reglas: msg. Informa al motor de alerta que mensaje debe de mostrar. Los caracteres especiales de las reglas como : y ; deben de colocarse dentro de la opcin msg con el carcter \. flow. Se usa junto con los flujos TCP, para indicar qu reglas deberan de aplicarse slo a ciertos tipos de trfico. content. Permite que Snort realice una bsqueda sensitiva para un contenido especfico del payload del paquete. referente. Define un enlace a sistemas de identificacin de ataques externos, como bugtraq, con id 788. classtype. Indica qu tipo de ataques intent el paquete. La opcin classtype, usa las classifications definidas en el archivo de configuracin de Snort y que se encuentran en archivos como classification.config. La sintaxis del classification.config es: <nombre_clase>, <descripcin_clase >, <priorididad_por_defecto >. La prioridad es un valor entero, normalmente 1 para prioridad alta, 2 para media y 3 para baja. La opcin classification para el attempted-admin classification.config, es la siguiente: que aparece en
Captulo 2. Snort
51
La opcin sid, en combinacin con la opcin rev, unicamente identifica una regla Snort, correlacionando el ID de la regla individual con la revisin de la regla.
Un ejemplo de regla sera: alert tcp $EXTERNAL_NET any -> $HOME_NET 53 \ (msg:"DNS EXPLOIT named 8.2->8.2.1"; flow:to_server,established; \ content:"../../../"; reference:bugtraq,788; reference:cve,1999-0833; \ classtype:attempted-admin; sid:258; rev:6;) La regla genera la alerta DNS EXPLOIT named 8.2->8.2.1 cuando en una comunicacin establecida al servidor DNS se encuentre el texto ./../../. Los campos reference permiten indicar el tipo de vulnerabilidad que se ha detectado. Seguidamente se muestra en la tabla 2-5 con las principales opciones de personalizacin de las reglas Snort.
Tabla 2-5. Opciones de Personalizacin en las reglas Snort Opcin msg logto ttl tos if ipoption fragbits dsize flags seq ack itype icode Icmp_id Icmp_seq content content-list offset depth nocase session Descripcin Proporciona la descripcin del texto de una alerta. Registra el paquete para un nombre de archivo especfico de un usuario en lugar de para el archivo de salida estndar. Prueba el valor del campo TTL del encabezado IP. Prueba el valor del campo TOS del encabezado IP. Prueba el campo ID del fragmento del encabezado IP para un valor especfico. Vigila los campos de opcin IP buscando cdigos especficos. Prueba los bits de fragmentacin del encabezado IP. Prueba el tamao de carga til del paquete frente a un valor. Prueba los indicadores TCP para determinados valores. Prueba el campo de nmero de secuencia TCP para un valor especfico. Prueba el campo de reconocimiento TCP para un valor especfico. Prueba el campo de tipo ICMP frente a un valor especfico. Prueba el campo de cdigo ICMP frente a un valor especfico. Prueba el campo ICMP ECHO ID frente a un valor especfico. Prueba el nmero de secuencia ICMP ECHO frente a un valor especfico. Busca un patrn en la carga til del paquete. Busca un conjunto de patrones en la carga til del paquete Modificador para la opcin de contenido. Establece la compensacin en el intento de coincidencia con el patrn. Modificador para la opcin de contenido. Establece la profundidad de bsqueda para un intento de coincidencia con el patrn. Compara la cadena de contenido anterior sin tener en cuenta las maysculas y las minsculas. Descarga la informacin de la capa de aplicacin para una determinada sesin. Vigila los servicios RPC en bsqueda de determinadas llamadas de aplicaciones o procedimientos. Respuesta activa (por ejemplo, cerrar todas las conexiones).
rpc
52
resp react referernce sid rev classtype priority uricontent tag Ip_proto sameip stateless regex byte test distance byte test byte jump
Respuesta activa. Responde con un conjunto de comportamientos cifrados (por ejemplo, bloquear determinados sitios web). Los ID de referencia de ataques externos. ID de regla Snort. Nmero de revisin de regla. Identificador de clasificacin de regla. Identificador de severidad de regla. Identificador de severidad de regla. Busca un patrn en la parte URI del paquete. Acciones de registro avanzadas para las reglas. Valor de protocolo del encabezado IP. Determina si la IP de origen es igual a la IP de destino. Vlido independientemente del estado del flujo. Coincidencia de patrn de caracteres comodn. Evaluacin numrica. Obliga a que la coincidencia de patrn relativa omita determinado nmero de bytes en el paquete. Prueba numrica del patrn. Prueba numrica del patrn y ajuste de compensacin
2.4.2.3 Ejemplos de personalizacin de reglas A continuacin se muestran varios ejemplos de reglas y de formas de personalizar estas reglas: Por ejemplo, se puede generar el mensaje Ping como alerta, ante la presencia de ICMP de la siguiente forma: alert icmp any any -> any any \ (msg: "Ping";) Otro ejemplo es activar un protocolo antiguo en un servidor. Por ejemplo si un servidor responde con SSH-1 es porque tiene activado el protocolo antiguo SSH1 como se indica: alert tcp $HOME 22 -> $EXTERNAL any \ (msg: "SSH version 1 support detected; \ flow: to_client, established; \ content: "SSH-1."; \ nocase; \ offset: 0; \ depth: 6;) Tambin podemos activar reglas de la siguiente forma: activate tcp $EXTERNAL any -> $HOME 143 \ (flags: PA; \ content: "|E8C0FFFFFF|/bin"; activates: 1; \ msg: "IMAP buffer overflow";)
Captulo 2. Snort
53
dynamic tcp $EXTERNAM any -> $HOME 143 \ (activated_by 1; count: 50; msg: "50 paquetes al 143, una vez activado el IMAP bo") Cuando se configura una regla, para mejorar su eficacia y velocidad se deben de tener en cuenta los siguientes aspectos: Intentar analizar la vulnerabilidad en s, no el cdigo exploit, ya que estos pueden cambiar con facilidad. Utilizar content en la medida que sea posible. La primera fase del motor de deteccin del Snort 2.x, busca el patrn del content, cuanto ms exacto sea ms exacta ser la comparacin. Atrapar las singularidades del protocolo. Ejemplo: Se pretende generar una alerta cuando se intenta conectar un usuario como root al ftp. La alerta que se podra sugerir en un principio sera: alert tcp any any -> any any 21 (content:"user root";) Aqu aparece el problema de que el protocolo ftp acepta: USER root user root user<tab>root Una regla mejor sera: alert tcp any any -> any 21 \ (flow:to_server,established; \ content:"root"; \ pcre:"/user\s+root/i"; ) Donde la opcin flow se utiliza para verificar que el trafico est yendo hacia el servidor y est establecido. El content comprueba la palabra root, las reglas content son importantes ya que descartan rpidamente opciones si no encuentra coincidencia entre ellas. El pcre es para expresiones regulares, y en este caso busca la expresin: user root, separada por uno o ms carcteres (espacios o tabulaciones), e ignorando entre maysculas y minsculas. Optimizacin de reglas
Las reglas poseen una naturaleza recursiva, si un patrn de una regla coincide y si ninguna de las opciones posteriores falla, entonces se vuelve a buscar en el paquete otra vez, desde el lugar donde coincidi la vez anterior. Y se repite hasta que el patrn no sea encontrado o hasta que las opciones concuerden. Si se busca un paquete de tamao 1 byte con el ; dentro, se podra pensar esta regla: content:"|29|"; dsize:1;
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
54
Sin embargo, por la naturaleza recursiva del Snort, si tenemos un paquete de 1000 bytes con todos ;, lo realizar 1000 veces. Para evitar esto: dsize:1; content:"|29|"; De esta manera slo toma payloads con data size de 1 byte. Para probar valores numricos, existen dos opciones muy importantes que se incluyeron a partir de la versin 2.x: byte test y byte jmp, las dos son tiles para configurar reglas que chequeen bytes dentro de una cadena o payload.
2.5
El motor de deteccin
El motor de deteccin es la parte ms importante de Snort. Su responsabilidad es descubrir cualquier actividad de intrusin existente en un paquete. Para ello, el motor de deteccin emplea las reglas de Snort. Las reglas son ledas en estructuras de datos internas o cadenas donde son comparadas con cada paquete. Si un paquete empareja con cualquier regla, se realiza la accin apropiada. De lo contrario el paquete es descartado. Las acciones apropiadas pueden ser registrar el paquete o generar alarmas. El motor de deteccin es la parte de tiempo crtico de Snort. Los factores que influyen en el tiempo de respuesta y en la carga del motor de deteccin son los siguientes: Las caractersticas de la mquina. Las reglas definidas. Velocidad interna del bus usado en la mquina Snort. Carga en la red.
Estos factores son muy importantes ya que por ejemplo, si el trfico en la red es demasiado alto, mientras Snort est funcionando en modo NIDS, se pueden descartar paquetes y no se conseguir una respuesta en tiempo real. As pues, para el diseo del IDS habr que tener en cuenta estos factores. El motor de deteccin puede aplicar las reglas en distintas partes del paquete. Estas partes son las siguientes: La cabecera IP. Puede aplicar las reglas a las cabeceras IP del paquete. La cabecera de la capa de Transporte. Incluye las cabeceras TCP, UDP e ICMP. La cabecera del nivel de la capa de Aplicacin. Incluye cabeceras DNS, FTP, SNMP y SMPT. Payload del paquete. Esto significa que se puede crear una regla que el motor de deteccin use para encontrar una cadena que est presente dentro del paquete.
Captulo 2. Snort
55
El motor de deteccin de Snort funciona de forma diferente en distintas versiones de Snort. A continuacin se muestra la estructura del motor de deteccin en funcin de la versin de Snort utilizada. 2.5.1 Antiguo motor de deteccin
La estructura del antiguo motor de deteccin de Snort, se basa en una lista enlazada tridimensional de reglas con sus cabeceras y funciones de deteccin. La reglas son a su vez una lista enlazada de la cabecera de la regla, llamada RuleTreeNodes (RTN). Cada RTN es una lista enlazada de reglas que comparten una misma cabecera, llamada OptTreeNodes (OTN). A su vez, cada OTN es una lista enlazada de funciones de deteccin, llamada OptFpList. Cuando llega un paquete al motor de deteccin, ste recorre la lista enlazada RTN, si coincide con sta, el motor de deteccin recorre la lista enlazada OTN para esta RTN. El motor de deteccin comprueba cada una de las funciones del OptFpList de la OTN. Si todas estas funciones en la OTN emparejan, se dispara una alarma. Cuando una alarma se dispara, el motor registra dicha alarma y el paquete que la gener para despus comenzar de nuevo el proceso completo con la llegada del siguiente paquete. El antiguo motor de deteccin de Snort, el del 1.x, era simple de implementar y aadirle a ste la nueva funcionalidad era relativamente fcil. Sin embargo este motor no era muy eficiente y era muy dependiente del nmero de reglas que estuvieran activas, a mayor nmero de reglas peor era la eficiencia de Snort. En los ltimos aos el nmero de reglas se ha disparado en Snort, actualmente hay unas 2500 reglas activas. Con el antiguo motor de deteccin la gestin de estas reglas era lo que haca que Snort fuese lento y poco eficiente, y ms para un sistema de este tipo. 2.5.2 Nuevo motor de deteccin
El nuevo motor de deteccin de Snort introducido en la versin 2.0, parte con un requisito inicial, que Snort sea capaz de funcionar en redes Gigabyte, y para que esto sea posible se ha reescrito totalmente el motor de Snort para que este sea capaz de gestionar trafico a GigaBytes. Los desarrolladores de Snort realizaron un nuevo motor de deteccin usando algoritmos multipatrn de bsqueda que es el ncleo del motor y que implementa mltiples reglas, permitiendo a Snort funcionar sobre redes GigaByte. El nuevo motor de deteccin construye cuatro grupos de reglas, una para el protocolo TCP, para UDP, para ICMP y para IP. Cuando un paquete se captura mediante la librera Libpcap lo primero que se realiza es una decodificacin de ste para alinear cabeceras segn el protocolo, como se puede ver en el siguiente diagrama de la Figura 2-5.
56
En primer lugar se realiza la decodificacin de los paquetes, todo depende del protocolo analizado. Posteriormente se realizan las llamadas a los preprocesadores, por cada uno de los que estn instalados en Snort o preprocesadores propios que hayamos implementado nosotros.
2.6
Mdulos de salida
Los mdulos de salida o plugins pueden hacer diferentes operaciones dependiendo de cmo se desee guardar la salida generada por el sistema de loggin y alerta de Snort. Bsicamente estos mdulos controlan el tipo de salida generada por estos sistemas. Existen varios mdulos de salida que se pueden utilizar, dependiendo del formato en el que se deseen los datos: Syslog, Database y el nuevo mdulo denominado Unified, que es un formato binario genrico para exportar datos a otros programas. El formato general para configurar los mdulos de salida es: output module_name: configuration options Siendo module name bien alert syslog, database o alert unified dependiendo del mdulo que se cargue. Las opciones de configuracin para cada mdulo de salida son las siguientes:
Captulo 2. Snort
57
Syslog. Enva las alarmas al syslog Formato Syslog: output alert_syslog: LOG_AUTH LOG_ALERT output alert_syslog: host= hostname:port, LOG_AUTH LOG_ALERT Donde hostaname y port son la direccin IP y el puerto de nuestro servidor Syslog.
Alert_Fast. El modo Alerta Rpida nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen y destino. Formato alert_Fast: alert_fast: <output filename> output alert_fast: alert.fast
Alert_Full. El modo de Alerta Completa nos devolver informacin sobre: tiempo, mensaje de la alerta, clasificacin, prioridad de la alerta, IP y puerto de origen/destino e informacin completa de las cabeceras de los paquetes registrados. Formato alert_Full: alert_full: <output filename> output alert_full: alert.full
Alert_smb. Permite a Snort realizar llamadas al cliente de SMB, y enviar mensajes de alerta a hosts Windows (WinPopUp). Para activar este modo de alerta, se debe compilar Snort con el conmutador de habilitar alertas SMB (enable smbalerts). Evidentemente este modo es para sistemas Linux/UNIX. Para usar esta caracterstica enviando un WinPopUp a un sistema Windows, aadiremos a la lnea de comandos de Snort: -M WORKSTATIONS. Formato alert_smb: alert_smb: <alert workstation filename> output alert_smb: workstation.list
Alert_unixsock. Manda las alertas a travs de un socket, para que las escuche otra aplicacin. Formato alert_unixsock: alert_unixsock output alert_unixsock
Log_tcpdump. Este mdulo asocia paquetes a un archivo con formato tcpdump. Formato log_tcpdump: log_tcpdump: <output filename> output log_tcpdump: snort.log
58
Database. Snort admite directamente cuatro tipos de salida a base de datos: MySQL, PostgreSQL, Oracle y unixODBC. El mdulo de salida de base de datos requiere: parmetros y configuraciones, dentro del archivo de configuracin y en tiempo de compilacin Formato Database output database: log, database_type, user= user_name password= password dbname host= database_address Donde se debe reemplazar database type por una base de datos vlida, user name por un nombre de usuario vlido en la base de datos y password por la contrasea asociada al usuario. La variable dbname identifica el nombre de la base de datos en la que se va a realizar el registro. Por timo, database address es la direccin P del servidor que contiene la base de datos. No se recomienda intentar ejecutar Snort y la base de datos en el mismo servidor ya que suele provocar una bajada considerable del rendimiento del sistema.
CSV. El plugin de salida CSV permite escribir datos de alerta en un formato fcilmente importable a una base de datos. Este plugin requiere 2 argumentos, directorio hacia un archivo y la opcin de formato de salida. Formato CSV: output alert_CSV: <filename> <format> output alert_CSV: /var/log/alert.csv default output alert_CSV: /var/log/alert.csv timestamp, msg
Unified. Es un formato binario bsico para registrar los datos y usarlos en el futuro. Los dos argumentos admitidos son filename y limit. Formato Unified: output alert_unified: filename snort.alert, limit 128
Log Null. A veces es til ser capaz de crear las reglas que provocarn alertas sobre ciertos tipos de trfico, pero no causarn entradas en los archivos de log. Formato Log Null: output log_null
Eventlog. Registra las alertas para visualizarse a travs del visor de sucesos de un sistema windows. Esta opcin se activar mediante -E y slo para Win32.
Captulo 2. Snort
59
Plugins de Snort
Hay una serie de mdulos o complementos para Snort, que contribuyen a aumentar su funcionalidad. Entre ellos destaca SPADE (Statical Packet Anomaly Detection Engine) [BIL]. Se trata de un IDS basado en actividades anmalas, publicado bajo licencia GNU GPL por lo que es de libre distribucin y es para el NIDS Snort. Se trata de un plug-in preprocesador para el motor de deteccin de intrusos de Snort. Detecta el trfico de red que se desva del comportamiento normal. Otro complemento para Snort es Snort Inline de Jed Haile, [PAL]. Snort Inline es un IPS de libre distribucin para el NIDS Snort. Snort Inline es bsicamente una versin modificada de Snort que acepta paquetes de iptables e IPFW va libipq (linux) o desde sockets (FreeBSD), en vez de libpcap. Por ello, usa nuevos tipos de reglas (drop, sdrop, reject) para transmitirle a iptables/IPFW si el paquete debe ser eliminado, rechazado, modificado, o permitido, basndose en un conjunto de reglas de Snort. Es un Sistema de Prevencin de Intrusin (IPS) que usa el Sistema de Deteccin de Intrusin basado en firmas para tomar decisiones sobre los paquetes que atraviesan Snort Inline. Bro est desarrollado en la Universidad de California en Berkeley. Bro est considerado como un IDS basado en Red. Usa una variedad de mdulos de anlisis de protocolos para inspeccionar el trfico y hacer juicios en cuanto a su conformidad a varias normas. Se trata de un complemento muy potente para Snort que monitoriza pasivamente el trfico de red y busca actividad sospechosa. Su anlisis incluye la deteccin de ataques especficos (incluyendo aquellos definidos por firmas, pero tambin aquellos definidos en trminos de eventos) y actividades inusuales (p.ej., ciertos hosts conectados a ciertos servicios, o intentos de conexin fracasados). SAM (Snort Alert Monitor) [RAH06] es una plataforma independiente basada en Java que revisa rpidamente las alarmas de Snort de la base de datos. SAM produce una descripcin de alto nivel, de forma que supervisa la base de datos MySQL y da la alarma si se encuentra la condicin dada. SAM se trata pues, de un programa para supervisar en tiempo real el nmero de alarmas generadas por Snort. Otro mdulo que se encarga de analizar las alertas de Snort es Snort Log Parser. Snort Log Parser es un programa que analiza los mensajes de Snort desde el archivo de log de alertas y los muestra de forma que sea fciles de entender. Esto permite la opcin de ver solamente los mensajes del da actual por defecto y permite ver das especficos o todos los das mediante lnea de comando. Para modificar los archivos de configuracin se puede usar IDS Policy Manager que ofrece una interfaz grfica amigable para la configuracin de Snort. Tiene la capacidad aadida de combinar nuevos conjuntos de reglas, manejar preprocesadores, configurar mdulos de salida y copiar reglas a sensores, facilitando as la configuracin de Snort. En la tabla 2-6 se muestra un resumen de algunos mdulos y complementos existentes para Snort.
60
Comentario
Mdulo detector de Anomalas. Sistema de Prevencin de Intrusos. NIDS que usa una gran variedad de mdulos para el anlisis de protocolos. Monitor de Alertas de Snort. Analiza los mensajes del archivo de alertas de Snort. Facilita el manejo de los preprocesadores y de las salidas de Snort. Consola web para visualizar los registros de Snort. Evolucin de ACID.
url
http://majorgeeks.com/Sam_Spade_d594.html http://snort-inline.sourceforge.net/ http://www.bro-ids.org/
http://acidlab.sourceforge.net/
BASE
http://sourceforge.net/projects/secureideas/
Son muchas las arquitecturas que integran Snort como sistema de deteccin de intrusos un ejemplo es el propuesto en el artculo de la [CAR07]. En l se describe un SPP-NIDS, que es una arquitectura para deteccin de intrusos, que soporta las reglas Snort. Proporciona escalabilidad, flexibilidad y rendimiento. Tiene un cluster parametrizable de procesadores: un procesador controlador IDS, un coprocesador dedicado reconfigurable, un procesador host e interfaces para unirse a la red exterior y para unir la red interior. El esquema del SPP-NIDS es el que se muestra en la figura 2-6.
Captulo 2. Snort
61
Otros autores, han realizado implementaciones mejoradas sobre Snort. El artculo de Ryan Proudfoot entre otros [PRO07], propone un sistema que ejecuta una versin mejorada de Snort en el software hasta conseguir el emparejamiento de formas (pattern matching) y luego descarga el procesamiento sobre una serie de FPGA. Se trata de una nueva arquitectura co-hardware/software que permitir usar una solucin software flexible y probada con la velocidad y la eficacia de los dispositivos hardware FPGA. Snort tambin se ha usado en implantacin de IDS hbridos (permite tanto la deteccin de anomalas como la de uso indebido). Ejemplo de ello se puede ver en el artculo de J.E. Daz-Verdejo [GAR07], que se ha comentado anteriormente, en el que se propone el uso de una versin modificada de Snort para operar como detector/clasificador hbrido. Esta versin puede ser utilizada durante la fase de entrenamiento del sistema basado en anomalas y como detector hbrido. Otras investigaciones proponen la combinacin del IDS Snort con un sistema de prevencin de Intrusos, IPS [NIC]. El prototipo de la arquitectura propuesta extiende la funcionalidad bsica de Snort, haciendo uso del preprocesado, que permite el anlisis de los protocolos de las capas superiores del TCP/UDP. El bloque de preprocesadores es muy poderoso ya que permite implementar tanto tcnicas basadas en la deteccin de intrusos como tcnicas basadas en la prevencin. Otro sistema que usa Snort es SANTA-G (Grid-enabled System Area NetworksTrace Analysis) [KEN04]. Se trata de una herramienta que monitoriza el framework que usa el RGMA (Relational Grid Monitoring Architecture). SANTA-G NetTracer se compone de tres componentes que consideran los datos de monitorizacin para tener acceso por la R-GMA: un Sensor (que es instalado sobre el nodo/s para ser monitorizado), un QueryEngine, y un Monitor GUI (como se puede ver en la Figura 2-7). El Sensor monitoriza los archivos de alertas creados por el sensor externo Snort, y notifica al QueryEngine cuando se descubren nuevos archivos de alerta. El sensor monitoriza el archivo de alertas generado por Snort.
62
A continuacin se puede ver en la tabla 2-7, un resumen de los sistemas que integran Snort como Sistema de Deteccin de Intrusos. Tabla 2-7. Sistemas que integran Snort Nombre
SPP-NIDS
Descripcin
Arquitectura para deteccin de intrusos, que soporta las reglas SNORT. Propone un sistema que ejecuta una versin mejorada de Snort haciendo uso de FPGAs. Implementacin de Snort como IDS hbrido (deteccin de anomalas y de uso indebido). Combinacin de Snort con un sistema de prevencin de Intrusos, IPS. Monitoriza el framework que usa el RGMA (Relational Grid Monitoring Architecture).
Referencia
[CAR07]
[PRO07]
[GAR07]
[NIC]
[KEN04]
SANTA-G
Adems de sistemas que usan Snort, tambin hay una versin de Snort para el anlisis de redes inalmbricas. Esta herramienta se llama AirSnort y su nico propsito es romper la encriptacin WEP (obteniendo as la contrasea de encriptacin) de todas las redes inalmbricas que se encuentren en el radio de alcance del dispositivo
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Captulo 2. Snort
63
inalmbrico que utilice la herramienta. Esta herramienta opera bsicamente monitorizando de forma pasiva las transmisiones de las redes inalmbricas que se producen alrededor del dispositivo inalmbrico que la ejecuta capturando todos y cada unos de los paquetes que circulan entre las mquinas conectadas a dicha red. [JIM].
CAPTULO 3
INSTALACIN Y CONFIGURACIN
En primer lugar antes de proceder a la instalacin y configuracin de Snort, se van a describir las distintas posibilidades para la ubicacin del IDS en la red. La colocacin de Snort en la red se debe de realizar en funcin del trfico que se quiere vigilar: paquetes entrantes, salientes, dentro del firewall, fuera del firewall... Se debe de colocar el IDS de forma que se garantice la interoperabilidad y la correlacin en la red. As la interoperabilidad permite que un sistema IDS pueda compartir u obtener informacin de otros sistemas como firewalls, routers y switches, lo que permite reconfigurar las caractersticas de la red de acuerdo a los eventos que se generan. Se puede colocar el IDS de las siguientes formas:
Delante del firewall. Detrs del firewall. Combinacin de los dos casos. Firewall/NIDS. Combinaciones avanzadas.
1.1
De esta forma el IDS puede comprobar todos los ataques producidos, aunque muchos de ellos no se hagan efectivos. Genera gran cantidad de informacin en los logs, que puede resultar contraproducente.
1.2
Snort colocado detrs del firewall suele ser la ubicacin caracterstica, puesto que permite analizar, todo el trafico que entra en la red (y que sobrepasa el firewall). Adems, permite vigilar el correcto funcionamiento del firewall. Monitoriza nicamente el trfico que haya entrado realmente en la red y que no ha sido bloqueado por el firewall. Con lo cual la cantidad de logs generados es inferior a la producida en el caso anterior.
66
Dentro de esta ubicacin, como se muestra en la figura 3-1, se puede situar el IDS atendiendo a los siguientes esquemas: a) IDS colocado tras un Hub (concentrador que une conexiones y no altera tramas que le llegan). las
b) IDS colocado tras un switch con un puerto replicador. El switch almacena la trama antes de reenviarla hacia snort. c) IDS colocado en modo bridge. De esta forma se establece una comunicacin directa entre los dos adaptadores de red.
En los dos primeros mtodos se replican los datos mediante hardware y en el tercer mtodo se hace mediante software. El procedimiento para instalar Snort en modo bridge es el siguiente: En primer lugar se instala la utilidad bridge: rpm i sysfsutils-1.2.0-4.i386.rpm (dependencias) rpm i bridge-utils-1.0.4-6.i386.rpm Se establece el puente entre los adaptadores de red (eth0 y ath0): brctl addbr br0 brctl addif br0 eth0 brctl addif br0 ath0 Se habilitan los adaptadores eth0, ath0 y se configura el adaptador del puente, br0 con una direccin de la red interna. ifconfig eth0 up ifconfig ath0 up ifconfig br0 192.168.0.2 netmask 255.255.255.0 up Se ejecuta el comando brctl show y se comprueba que el puente se ha establecido correctamente, obteniendo una salida similar a la de la figura 3-2.
67
1.3
Combinando la colocacin del IDS delante y detrs del firewall el control que se ejerce es mayor. Se puede efectuar una correlacin entre ataques detectados en un lado y otro. El inconveniente es que se necesitan dos mquinas para implementarlo.
1.4
Firewall / NIDS
Otra opcin es usar una nica mquina que haga las funciones de firewall y de NIDS a la vez.
1.5
Combinaciones avanzadas
Se utilizan para cubrir necesidades de seguridad ms altas. Por ejemplo si se necesita que cada NIDS monitorice un segmento de red o hosts individuales. Una vez que se ha seleccionado la ubicacin del IDS en nuestra red se procede a su instalacin y configuracin. Seguidamente se describe el proceso seguido para ello.
Un firewall es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde Internet). Un sistema de firewall filtra paquetes de datos que se intercambian a travs de Internet. Por lo tanto, se trata de una pasarela de filtrado que comprende al menos las siguientes interfaces de red:
Una interfaz para la red protegida (red interna) Una interfaz para la red externa.
Selinux (Security-Enhanced Linux), es una arquitectura de seguridad integrada en el kernel 2.6.x usando los mdulos de seguridad linux. SELinux define el acceso y los derechos de transicin de cada usuario, aplicacin, proceso y archivo en el sistema. Gobierna la interaccin de estos sujetos y objetos usando una poltica de seguridad que especifica cun estricta o indulgente una instalacin de Red Hat Enterprise Linux dada debera de ser. El componente SELINUX puede deshabilitarse durante el proceso de instalacin o bien, si ya se tiene instalado en el sistema, se deber modificar el fichero /etc/selinux/config realizando las siguientes modificaciones: SELINUX=disabled SELINUXTYPE=targeted
68
Con objeto de no tener problemas en el proceso de instalacin del sistema, se va a deshabilitar el cortafuegos iptables ejecutando: iptables F Posteriormente se guarda la configuracin con: iptables-save >/etc/sysconfig/iptables
Instalacin automtica
Para instalar Snort en un equipo GNU/Linux, se puede proceder de dos formas: intalndolo y compilndolo manualmente o descargando los paquetes ya compilados. Si se desea instalar Snort y Mysql directamente desde las fuentes, bastar con ejecutar el comando: yum install snort O yum install snort-mysql si se quiere descargar snort para que almacene las alertas en mysql. As se descargarn ya los paquetes compilados de snort y mysql y las dependencias necesarias (libpcap, pcre,..). La forma ms sencilla es instalarlo directamente a travs de un gestor de paquetes (como yum) pero es importante instalarlo de forma manual porque de esa forma se puede personalizar y adaptar Snort a nuestras necesidades. A continuacin se describe el procedimiento para la instalacin manual de Snort.
Hay que tener en cuenta que si se pretende realizar la instalacin de forma manual, se debe de instalar en primer lugar mysql, para indicarle a Snort que almacene sus alertas en dicha base de datos. Antes de realizar la instalacin de Snort se deben de instalar las dependencias: gccc++. Para instalar el compilador de forma automtica se debe ejecutar el siguiente comando: yum install gcc-c++ Flex Flex (www.gnu.org/software/flex) es un rpido generador analizador lxico. Es una herramienta para generar programas que realizan concordancia de patrones en el texto. Flex es un servicio gratuito (pero no-GNU) de la implementacin del programa lex de Unix. Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando: yum install flex
69
Bison Bison (www.gnu.org/software/bison) es un generador analizador de propsito general que convierte una gramtica de libre contexto en un LALR o un analizador GLR para esta gramtica. Se puede descargar y compilar flex de la pgina oficial o ejecutando el comando: yum install boison Libpcap Libcap es una librera de programacin de paquetes de TCP/IP requerida en la mayora de programas que analizan y monitorizan el trfico en una red. Para instalar libpcap hay que realizar los siguientes pasos: En primer lugar se descarga el paquete xvfz libpcap-0.9.8.tar.gz de Internet: www.tcpdump.org Se descomprime el paquete ejecutando: tar xvfz libpcap-0.9.8.tar.gz Se compila y se instala ejecutando los comandos: cd libpcap-0.9.8 ./configure make make install
Pcre PCRE es una librera que implementa funciones de pattern maching. Para instalar pcre hay que realizar los siguientes pasos: Se descarga el paquete pcre-7.4.tar.gz de Internet (www.pcre.org) Se descomprime el paquete: tar xvfz pcre-7.4.tar.gz. Finalmente se compila y se instala ejecutando los comandos: cd pcre-7.4 ./configure. make. y make install.
Una vez instaladas las dependencias, para instalar snort hay que seguir los siguientes pasos: Se descarga el paquete snort-2.8.0.1.tar.gz de Internet (www.snort.org) Se descomprime el paquete ejecutando tar xvfz snort-2.8.0.1.tar.gz Se compila y se instala ejecutando para ello:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
70
cd snort-2.8.0.1 ./configure make make install. En el caso de que se quiera compilar Snort para que tenga soporte para MySQL, se deben de tener en cuenta las siguientes consideraciones: Se deben de instalar primero las libreras de MySQL. Para ello se debe de ejecutar: yum install mysql-devel Finalmente se compila Snort ejecutando el comando: ./configure --with-mysql make make install
Configuracin
En primer lugar para configurar Snort se van a crear los directorios que necesita para trabajar: Se crea el directorio de trabajo de snort: mkdir /etc/snort Se crea el directorio donde se van a guardar las firmas: mkdir /etc/snort/rules Se crea el directorio donde va a guardar el registro de actividad: mkdir /var/log/snort adduser snort chown snort /var/log/snort Se crea el fichero de configuracin local: touch /etc/sysconfig/snort Se copia el ejecutable a su directorio de trabajo: cp /usr/local/bin/snort /usr/sbin
A continuacin se deben copiar los ficheros necesarios para poder trabajar con Snort: Ficheros de configuracin. o Se copia el fichero snort.conf en /etc/snort/ de la siguiente forma: cp /root/snort-2.8.0.1/etc/snort.conf /etc/snort/ o Se copia el fichero unicode.map en /etc/snort ejecutando: cp /root/snort-2.8.0.1/etc/unicode.map /etc/snort/ o Se copia el script de inicio del servidor:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
71
cp /root/snort-2.8.0.1/rpm/snortd /etc/init.d/ chmod 755 /etc/init.d/snortd Firmas: o Se deben de descargar las firmas de Snort desde www.snort.org y descomprimIr las firmas en la carpeta /etc/snort/rules. o Posteriormente se copian los archivos con la extensin .config en el directorio /etc/snort. Estos archivos son classification.config y references.config: cp /etc/snort/rules/*.config /etc/snort Preprocesadores: o Se crea la carpeta donde se van a guardar los preprocesadores ejecutando: mkdir /etc/snort/preproc_rules o Finalmente se copian los preprocesadores del directorio de las fuentes a la carpeta que hemos creado: cp /root/snort-2.8.0.1/preproc_rules/* /etc/snort/preproc_rules/ El fichero de configuracin (/etc/snort/snort.conf) nos permite configurar el sistema para realizar las siguientes acciones: Especificacin de la red redes sobre las cuales actuar el snort. Se trata de definir el rango de direcciones de nuestra red local. Configurar libreras dinmicas. Las libreras dinmicas son ficheros independientes que pueden ser invocados desde el ejecutable. Configurar los preprocesadores. Los preprocesadores son plug-ins o partes del programa que definen una manera de analizar los paquetes y detectar un mal funcionamiento o un tipo de ataque. Configurar los plugins de salida. Snort se puede configurar para que tenga varios modos de salida. Estos modos de salida son: por pantalla, en ficheros de log, en una base de datos, con syslog (servidor de eventos del sistema) y con varios formatos como en formato binario (para exportar datos a otros programas). Directivas de configuracin. Las directivas de configuracin definen comandos y otras opciones de configuracin de snort. El archivo snort.conf incluye el archivo classification.config (define las clasificaciones de las reglas) y el fichero reference.config (define sistemas de identificacin de ataque externos). Personalizar el conjunto de reglas. Snort usa un lenguaje de descripcin de reglas simple y flexible para describir cmo se deben de manejar los datos.
Para realizar una configuracin bsica de Snort, se pueden hacer las siguientes modificaciones bsicas sobre el archivo de configuracin de Snort:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
72
Se especifica el rango de direcciones de nuestra red interna modificando la variable HOME_NET: var HOME_NET <Direccin de red> o ANY. Se indica el directorio donde se encuentran almacenadas las reglas, modificando variable: var RULE_PATH /etc/snort/rules. Se determina el directorio donde se encuentran los preprocesadores: var PREPROC_RULE_PATH /etc/snort/preproc_rules Se activan los preprocesadores que se desean utilizar. Se habilitan las reglas que se quieren utilizar. Para ello se comentan o descomentan las reglas deseadas. Se recomienda mirar los ficheros de reglas antes de incluirlos, puesto que las reglas por defecto son muy restrictivas y generan demasiadas alertas. Como mnimo se desactiva la regla web_misc_rules. Se guarda el archivo de configuracin snort.conf.
Modos de ejecucin
Snort es una herramienta que funciona en cuatro modos: Sniffer Mode. Packet Logger Mode. Network Intrussion Detection System (NIDS). Inline Mode.
Los modos de ejecucin de Snort se activan dependiendo de los parmetros de ejecucin que se empleen. En la tabla 3-1 se puede ver un resumen de los parmetros ms importantes que se pueden utilizar con Snort. Tabla 3-1. Parmetros de Snort Parmetro Modo
-v
Ejemplo
-l
-c
Sniffer Muestra en pantalla la direccin IP y las cabeceras TCP/UDP/ICMP. Pone snort en modo sniffer Packet Sirve para especificar el directorio loger donde se almacenarn los ficheros de log generados por snort. NIDS Se utiliza para especificar el directorio del archivo de configuracin snort.conf.
snort l /etc/snort/log
snort dev c /etc/snort/snort.conf Loguea los paquetes de red, especificndole la ruta del fichero de configuracin de snort.
73
Muestra informacin detallada sobre el trfico -d -e Incluye todas las cabeceras de la capa de red (TCP, UPD e ICMP) Incluye las cabeceras de la capa de enlace. Permite indicar el tipo de registro -b Indica logging en modo binario. El formato binario es tambin conocido como TCPDump. El formato binario hace que la informacin de los paquetes vaya ms rpido debido a que Snort no tiene que traducir al formato entendible por los humanos de forma inmediata. Sirve para especificar un archivo de log binario. Procesa un archivo de log grabado en modo binario. snort -l /etc/snort /log b Analiza el trfico almacenando los log en el directorio etc/snort/log en formato binario. snort -d snort -e
-L
-r
snort -b -L {log-file} Registra el paquete binario especificado en log-file. snort -dv -r packet.log Lee del fichero binario packet.log. snort -h 10.1.0.0/24 Analiza el trfico de la red 10.1.0.0/24. snort -dev i eth0 snort -vd not host 10.1.1.254 Ignora el trfico procedente de la IP 10.1.1.254. snort -vd src net 10.1.0 Ignora el trfico de la red 10.1.1.0. snort -vd -r <file> not host 10.1.1.20 and src port 22 Ignora el trfico de red procedente del host 10.1.1.20 con puerto destino 22.
Permite indicar el trfico que vamos a analizar -h Se utiliza para indicar la direccin IP de la red local de actuacin del snort. Indica la Interfaz de red de donde obtiene los datos. Se usan para ignorar paquetes procedentes de una direccin IP y funcionan con las expresiones and, or, not. Se utilizan para ignorar el trfico de la red origen indicada. Sirven para ignorar el trfico de red que tengan el puerto indicado como destino u origen.
src net
6.1
Sniffer Mode
El modo sniffer permite escuchar todo el trfico de la red y mostrarlo en pantalla. Una vez que finaliza el modo sniffer nos muestra una estadstica del trfico. Para iniciar el modo sniffer y visualizar en pantalla todo el trfico TCP/IP se debe de ejecutar el comando: snort -v
74
Si se se quiere visualizar los campos de datos que pasar por la interfz de red se ejecuta como se indica a continuacin: snort -dev En la figura 3-3, se puede ver el resultado de la ejecucin del comando anterior.
6.2
Si se ejecuta Snort en modo sniffer se vern gran cantidad de informacin mostrada por pantalla, con lo cual sera interesante guardar estos datos en disco para su posterior estudio. El modo Packet Logger escucha todo el trfico de la red y lo registra en un determinado directorio. Para ejecutar snort en este modo se debe utilizar el parmetro l /var/log/snort. Donde /var/log/snort es el directorio donde se registra el trfico. La figura 3-4, muestra el modo de ejecucin de Snort packet logger.
75
6.3
Snort ejecutado en modo NIDS, ofrece la opcin ms completa y configurable. Permite analizar el trfico de la red en busca de intrusiones a partir de los patrones de bsqueda (rules) definidos por el usuario. Snort nos informar de intentos de acceso no permitido a nuestro host, as como de escaneos de puertos, ataques DOS, ejecucin de exploits, etc. Para que Snort funcione en modo IDS, se debe utilizar el parmetro -c directorio hacia snort.conf. Seguidamente en la figura 3-5, se puede ver la salida de Snort en el modo de ejecucin NIDS.
6.4
Inline Mode
Permite configurar el NIDS para que interacte con el cortafuegos de forma que si Snort detecta un ataque puede enviar a iptables la peticin para que corte el trfico. En este modo de ejecucin se obtiene los paquetes desde iptables en vez de libcap, y los paquetes son aceptados o rechazados en funcin de las reglas definidas en Snort. Hay varias herramientas que permiten el funcionamiento de Snort en modo inline. Estas herramientas se analizarn ms adelante en el apartado de los IPS (Sistemas de Prevencin de Intrusiones), que poseen las caractersticas de los IDS, con el aadido de realizar alguna accin para prevernir una intrusin detectada por el IDS.
Frontends
La idea general es que el front-end es el responsable de recolectar los datos de entrada del usuario, que pueden ser de muchas y variadas formas, y representarlos de forma que puedan ser analizados de un modo ms simple. Se han instalado los siguientes Frontends:
76
Para la instalacin de estos Frontends se necesitar instalar y configurar previamente otras herramientas como el servidor web Apache, el soporte PHP para dicho servidor y Mysql para almacenar las alertas generadas por Snort. A continuacin se describe el procedimiento seguido para ello, as como la instalacin y ejecucin de los distintos frontends que se han instalado:
7.1
Instalacin de Apache
Apache (http://httpd.apache.org) es un Servidor de HTTP de libre distribucin diseado para gran variedad de sistemas operativos incluyendo UNIX y el Windows NT. El objetivo de este proyecto es proporcionar un servidor seguro, eficiente y extensible que proporciona servicios HTTP en sincronizacin con los estndares actuales de HTTP. Apache ha sido el servidor web ms popular en Internet desde Abril de 1996. Para instalar Apache se puede descargar de la pgina oficial (www.apache.org) o ejecutando directamente: yum install httpd Una vez finalizada la instalacin el directorio donde se encuentra la configuracin del sistema es /etc/httpd/conf y el directorio donde se encuentran las pginas web es /var/www/html. Para iniciar el servidor web apache se ejecuta el comando: service httpd start Seguidamente si se escribe la direccin http://localhost en un navegador se podr ver que el servidor funciona correctamente.
7.2
Instalacin de PHP
PHP (http://es.php.net/) es una lenguaje de scripting extensamente usado de uso general que sobre todo es til para el desarrollo Web y puede ser integrado en HTML. Ser necesario para dar soporte al servidor web Apache instalado anteriormente. Se puede instalar php, descargndolo desde www.php.net y ejecutando: ./configure --with-mysql make y make install Tambin se puede proceder a instalarlo directamente desde las fuentes. Para ello, se escribe en lnea de comandos: yum install php yum install php-mysql
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
77
7.3
Instalacin de MySQL
MySQL (http://www.mysql.com/) es un sistema de gestin de base de datos relacional, multihilo y multiusuario, que se utilizar como mdulo de salida de las alertas proporcionadas por Snort. Ser necesario tener almacenadas las alertas en una base de datos mysql para el funcionamiento de buena parte de las interfaces de visualizacin de eventos que se instalarn posteriomente. Para instalar el servidor MySQL para que almacene las alertas de snort se deben de ejecutar los siguientes comandos: yum install mysql-server yum install mysql-devel Se inicia el servicio de MySQL ejecutando: service mysqld start
A continuacin se debe de crear en MySQL una base de datos para registrar las alertas del sistema de deteccin de intrusos. Para ello, se deben de realizar los siguientes pasos: En primer lugar hay que conectarse al servidor MySQL: mysql u root Posteriormente, se le dan todos los privilegios al usuario root, indicndole una contrasea de acceso: GRANT ALL PRIVILEGES ON mysql.*TO root@localhost IDENTIFIED BY 'test'; Se crea la base de datos de snort: CREATE DATABASE snort; Se puede crear un usuario especfico para la base de datos snort, para no usar el usuario root: GRANT ALL PRIVILEGES ON snort.*TO snort@localhost IDENTIFIED BY 'test'; Ntese que el login y el password para la base de datos snort deber ser el mismo que el especificado en el archivo /etc/snort/snort.conf. Finalmente, salimos de MySQL con: exit.
A continuacin se crean las tablas para la base de datos de snort, importndolas del archivo create_mysql que se encuentra en el subdirectorio /schemas de donde se descomprimieron las fuentes: Se ejecuta para ello el comando: mysql -u root -p snort </root/snort-2.8.0.1/schemas/create_mysql Se introduce la contrasea, en este caso test
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
78
Para comprobar que se han creado las tablas correctamente se pueden realizar los siguientes pasos: Se entra en MySql: mysql -u root p snort Se introduce la contrasea test Se selecciona la base de datos snort: use snort; Para ver las tablas que se han creado para nuestra base de datos snort se ejecuta: show tables;
7.4
Instalacin de Frontends
Existen varios front-ends para visualizar la informacin generada por Snort. A continuacin se comentan varios de ellos. 7.4.1 ACID
ACID (Analysis Console for Intrusion Databases - http://www.acid.org/) es una consola de anlisis Web que permite al administrador de sistemas analizar los datos generados por Snort y almacenarlos en una base de datos (como por ejemplo MYSQL), permitiendo ver la direccin IP del atacante, la fecha, el tipo de ataque, etc. ACID genera grficos y estadsticas, basados en tiempo, sensores, vulnerabilidad, protocolo, direccin IP, puertos TCP/UDP. Para ponerla en funcionamiento bastar con que realizar los siguientes pasos: Se descarga el paquete acid-0.9.6b23.tar.gz http://acidlab.sourceforge.net desde la pgina web:
79
Una vez hecho esto, se necesitan instalar los paquetes jpgraph y adodb para el correcto funcionamiento de ACID como se indica a continuacin: En primer lugar se descarga Jpgraph-1.21 de la pgina www.aditus.nu/jpgraph y adodb462 de la pgina http://adodb.sourceforge.net Se descomprimen los paquetes jpgraph y adodb, y se copian dentro de la carpeta ACID como se indica: tar xvfz jpgraph-2.2.tar.gz mv ./jpgraph-2.2 /var/www/ tar xvfz adodb496a.tgz mv ./adodb /var/www/ Se edita el fichero acid_conf.php, dentro de la carpeta acid y se realizan los siguientes cambios: Se configura la conexin a la base de datos: $alert_dbname = "snort"; $alert_host = "localhost"; $alert_port = ""; $alert_user = "snort"; $alert_password = "test"; Se configura el path de los plugins: $DBlib_path= /var/www/adodb; $ChartLib_path = "/var/www/jpgraph-2.2/src"; Donde alert_dbname es el nombre de la base de datos; alert_host es el host donde est almacenada la base de datos snort; alert_port es el puerto para acceder a la base de datos; alert_user es el usuario propietario de la base de datos, que puede ser el usuario snort o el usuario root; y alert_password es la contrasea para la base de datos de snort. Una vez configurado ACID se inicia el navegador web y se escribe la url http://localhost/acid. Si todo est correcto se debera de ver la pgina principal de ACID (vase figura 3-7). Si es as, se procede a finalizar la configuracin de ACID. Para ello, se pulsa el botn Setup page.
Figura 3-7. Instalacin de ACID Inicio Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
80
Posteriormente se pulsa el botn Create Acid AG para crear en la base de datos de snort las tablas que necesita ACID para funcionar, tal y como se muestra en la Figura 38.
Si se desea tambin se pueden crear las tablas directamente ejecutando los siguientes comandos: En el directorio /var/www/html/acid, se ejecuta el comando: mysql u root p snort <create_acid_tbls_mysql.sql Se introduce la contrasea test. Para ver si las tablas se han creado correctamente en primer lugar se selecciona la base de datos snort: use snort; A continuacin para ver las tablas creadas se ejecuta: show tables;
Se podr ver la estructura final de la base de datos snort con las 20 tablas creadas (vase la figura 3-9).
Figura 3-9. Tablas de Snort con ACID Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
81
7.4.2
BASE
BASE (Basic Analysis and Security Engine - http://base.secureideas.net/) es una interfaz web en PHP que permite gestionar de una forma fcil y cmoda las bases de datos de seguridad generadas por varios IDS, cortafuegos, y herramientas de monitorizacin. Para ponerla en funcionamiento bastar con que realizar los siguientes pasos: En primer lugar se descarga el paquete base-1.3.9.tar.gz desde la pgina web: http://base.secureideas.net/. A continuacin se descomprime el paquete en el directorio /var/www/html: cp base-1.3.9.tar.gz /var/www/html cd /var/www/html tar xvfz base-1.3.9.tar.gz mv base-1.3.9 base
Para poder utilizar BASE se necesitan tener instalados los paquetes adodb e Image_Graph. A continuacin se ver cmo se instala cada uno de los paquetes: Adodb Adodb (Database Abstraction Library for PHP) es una librera de abstraccin de base de datos para PHP. Para instalar adodb hay que realizar los siguientes pasos:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
82
Se descarga el paquete adodb462 de la pgina http://adodb.sourceforge.net. Se descomprime el paquete y se copia dentro de la carpeta /var/www/: tar xvfz adodb496a.tgz mv ./adodb /var/www/
Image_Graph Image_Graph proporciona un conjunto de clases que crea diversos elementos grficos basados en datos numricos. Para instalar el paquete Image_Graph hay que utilizar el instalador pear. Para ello, el primero paso que hay que realizar es instalar el mdulo php-pear. Se puede instalar a travs de go-pear siguiendo los siguientes pasos: Descargar el paquete go_pear de: http://pear.php.net/package/pearweb_gopear Descomprimir el paquete y en la carpeta public_html hay un archivo go-pear, hay que ponerle la extensin php, quedando como go-pear.php. Posteriormente se ejecuta: php -q go-pear.php para instalar el mdulo pear. cd /var/www/html cd base-1.2.6/ cd pearweb_gopear-1.1.1 cd public_html/ php -q go-pear.php Se instalan los paquetes Image_Color, Image_Canvas e Image_ Graph. Para ello realizamos los siguientes pasos: o Se descargan los tres paquetes de las siguientes pginas web: http://pear.php.net/get/Image_Color-1.0.2.tgz http://pear.php.net/get/Image_Canvas-0.3.0.tgz http://pear.php.net/get/Image_Graph-0.7.2.tgz o Se copian los tres paquetes en la carpeta pearweb_gopear-1.1.0/public_html. o Se copia el contenido de la carpeta bin en la carpeta public_html. o Se instalan los tres paquetes ejecutando: ./pear install Image_Color-1.0.2.tgz ./pear install Image_Canvas-0.3.0.tgz ./pear install Image_Color-0.7.2.tgz 7.4.2.1 Pasos previos Para poder iniciar el proceso de configuracin de BASE se deben de realizar los siguientes pasos: Modificar el nivel de reporte de errores de php. Para ello se modifica la variable error_reporting del fichero /etc/php.ini como se muestra a continuacin: error_reporting = E_ALL & - E_NOTICE [lnea 349]
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
83
Se asignan permisos de escritura a la carpeta /var/www/html/base para el usuario apache. Una vez finalizada la instalacin se volver a poner los permisos de lectura. chown apache /var/www/html/base -R chgrp apache /var/www/html/base -R chmod 770 /var/www/html/base R
7.4.2.2 Configuracin Para configurar BASE hay que realizar los siguientes pasos: Conectarse desde un navegador a la direccin http://localhost/base y aparecer la pantalla de la figura 3-11. A continuacin se pulsa el botn Continue.
A continuacin se selecciona el idioma Spanish y se escribe la ruta donde se encuentra instalado adodb (/var/www/adoddb). Se pulsa el botn Enviar Consulta. El siguiente paso es indicar los datos de la conexin a la base de datos. Para ello se contestan a cada una de las opciones que se indican: o Pick a Database Type: MySQL o Database Name: snort o Databse host: localhost o Database port: o Database User Name: snort o Database Password: test Una vez introducidos todos los datos se pulsa el botn Enviar Consulta para continuar.
A continuacin se indica que se desea habilitar el sistema de autentificacin. Para ello se selecciona la casilla Use Authentication System y, se escribe el nombre y la contrasea del administrador: o Admin User Name: root o Password: test
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
84
Se pulsa el botn Enviar Consulta para continuar. Posteriormente tal y como aparece en la figura 3-12, el sistema indica que se deben de crear las tablas necesarias para que BASE trabaje correctamente. Se debe de pulsar el botn Create BASE AG para crear las tablas de BASE.
Aparecer un informe en el que se muestra que las tablas se han creado correctamente (vase figura 3-13) y se finaliza la instalacin.
Finalmente se puede ver el funcionamiento de BASE, mostrando las alertas generadas como se puede ver en la figura 3-14.
85
Una vez que el sistema ha sido configurado correctamente hay que quitar los permisos de escritura del usuario apache ejecutando el siguiente comando: chmod 550 /var/www/html/base -R Si se desea ver las tablas que se han creado en el proceso de instalacin debe ejecutar los siguientes comandos: Se entra en mysql ejecutando: mysql u root p snort Se escribe la contrasea test Se indica la base de datos snort: use snort; Y finalmente para ver la estructura final de la base de datos snort (vse figura 3-15), se ejecuta: show tables;
.
Figura 3-15. Tablas de snort con BASE instalado Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
86
7.4.2.3 Instalacin de base-plugins Para instalar el plugin SnortCenter de BASE lo primero que hay que hacer es descargar el paquete base-0.9.7-plugin-v1.tar.gz de la pgina http://base.secureideas.net/. A continuacin se copia el fichero al directorio de trabajo de base y se descomprime: cp base-0.9.7-plugin-v1.tar.gz /var/www/html/base cd /var/www/html/base tar xvfz base-0.9.7-plugin-v1.tar.gz Para utilizar BASE con el plugin SnortCenter tan slo hay que conectarse a la direccin http://localhost/base. (vase figura 3-16).
7.4.3
SnortSMS
SnortSMS (http://snortsms.sourceforge.net/index.php) es un sistema de gestin de sensores altamente configurable que proporciona la capacidad de administracin remota de Snort y tambin de Barnyard. Hace uso de los archivos de configuracin y permite aadir/eliminar reglas, as como monitorizar las estadsticas del sistema de forma simple a travs de una interfaz web. Si se tienen uno o mltiples sensores de Snort, SnortSMS puede ayudar a unificar y sincronizar todas las configuraciones de todos los sensores. El objetivo principal de SnortSMS es ayudar a unificar y sincronizar las configuraciones de todos los sensores en un entorno con mltiples sensores de forma remota, combinando tecnologas de software libre como MySQL, Apache y PHP. 7.4.3.1 Componentes principales de SnortSMS SnortSMS es una coleccin de tecnologas que trabajan en conjuncin. Principalmente est compuesto por el Sitio Web que recibe el nombre de SnortSMS Collector y por el Agente PHP de SnortSMS. El Sensor IDS de SnortSMS tiene un Agente que usa un portal web que funciona como listener para recibir y enviar informacin hacia y desde el Colector SnortSms. Los
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
87
scripts del Agente estn escritos en PHP y requieren un servidor web en el sensor para escuchar las peticiones del Colector. Se puede elegir el servidor web Apache, aunque en este caso se ha optado por usar el servidor web lighttpd porque tiene un tamao pequeo, puede soportar autenticacin HTTP, php-cgi y SSL. Barnyard es una herramienta opcional que permite que las alertas de Snort sean propagadas a la base de datos central en background. Aunque Snort tiene la funcionalidad de escribir los eventos en la base de datos directamente, se recomienda Barnyard porque es ms seguro y libera a Snort de la latencia y entradas errneas que podran ocasionar la eliminacin de eventos. 7.4.3.2 Caractersticas de SnortSMS Las principales caractersticas que posee esta herramienta son las que se nombran a continuacin:
Gestin Centralizada de los Sensores. Unifica todos los sensores bajo una interfaz comn. Permite crear y compartir polticas de configuracin globales a travs de los sensores IDS, y arrancar y parar sensores de forma remota. Soporte Barnyard. Posee soporte integrado para Barnyard incluendo autogeneracin de sid-msg.map, que se usa para traducir el identificador encontrado en una regla de Snort a una cadena de texto. Monitorizacin del Estado. Monitoriza las estadsticas del estado de todos sus sensores. Verificacin de Configuracin. Usa checksums MD5 para validar las polticas de configuracin de los sensores con las propiedades globales de configuracin. Importacin de Reglas. Instantneamente permite descargar e importar reglas y archivos de configuracin de Snort dentro de las libreras de SnortSMS. Auditora de Reglas. Almacena registros histricos de revisiones pasadas de reglas. Visualizacin de Eventos. Posee un visor de alertas de Snort para realizar bsquedas sobre las mismas.
7.4.3.3 Requerimientos del Sistema SnortSMS est diseado para funcionar sobre dos sistemas Linux: uno que realice la funcin del Colector SnortSMS y otro la del Sensor IDS SnortSMS, aunque ambos podran convivir en la misma mquina. Seguidamente se listan los principales requerimientos de cada sistema:
88
Colector SnortSMS Sistema Operativo Unix. (FreeBSD, Linux, Solaris, etc...) Apache. Servidor http Apache php4 (o php5). Lenguaje de Script PHP (Mdulo de Apache y Cliente) o php-curl.La extensin curl para php. o php-pcre. La extensin pcre para php. o php-pcntl. La extensin pcntl para php. o php-mysql. La extensin php-mysql o pear-DB. Capa de Abstraccin de Base de Datos PEAR para php. MySQL Server. Servidor de MySQL (Base de Datos SQL Multithread). tar. Comando para crear archivos comprimidos y aadir o extraer archivos.
Sensor IDS SnortSMS Sistema Operativo Unix. FreeBSD, Linux, Solaris, etc... php4 (o php5). Lenguaje de Script PHP (Mdulo de Apache y Cliente) MySQL Server. Servidor de Base de Datos SQL Multithread. tar. Comando para crear archivos comprimidos y aadir o extraer archivos. Snort. Sistema de Deteccin de Intrusos. Lighttpd. Servidor Web, seguro, rpido y muy flexible. php4 (o php5). Lenguaje de Script PHP (Mdulo de Apache y Cliente) o php-pcre. La extensin pcre para php. o php-pcntl. La extensin pcntl para php. MySQL Client. Cliente Multithread)[opcional]. de MySQL (Base de Datos SQL
7.4.3.4 Instalacin y Configuracin de SnortSMS Para la instalacin de SnortSMS seguimos los siguientes pasos: En primer lugar se descarga la herramienta desde la pgina web: http://sourceforge.net/project/showfiles.php?group_id=138173 Posteriormente se descomprime: tar xvfz snortsms-1.7.8.tar.gz
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
89
Se copia la carpeta en el directorio del servidor web Apache donde residir el SnortSMS Collector, en este caso: /var/www/html: cp /root/snortsms-1.7.8 /var/www/html Se dan permisos al usuario y grupo apache sobre el directorio snortsms: chown apache /var/www/html/snortsms-1.7.8 -R chgrp apache /var/www/html/snortsms-1.7.8 -R chmod 770 /var/www/html/snortsms-1.7.8 -R
Una vez descargado el paquete, se debern de instalar y configurar los dos componentes de SnortSMS. Es decir, se debe instalar y configurar el SnortSMS IDS Sensor y el SnortSMS Collector. A continuacin se describe el proceso necesario para instalar y configurar los dos componentes de SnortSMS. SnortSMS IDS Sensor Para la instalacin de SnortSMS IDS Sensor, se deben de tener instalados los componentes que se han indicado anteriormente en los Requerimientos del Sistema: php4 o php5, Mysql Server, tar, snort, el servidor web (en este caso se ha optado por instalar lighttpd), php-pcre y php-pcurl y opcionalmente el Mysql Client y Barnyard. Se asume que se tienen instalados todos los componentes necesarios. En este caso se va a instalar el sensor en el mismo host donde residir el Colector, si bien puede localizarse en un host remoto. Para el IDS Sensor se va a instalar el servidor web ligtthpd porque es ms recomendable, aunque tambin podra utilizarse el servidor web Apache. A continuacin se explica cmo instalar y configurar el servidor web lighttpd. Lighttpd Para la instalacin y configuracin del servidor web lighttpd se deben de realizar los siguientes pasos: Se instala lighttpd con el comando: yum install lighttpd Se instala tambin el mdulo fastcgi para lighttpd: yum install lighttpd-fastcgi. Se crea el directorio donde se va a almacenar el servidor web en este caso se va a crear una carpeta lighttpd en /var/www. mkdir /var/www/lighttpd
Una vez instalado lighttpd se debe proceder a su configuracin. Para ello se edita el archivo lighttpd.conf que se encuentra en /etc/lighttpd. En el subdirectorio Agent del paquete snortsms-1.7.8, se encuentra un ejemplo de archivo de configuracin.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
90
A continuacin se muestran las principales opciones que hay que modificar en lighttpd.conf: Se descomentan los mdulos a cargar cuando se ejecute lighttpd. Al menos se deben de tener los mdulos mod_access, mod_accesslog. En este caso tambin se han indicado los mdulos mod_fastcgi, y mod_cgi. Se indica el directorio raz del servidor. En este caso se trata del subdirectorio creado anteriormente: server.document-root = "/var/www/lighttpd/" Se coloca la ruta para enviar los mensajes de error: server.errorlog = "/var/log/lighttpd/error.log" Se deben de tener los nombres de los arhivos a chequear: index-file.names = ( "index.php", "index.html", "index.htm", "default.htm" ) Se le indica el archivo de log para el acceso: accesslog.filename = "/var/log/lighttpd/access.log" Tambin se debe de indicar el puerto donde estar el servidor (por defecto es el 80), aunque en este caso se ha puesto el puerto 10000. server.port = 10000 Se modifica la variable server.bind indicando el host en el cual se encuentra el servidor web: server.bind = "192.168.1.179" Se especifica la ruta para el archivo .pid de lighttpd. server.pid-file = "/var/run/lighttpd.pid" Se activan si se desean las opciones para el mdulo fastcgi: fastcgi.server = ( ".php" => ( "localhost" => ("socket" => "/var/run/lighttpd/php-fastcgi.socket-3", "bin-path" => "/usr/bin/php-cgi"))) Opciones para el mdulo cgi: cgi.assign = ( ".pl" => "/usr/bin/perl", ".cgi" => "/usr/bin/perl" ) Seguidamente se inicia el servidor lighttpd: service lighttpd start
Si se quiere que el servicio se inicie automticamente se puede utilizar el comando chkconfig para habilitar el servicio en los niveles de ejecucin correspondientes, en este caso en todos los niveles: chkconfig --level 0123456 lighttpd on
91
Si nos dirigimos a la direccin 192.168.1.179:10000 se puede ver la pgina de inicio del servidor lighttpd, como muestra la figura 3-17.
Instalar el Agente El agente de SnortSMS es un script en php que se encuentra en la carpeta Agent. Para instalar el agente se siguen los siguientes pasos: Se debe copiar dicho script en la localizacin donde va a residir el Sensor, en este caso se encontrar en el directorio web de lighttpd creado anteriormente (/var/www/lighttpd): cp /var/www/html/snortsms-1.7.8/Agent/agent.php /var/www/html/snortsms1.7.8 /var/www/html Se dan permisos de ejecucin al script agent.php y al usuario apache: chmod 777 /var/www/html/agent.php chown apache /var/www/html/agent.php
Si se quiere proteger el agente con autenticacin http, tenemos que crear un archivo usuario/password. Se trata simplemente de crear un archivo de texto plano con el usuario y el password separados por dos puntos. Es decir: usuario:password Una vez realizados los pasos anteriores se puede testear el funcionamiento del agente. Para ello, en el navegador web se escribe: http://<userid>:<password>@<sensorip>:<port>/agent.php?ac=test En este caso no se ha puesto autenticacin, as que simplemente se escribe: http://192.168.1.179:10000/agent.php?ac=test y se ver la pgina de inicio del Agente de SnortSMS (vase figura 3-18).
92
SnortSMS Collector Para la instalacin del Colector de SnortSMS se deben de tener instalados y configurados los requerimientos necesarios que se han indicado al principio: servidor Apache, php4 o php5 con los mdulos php-curl, php-pcre, php-pcntl, php-mysql y pearDB, MySQL Server y tar. Anteriormente se ha explicado la instalacin de apache, php y mysql. Si se han seguido los pasos indicados anteriormente se habrn instalado los mdulos y dependencias necesarios, a excepcin de pear-DB. Para instalar pear-DB, se debe instalar la herramienta pear, que se ha explicado para instalar BASE. Php-pear se puede instalar a travs de go-pear siguiendo los siguientes pasos: Descargar el paquete go_pear de: http://pear.php.net/package/pearweb_gopear Descomprimir el paquete y en la carpeta public_html hay un archivo go-pear, hay que ponerle la extensin php, quedando como go-pear.php. Posteriormente se ejecuta: php -q go-pear.php para instalar el mdulo pear. cd pearweb_gopear-1.1.1 cd public_html/ php -q go-pear.php Una vez instalado pear, se instala pear-DB, ejecutando: ./pear install DB
93
Instalar el Sitio Web para SnortSMS Collector Para instalar el Colector de SnortSMS, se deben de realizar los siguientes pasos: En primer lugar se debe copiar la carpeta de snortsms en el directorio root del servidor web, en este caso para el Colector ser el servidor web Apache, y el directorio es /var/www/html, como se indic al principio. Posteriormente se le dan permisos al subdirectorio conf de snortsms para que pueda acceder el servidor web. chown :apache /var/www/html/snortsms-1.7.8/conf chmod 777 /var/www/html/snortsms-1.7.8/conf chmod 664 /var/www/html/snortsms-1.7.8/conf Se crea si no existe ya un directorio temporal para Snortsms y se le dan permisos de ejecucin. mkdir /var/tmp si no existe ya chmod 777 /var/tmp/ Se crea un directorio para almacenar los logs de Snortsms: mkdir /var/log/snortsms chmod 777 /var/log/snortsms Se debe modificar la configuracin del servidor PHP. Para ello se edita el archivo php.ini localizado en el directorio /etc, y se cambian las siguientes propiedades: Modificaciones del fichero /etc/php.ini short_open_tag = On magic_quotes_gpc = Off magic_quotes_runtime = Off max_execution_time = 120 max_input_time = 120 memory_limit = 100M post_max_size = 20M upload_max_filesize = 20M include_path=".:/var/www/html/base/pearweb_gopear1.1.1/public_html/PEAR"(localizacin del ejecutable pear aadido con go-pear)
Verificar que el servidor web Apache est correctamente configurado y el directorio root del servidor es correcto.
Crear la Base de Datos de SnortSMS Para ello, se inicia el servicio mysql: service mysqld start
94
Se crea una nueva base de datos, llamada SNORTSMS usando el esquema proporcionado por el paquete snortsms: mysql -u root -p </var/www/html/snortsms-1.7.8/schema/SNORTSMS.mysql Se entra en mysql y se introduce el password: mysql u root p Se le dan permisos al usuario snort para acceder a la base de datos SNORTSMS: GRANT ALL PRIVILEGES ON snort.*TO SNORTSMS@localhost IDENTIFIED BY 'password'; Si se escribe dentro de mysql: use SNORTSMS; show tables; Se vern las tablas creadas de SnortSMS como aparece en la figura 3-19.
Creacin de la Base de Datos de Alertas de Snort (Opcional) Si se quiere tener una base de datos central para todos los sensores se puede crear la base de datos de Snort. En este caso, ya se considera que se ha creado en el apartado de Instalacin y Configuracin de Snort. Por tanto, slo ser necesario modificar la base de datos de eventos de snort. Para ello se procede de la siguiente forma: Se usa la base de datos de snort, escribiendo dentro de la lnea de comandos de mysql: use snort; Se debe modificar la tabla 'events' aadiendo el campo 'viewed', ejecutando:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
95
alter table event add column viewed tinyint (1); Una vez realizados los pasos anteriores, queda configurar las propiedades globales de SnortSMS desde la interfaz web, como se explica a continuacin: 7.4.3.5 Configurar las propiedades globales de SnortSMS A continuacin se describen las principales propiedades que hay que configurar para poner en funcionamiento SnortSMS, y que se pueda comunicar con el Agente. En primer lugar se abre el navegador web y se introduce la direccin apuntando al directorio de snortsms en el directorio web: http://localhost/snortsms-1.7.8 Aparecer la interfaz web que se muestra en la figura 3-20, indicando el error de que no se puede comunicar con la base de datos SNORTSMS, puesto que an no se han realizado las configuraciones necesarias.
Se debe pulsar la pestaa Login para entrar en la Configuracin. Para la primera vez que se hace login, se introduce como usuario admin y como password tambin admin. En la ventana roja de arriba, se debe de hacer clic sobre "Global Settings" y aparece la siguiente pantalla (vase figura 3-21) para configurar la Aplicacin Web SnortSMS.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
96
Se deben introducir los datos referentes a la base de datos de SnortSMS, a la base de datos de Snort, y otra serie de propiedades referentes a otros programas y utilidades. Una vez configurado se pulsa en el botn Aplicar Cambios. A continuacin se muestra en la figura 3-22, la configuracin completa de las Propiedades Globales de SnortSMS que se ha realizado.
SnortSMS Global Settings
SnortSMS Database Settings Database server (IP) Database Name Database login UserID Database login password Database server type Snort Alert Database Settings Database server (IP) Database Name Database login UserID Database login password Database server type
localhost snort root test mysql localhost SNORTSMS root test mysql
97
External Programs Full path to the PHP CLI executable. Full path to local 'tar' command Local 'tar' type Curl timeout (seconds) Paths Local directory for temporary (must be read/writable by web server) SnortSMS log file: Full path and filename Rule Pages Maximum results per page Maximum pages to pagenate Monitoring Monitor Console refresh rate (seconds). CPU Utilization - Critical threshold. CPU Utilization - Warning threshold. Disk Capacity (%) - Critical threshold. Disk Capacity (%) - Warning threshold. Monitoring (DB-Feed) Enter the 'IP' to the Snort database server. Enter the 'port' to the Snort database server. HTTP Proxy Use HTTP Proxy HTTP Proxy Host HTTP Proxy Port Use HTTP Proxy Authentication HTTP Proxy Username HTTP Proxy Password
Apply Changes
192.168.1.179 3306 180 4.5 2.5 99 80 25 20 15 /usr/local/bin/php /bin/tar
GNU
Other
files
/var/tmp/snortsms /var/log/snortsms
No
localhost 80
Yes
No
Yes
98
Al finalizar la configuracin, si no ha habido errores, se podr ver la pantalla de inicio de SnortSMS, tal y como se puede ver en la figura 3-23.
Para asegurarnos de que todo est correctamente configurado, se puede ir al men en la opcin Settings y seleccionar la opcin Test. Si todo est correctamente se ver que pone PASSED en verde en cada opcin correctamente configurada. En caso contrario nos aparecer FAILED en rojo, as como el impacto que ocasiona y el modo de solucionarlo, como se puede ver en la figura 3-24.
Hay que cerciorarse de que todos los resultados estn correctos antes de seguir con la configuracin. En la figura 3-25, se muestra el resultado de la correcta configuracin de SnortSMS.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
99
Despus de que el test est correcto, se pasa a Crear un Nuevo Daemon Profile para el sensor. Al menos se debe de crear un daemon profile, que se usa para comunicarle a SnortSMS cuando lanzar el proceso snort en el sensor remoto. Para crear un Nuevo Perfil Daemon se realiza lo siguiente: o Para crearlo se pincha en la pestaa Libraries, en la opcin Snort Daemon Profiles. Se hace clic en el enlace New Snort Profile. o Se introduce un nombre, se coloca la interfaz dnde snort actuar como sniffer, y el path hacia el archivo de configuracin snort.conf donde reside en el sensor. o Hay que asegurarse de que se introduce el path correcto al ejecutable de Snort en los sensores. o Adems se deben de especificar las opciones de ejecucin de snort. o Por ltimo se guarda el Profile. Seguidamente se muestra en la figura 3-26, la ventana para crear el nuevo Daemon Profile y los valores que se han introducido para su creacin.
100
El siguiente paso es Importar las Libreras necesarias para Snort. Para ello, se siguen los siguientes pasos: o Se pulsa en la pestaa Libraries, en el enlace Import. o Se selecciona los elementos que se quieren importar: rules, archivos de configuracin y archivos de notas de las rules. En este caso se seleccionan todas las opciones. En la figura 3-27 se muestra el formulario para la importacin de los recursos.
o Se introduce la URL o se selecciona el archivo del cdigo fuente de Snort, pulsando el botn Examinar. En este caso se pulsa el botn Examinar y se selecciona el paquete fuente de snort: /root/snort-Version. o Se pulsa Import. Esto detectar todas las rules y directivas, y almacenar las libreras correspondientes. Y se podr ver como se van importando los archivos como se aprecia en la figura 3-28.
101
A continuacin una vez que las libreras fuente estn cargadas, se debe de Crear un Perfil para las Reglas, ya que no se pueden asignar reglas directamente a los sensores, slo se pueden asignar rule profiles a cada sensor. Para ello se realiza lo siguiente: o En la pestaa Libraries, se selecciona Rules/Rule Profiles. o Se hace clic en el enlace New Profile, y se introduce un nombre para el profile y se guarda el nuevo profile. La figura 3-29, se muestra la ventana para crear un nuevo perfil de reglas:
o Se hace clic en el enlace Pick en el profile para ver las distintas libreras de reglas y asignar las reglas que se deseen para este profile (vase la figura 3-30).
102
o Se seleccionan las reglas que se deseen pulsando el botn Examinar e indicando la localizacin del fichero de reglas o tambin se puede introducir el texto de las reglas y pulsar el botn Import Text, como se muestra en la figura 3-31.
o Seguidamente se puede ver en la figura 3-32, el resultado de la importacin de las reglas importadas.
103
o Tambin se puede ver el Nuevo Profile con la rule que se acaba de importar en la figura 3-33.
A continuacin se deben de Aadir los Sensores (vase la figura 3-34), siguiendo los siguientes pasos: o Se hace Clic en la pestaa Sensores en la opcin Administration Console. o Clic "Add Sensor". o Se introduce el nombre del Sensor y se guarda. No se deben incluir caracteres especiales en el nombre.
o Se hace clic en cada pestaa para ir configurando el resto de las propiedades del sensor, pulsando Update en cada ventana de propiedades antes de moverse a la siguiente pestaa. o Se configura la ventana del Remote Agent como se ve en la figura 3-35, introduciendo la IP del Agente, el Puerto, el Protocolo (HTTP o HTTPS), as como el usario para entrar en el Agente y el Password.
104
o En esta ventana se pueden aadir los preprocesadores, plugin de salida, etc. Haciendo clic en Pick, al lado de la opcin que se quiera. o Por ejemplo, si se pretende aadir preprocesadores, se seleccionan los preprocesadores que se quieran utilizar de la lista, como se observa en la figura 3-37.
105
o En la pestaa Barnyard Config (vese figura 3-38), se indican las propiedades del sensor Barnyard en caso de que se hubiese configurado. En este caso lo ponemos deshabilitado.
o En la pestaa Sensors mostrada en la figura 3-39, se puede comprobar la comunicacin entre SnortSMS y los sensores, haciendo clic en Status en Sensor Administration. o Se puede verificar la comunicacin del daemon Snort de los sensores haciendo clic en el enlaceInfo.
o Si se tienen mltiples sensores similares, se puede crear uno y clonar el resto usando el enlace Clone Sensor dentro del Administration Console. Finalmente slo queda comprobar el funcionamiento de SnortSMS y ver las alertas que se han generado en cada sensor.
106
o Para ello en la pestaa Events se pulsa la opcin Browser/Event Home y se podr ver las opciones para ver los eventos, ver todos los eventos en la base de datos, el nmero de eventos de cada sensor, as como definir el tiempo de monitorizacin como se indica en la figura 3-40.
o Si se pulsa el enlace View All se podrn ver todas las alertas agrupadas por el Nombre del Evento, tal y como se observa en la figura 3-41.
107
7.4.4
SnortSnarf
SnortSnarf (http://www.silicondefense.com/) SnortSnarf es un programa escrito en Perl que toma archivos de log y genera la salida en HTML. SnortSnarf permite examinar los archivos de alertas de Snort para encontrar posibles problemas. La salida contiene enlaces a consultas WHOIS y a consultas DNS. Tambin se puede averiguar qu ataques estn asociados con ciertas direcciones IP. SnortSnarf viene con otras funciones adems del anlisis de alertas. Estas funciones adicionales son las siguientes: Nmap2html. Es una utilidad que retorna el resultado de una exploracin de nmap en una pgina HTML. Se trata esencialmente de una versin de Nlog que ha sido modificada para usar con la aplicacin SnortSnarf. Esta utilidad convierte logs nmap en un formato de archivo flat a una estructura de archivo html. Hay una pgina para cada direccin IP y una pgina index. SISR. Es un Sistema de Almacenamiento de Incidentes de SnortSnarf y un mecanismo de Informes que ayudar a crear un informe para un incidente y almacenar o enviar el informe por correo electrnico de manera eficiente. Permite almacenar conjuntos de alertas, crear incidentes con ellas, y enviar informes por email basados en plantillas.
Estas utilidades requieren de una instalacin y configuracin adicional. A continuacin se describe la instalacin y configuracin bsica de SnortSnarf para mostrar las alertas a travs de la interfaz web que es la funcin bsica de SnortSnarf, sin incluir las utilidades anteriores: Para instalar SnortSnarf ser necesario realizar los siguientes pasos: En primer lugar se deben de descargar los mdulos de configuracin de Tiempo en perl, llamados perl-Time. Para ello se puede ejecutar: yum install perl-Time-modules Una vez instalados los mdulos perl de Tiempo, se debe descargar el paquete SnortSnarf. Se puede ejecutar: http://www.snort.org/dl/contrib/data_analysis/snortsnarf/SnortSnarfwget 050314.1.tar.gz A continuacin se descomprime el paquete: tar zxvf SnortSnarf-050314.1.tar.gz Se crea un subdirectorio para snortsnarf y se copian dentro el script en perl de snortsnarf y la carpeta include: mkdir /usr/local/snortsnarf cp SnortSnarf-050314.1/snortsnarf.pl /usr/local/snortsnarf cp -r SnortSnarf-050314.1/include/ /usr/local/snortsnarf Una vez copiados los archivos necesarios para la ejecucin de snortsnarf, se puede eliminar la carpeta SnortSnarf y el archivo tar.gz originales, ejecutando los siguientes comandos:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
108
rm -rf SnortSnarf-050314.1 rm -f SnortSnarf-050314.1.tar.gz Se deben de realizar algunas modificaciones en algunos archivos que incluye SnortSnarf. o En primer lugar se edita el archivo HTMLMemStorage.pm: vi /usr/local/snortsnarf/include/SnortSnarf/HTMLMemStorage.pm y se sustituye la lnea 299 (dentro de la funcin sub list_range) la lnea: return @arr->[($first-1)..$end]; por: return @arr[($first-1)..$end];. Es decir se elimina la flecha ->. o Lo mismo ocurre en el archivo HTMLAnomMemStorage.pm. Se edita el archivo: vi /usr/local/snortsnarf/include/SnortSnarf/HTMLAnomMemStorage.pm y se realiza el mismo cambio que anteriormente en la lnea 267. El siguiente paso es crear el subdirectorio web de Snortsnarf localizado dentro del directorio root de nuestro servidor web. En este caso es el servidor web Apache y el directorio web es /var/www/html: mkdir /var/www/html/snortsnarf A continuacin se ejecuta snortsnarf.
SnortSnarf tiene varios parmetros de ejecucin en lnea de comando. Las principales opciones de ejecucin se muestran en la tabla 3-2.
Tabla 3-2. Opciones de SnortSnarf Opcin -d directory -homenet network Significado El argumento directory es el path al directorio donde se generarn las pginas HTML de SnortSnarf. La variable network es la IP o la notacin de red CIDR para nuestra red. CIDR toma el formato estndar direccin/mscara (tamao de 0 a 32 soportado). De otra forma, se asumen de 1-3 ceros, al final de la direccin. Si no se proporcionan este argumento, se toma por defecto la direccin 0.0.0.0 El argumento URL es la URL del directorio bajo el cual los archivos de log sern almacenados, por lo general es /var/log/snort. Con esta opcin, SnortSnarf generar muchos enlaces hacia aquellos archivos de log basados en esta URL. Ej: con-ldir " http: // host.name.here/logs " conseguimos enlaces como http: // host.name.here/logs/10.0.0.1/UDP137-137. Esto causar la escritura de la consulta del nombre de DNS de direcciones IP y la mostrar en sus pginas IP. La variable file es el archivo base de reglas (por ejemplo, snort.conf) con el que se ejecuta snort. Si se da esta opcin, las reglas en ese archivo (incluidos los archivos) generarn firmas que se incluyen en la pgina junto a las alertas. Adems, las reglas son analizadas para hacer referencias a los identificadores de ArachNIDS, Bugtraq, etc. para producir URL.
-ldir URL
109
Donde dir es un directorio a usar como el path base para los archivos de reglas. Genera enlaces con el Almacenaje de Incidentes de SnortSnarf (SISR). El argumento configfile es el path completo al archivo de configuracin SISR a usar. Este archivo no es analizado por SnortSnarf.pl Donde URL es la Url del directorio URL base en el cual se almacena la salida html de ejecutar nmap2html. La variabe dir es el directorio en sistema de ficheros en el cual se almacena la salida nmap2html.
Para ejecutar snortsnarf, se puede ejecutar por ejemplo: cd /usr/local/snortsnarf ./snortsnarf.pl -d /var/www/html/snortsnarf /var/log/snort/alert Con la opcin -d se indica el destino y posteriormente se indica el archivo de los logs de Snort para coger las alertas. Se puede incluir el comando anterior en un script y programar su ejecucin automtica en el crontab para que se ejecute cada cierto tiempo. Para ello, se crea un fichero snortsnarf.sh y se escribe: cd /usr/local/snortsnarf ./snortsnarf.pl -d /var/www/html/snortsnarf /var/log/snort/ Se edita el crontab (crontab e) y se escribe lo siguiente: 00 * * * * /root/snortsnarf.sh
Para ver el funcionamiento de SnortSnarf, se debe de visitar la pgina web: http://localhost/snortsnarf/index.html y se podr ver la pgina principal de SnortSnarf, como se muestra en la figura 3-42.
110
Se puede ver como nos indica que est usando como entrada el SnortFileInput, es decir el archivo de alertas de snort que se le ha indicado anteriormente. Y se vern las alertas almacenadas en el fichero de alertas de snort, como se observa en la figura 3-43.
Tambin se puede ejecutar snortsnarf, indicando que coja las alertas desde la base de datos snort de Mysql. Para ello, en primer lugar se inicia el servicio de mysql (si no est iniciado ya) y se ejecuta snortsnarf como sigue: service mysqld start ./snortsnarf.pl snort@localhost -d /var/www/html/snortsnarf y pedir la introduccin del password. Finalmente se puede ver el funcionamiento de SnortSnarf (vase figura 3-44) en http://localhost/snortsnarf/index.html.
Figura 3-44. SnortSnarf desde la BD Snort Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
111
En este caso SnortSnarf indica que est cogiendo las alertas desde la base de datos snort@localhost. En la figura 3-45 se pueden ver las alertas obtenidas desde la base de datos de Snort:
8
8.1
OSSIM
Introduccin
A pesar del gran desarrollo tecnolgico producido en los ltimos aos con herramientas con capacidades como la de los IDS, desde el punto de vista de la seguridad sigue siendo difcil obtener una informacin de la red, con un grado de abstraccin que permita una revisin prctica y asumible. El objetivo del proyecto OSSIM, es mejorar est funcin basndose principalmente en el concepto de la correlacin. La correlacin es la posibilidad de obtener una visibilidad de todos los eventos de los sistemas en un punto y con un mismo formato, y a travs de esta situacin privilegiada relacionar y procesar la informacin para detectar, monitorizar, priorizar y organizar el estado de la seguridad de nuestra red. La idea de correlacin est tambin implcita en el proyecto OSSIM en el sentido de agregacin e integracin de productos. Ya que OSSIM es una propuesta de cdigo abierto que incluye un conjunto de productos desarrollados en estos aos en un Framework general que permite nuevas posibilidades al interrelacionar todas sus funcionalidades.
112
8.2
Caractersticas de OSSIM
OSSIM (www.ossim.net) es una distribucin de herramientas open source integradas para construir una infraestructura de monitorizacin de seguridad. Su objetivo es ofrecer un marco para centralizar, organizar y mejorar las capacidades de deteccin y visibilidad en la monitorizacin de eventos de seguridad de la organizacin. El sistema consta de las siguientes Herramientas de Monitorizacin: Cuadro de Mandos para visibilidad a alto nivel. Monitores de Riesgo y Comportamiento para la monitorizacin a nivel medio. Consola Forense y Monitores de Red para el bajo nivel.
As mismo consta de las siguientes Capacidades para aumentar la fiabilidad y sensibilidad de detectores y monitores: Correlacin. Priorizacin. Valoracin de Riesgos.
Por ltimo est formado por una herramienta de administracin que configura y organiza los diferentes mdulos tanto externos como propios que integraran OSSIM. Esta herramienta es el Framework y mediante ella se pueden definir la topologa, inventar activos, definir una poltica de seguridad, definir las reglas de correlacin y enlazar las diferentes herramientas integradas.
8.3
Funcionalidad
Para entender qu ofrece OSSIM se define su funcionalidad usando un grfico simplificado con los niveles que se muestran en la figura 3-46. A continuacin se describen de forma general las principales funcionalidades de OSSIM: Detector de Patrones. Ejemplo de un sistema de deteccin de intrusos (IDS), el cual es capaz de detectar patrones definidos usando reglas de asignacin. Detector de Anomalias. Tiene la habilidad de detectar anomalas ms recientes que los patrones. Este aprende automticamente acorde a las situaciones dadas y nos puede dar una alerta cuando un comportamiento se desva mucho de lo que l reconoce como normal. Centralizacin y Normalizacin. Estos proporcionan una unificacin de eventos de seguridad para un sistema crtico a travs de una organizacin en un nico formato o solamente desde una consola.
113
Asignacin de prioridades. La prioridad de una alerta debe de depender de la topologa y de los sistemas de organizacin que se hayan determinado. Por ejemplo: Si una mquina est ejecutando el sistema operativo UNIX con Apache Web Server y recibe una alerta acerca de un ataque que le corresponde a Microsoft IIS, la alerta debe de ser despreciada.
Asignacin de riesgos. La importancia de un evento se da dependiendo de los siguientes tres valores: o El valor de tener configuraciones con el evento. o El trato que representa para el evento. o La probabilidad de que el evento ocurra.
Correlacin. Se define como un algoritmo que ejecuta una operacin de entrada de datos y retorna una salida de datos. Trabaja recolectando informacin y la monitoriza de manera parcial, mostrando las reas que realmente nos interesa dentro de todo el conjunto de informacin. Monitores. Chequean las siguientes anomalas: o Monitorizacin de riesgos. Despliega informacin obtenida por el algoritmo CALM que mide los niveles de riesgos de compromisos y ataques. o Uso de sesin y control de polticas. Provee informacin como nmero de bytes transmitidos al da, actividad de los usuarios, y monitoreo de sesiones en la red. o Monitor de Paths. Monitoriza los paths usados en la red por diferentes mquinas. Identificando ataques de varias mquinas (DOS) o identificando mapeo de puertos o redes por medio de protocolos (TCP, ICMP, UDP).
Consola de Anlisis forense. Proporciona acceso a los datos generados y guardados por el colector de eventos. Esta consola es un buscador que opera en la base de datos, permitiendo al administrador analizar posteriormente los eventos en relacin a elementos crticos de la red de una manera centralizada. Panel de Control. Permite visualizar una situacin de seguridad de alto nivel. Monitoriza una serie de indicaciones que manejan el estado de la organizacin en relacin a la seguridad.
114
8.4
Arquitectura
El sistema cuenta con dos partes diferenciadas, en las que se desarrollan dos etapas diferentes del proceso: Preproceso. Se realizar en los propios monitores y detectores. Postproceso. Se realizar en una consola centralizada.
En el esquema de la arquitectura de OSSIM, se perciben cada una de las funcionalidades anteriormente descritas y tambin aparecen tres bases de datos: Base de datos eventos (EDB). Es la base de datos ms grande pues aloja todos los eventos individuales recibidos de los detectores. Base de datos del Framework (KDB). En ella se parametriza el sistema para que conozca nuestra red y se define nuestra poltica de seguridad. Base de datos de perfiles (UDB). Almacenar todos los datos aprendidos por el Monitor de Perfiles.
El esquema general de la arquitectura segn los procesos realizados es el que se muestra en la figura 3-47.
115
8.5
Para entender la integracin de cada uno de las herramientas se va a describir el proceso desde la generacin de un evento. El siguiente grfico de la figura 3-48, muestra el flujo de los datos del sistema.
116
1. Los eventos son procesados por los detectores hasta que, bien por la localizacin de un patrn o una anomala, se produce una alerta. 2. Las alertas son procesadas en caso de ser necesario por los consolidadores antes de ser enviadas. Estos se encargarn de enviar la informacin agrupada para ocupar el mnimo ancho de banda. 3. Las alertas son recibidas por el colector a travs de diferentes protocolos abiertos de comunicacin. 4. El parser se encarga de normalizarlas y guardarlas si procede en base de datos de eventos. 5. El parser se encarga as mismo de cualificarlas determinando su prioridad segn la poltica de seguridad definida en el framework y los datos sobre el sistema atacado localizados en el Inventario de Sistemas. 6. El parser valora el riesgo instantneo que implica la alerta y en caso de ser necesario enva una alarma al Cuadro de Mandos. 7. Las alertas cualificadas son enviadas a cada uno de los procesos de correlacin que actualizarn sus variables de estado y eventualmente lanzarn nuevas alertas con una informacin ms completa o fiable. Estas alertas son enviadas de nuevo al parser para su almacenamiento, priorizacin, valoracin del riesgo, etc. 8. El monitor de riesgos visualizar peridicamente la situacin de cada uno de los ndices de riesgo segn han sido calculados por el algoritmo CALM. 9. El cuadro de mandos mostrar las alarmas recientes, actualizar el estado de cada uno de los ndices los comparar respecto de los umbrales, y lanzar nuevas alarmas o realizar las acciones correspondientes en caso necesario. 10. El administrador podr desde el cuadro de mandos enlazar y visualizar a travs de la consola forense todos los eventos ocurridos en el momento de la alerta. Tambin podr comprobar el estado de la mquina a travs de los monitores de uso, perfiles, y sesiones.
8.6
Componentes
OSSIM posee los siguientes componentes:
Arpwatch. Usado para deteccin de anomala. Es una herramienta que supervisa la actividad ethernet y mantiene una base de datos de emparejamientos de direccin de ethernet/ip. P0f. Es una herramienta para obtener informacin remota sobre el sistema operativo y versiones de servidor de una mquina.
117
PADS. Usado para la deteccin de anomalas. Nessus. Usado para evaluacin de vulnerabilidad y para correlacin cruzada (IDS vs Security Scanner). Snort. IDS, tambin usado para la correlacin cruzada con Nessus. Spade. Motor de deteccin de anomalas. Usado para tener mayor conocimiento de los ataques sin firma. Tcptrack. Se usa para informacin de datos de sesin los cuales pueden garantizar informacin til para la correlacin de ataques. Ntop. Construye una base de datos de informacin de red, desde la que se puede obtener la deteccin de comportamiento anmalo. Nagios. A partir de la base de datos del host, monitoriza el host y la informacin disponible del servicio. Osiris. Es un HIDS. Es un Sistema de Supervisin de Integridad de Host que peridicamente supervisa a uno o varios anfitriones. OCS-NG. Solucin de Inventario de Plataforma Cruzada. Es un potente inventario y sistema de despliegue de paquetes. OSSEC. Open Source Host-based Intrusion Detection System. Proporciona integridad, deteccin rootkit, deteccin de registros, alertas en tiempo real, respuesta activa, etc.
8.7
Instalacin de OSSIM
Las versiones de OSSIM disponibles para su instalacin estn soportadas sobre sistemas Debian 4.0 y Fedora 3.0. Los paquetes de OSSIM disponibles, as como informacin referente a la herramienta se puede hallar en la siguiente pgina web: http://www.ossim.net/download.php La instalacin de OSSIM que se describe a continuacin se ha realizado sobre Debian 2.6.18-3-686. Se puede descargar el instalador de Debian desde www.debian.org. Los paquetes Debian proporcionados por el equipo de ossim estn compilados en un sistema Debian etch, por lo que habr que instalar un Debian etch. 8.7.1 Configuracin del APT
Se debe editar el archivo /etc/apt/sources.list para colocar los repositorios de Debian Etch y OSSIM, como se muestra a continuacin:
118
Archivo /etc/apt/sources.list deb http://ftp.debian.org/debian/ etch main contrib non-free deb http://security.debian.org etch/updates main contrib non-free deb http://www.ossim.net/download/ debian/
A continuacin se debe de crear un archivo /etc/apt/preferences como este: Archivo /etc/preferences Package: * Pin: release o=ossim Pin-Priority: 995
As, apt asignar una prioridad mayor a los paquetes OSSIM y sus dependencias. Tambin se necesitar actualizar apt con el siguiente comando: apt-get update En la figura 3-49 se puede ver el resultado de actualizar apt.
8.7.2
Configuracin de debconf
Para configurar el resto de paquetes que se instalarn ms adelante se necesita la herramienta debconf. Ya que estos paquetes se basan en debconf para hacer preguntas de configuracin. Se debe de configurar esta aplicacin para que nos pida el nivel ms alto de detalle. Para ello, se debe teclear: dpkg-reconfigure -plow debconf Y aparecer la pantalla de inicio de configuracin de debconf (vase figura 3-50), y se pulsa Aceptar.
119
Pedir escoger el nivel de configuracin. Se debe de escoger el nivel bajo como se indica en la figura 3.51.
Tambin, cuando se necesita reconfigurar cualquier otro paquete, se puede usar: dpkg-reconfigure p<priority> nombre_paquete. 8.7.3 Instalar la Base de Datos OSSIM En primer lugar se instala el paquete ossim-mysql: apt-get install ossim-mysql A continuacin se muestran las preguntas que realiza el sistema: 1. Contrasea para el usuario root de mysql. Se puede cambiar la contrasea manualmente: mysqladmin -u root password your_secret_password 2. Debemos establecer conexiones desde sistemas que ejecutan Sarge? No Ahora se debe de modificar el archivo /etc/mysql/my.cnf y cambiar la lnea de bind-address ponindola a *: bind-address = *
As, mysql aceptar conexiones desde un servidor remoto. OSSIM en ocasiones necesita hacer una conexin remota a una base de datos. Esto es a menos que se ejecute todo en un host. Se puede desear cambiar el puerto, pero esto causa problemas ya que muchos programas de Ossim esperan el puerto estndar y habra que reconfigurar esta
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
120
caracterstica. De esta forma si se quiere cambiar el puerto hay que asegurarse de que se modifica en todos los archivos de configuracin de OSSIM. A continuacin habr que recargar la base de datos, para que escuche las conexiones tcp: /etc/init.d/mysql reload Seguidamente para crear las BDs para Ossim seguimos los siguientes pasos: mysql -u root -p (La contrasea que pide es la que pusimos anteriormente para el mysql) mysql> create database ossim; mysql> create database ossim_acl; mysql> create database snort; mysql> create database osvdb; mysql> exit; Ahora hay que cargar las tablas en las bases de datos: zcat /usr/share/doc/ossim-mysql/contrib/create_mysql.sql.gz \ /usr/share/doc/ossim-mysql/contrib/ossim_config.sql.gz \ /usr/share/doc/ossim-mysql/contrib/ossim_data.sql.gz | \ mysql -u root ossim p zcat /usr/share/doc/ossim-mysql/contrib/create_snort_tbls_mysql.sql.gz \ /usr/share/doc/ossim-mysql/contrib/create_acid_tbls_mysql.sql.gz | \ mysql -u root snort p zcat /usr/share/doc/ossim-mysql/contrib/OSVDB-tables.sql.gz | \ mysql -u root osvdb -p Las barras \ se usan para decir a Debian que no ejecute aun el comando, que contina en la siguiente lnea. Los plugins de OSSIM estn situados en /usr/share/doc/ossimmysql/contrib/plugins/. Se deben de realizar los siguientes pasos: a) Cargar los plugins que se necesiten, por ejemplo: cd /usr/share/doc/ossim-mysql/contrib/plugins zcat snort.sql.gz | mysql -u root ossim -p cat arpwatch.sql p0f.sql pads.sql pam_unix.sql rrd.sql ssh.sql sudo.sql \ nmap-monitor.sql ossim-monitor.sql | mysql -u root ossim p b) O instalarlos todos: cd /usr/share/doc/ossim-mysql/contrib/plugins zcat *.sql.gz | mysql -u root ossim -p cat *.sql | mysql -u root ossim -p
121
8.7.4
Para instalar el Servidor OSSIM se ejecuta: apt-get install ossim-server En el proceso de instalacin, se pedirn introducir una serie de datos que se enumeran a continuacin: 1. Nombre del servidor ossim: localhost (no es importante si slo se tiene un servidor, si se tienen varios habr que introducir nombres distintos para cada uno), cmo se indica en la figura 3-52.
2. Direccin IP donde escuchar el servidor de ossim: 0.0.0.0 En este caso se escribe la direccin 0.0.0.0 para que escuche en todas las direcciones. 3. Nombre del framework de ossim: ossim (El framework se instalar ms adelante). 4. Direccin IP del framework: 127.0.0.1 (si se instala el framework en un servidor diferente, se necesitar poner una direccin IP distinta. En esta instalacin se instalar en el mismo host). 5. Puerto del framework: se presiona Enter (lo coge por defecto) 6. Nombre de la BD de ossim: ossim . 7. Nombre del host que alberga a la BD: localhost. Se debe de introducir la direccin IP del host que contiene la base de datos. 8. Nombre del usuario de la BD: root. 9. Contrasea del usuario de la BD: el que se haya puesto al instalar la BD. 10. Nombre de la BD para snort que se va a usar: snort. 11. Nombre del host que alberga la BD de snort: localhost o la IP del host que contenga la base de datos de snort. 12. Nombre usuario de la BD snort: root (o el nombre que se haya configurado al conectar a la base de datos de snort). 13. Contrasea del usuario de la BD de snort: la que se haya puesto antes. 14. Nombre de la BD de OSVDB: osvdb. 15. Nombre del host que alberga la BD de osvdb: localhost o la IP del host que contenga la base de datos de snort. 16. Nombre usuario de la BD osvdb: root (o el nombre que se haya configurado al conectar a la base de datos de osvdb). 17. Contrasea del usuario de la BD de osvdb: la que se haya puesto antes. Para cambiar alguna propiedad de la configuracin del servidor, se debe de utilizar el comando: dpkg-reconfigure ossim-server.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
122
8.7.5
El agente o cliente del servidor, se instalar en cada mquina que vigile una subred del cliente. Ms adelante veremos como instalar las aplicaciones de seguridad que lo acompaan. Por defecto, el agente ossim instalar automticamente algunos plugins. Para instalar el agente se debe ejecutar: apt-get install ossim-agent Configurar el agente ossim en /etc/ossim/agent/config.cfg y los plugins en: /etc/ossim/agent/plugins/*.cfg En /etc/ossim/agent/config.cfg, se necesitan modificar los siguientes parmetros para que el agente pueda conectarse al servidor. Cambiar el valor del sensor a la direccin IP del sensor. Como en este caso, todo se ejecuta en la misma mquina la direccin del sensor es localhost (sensor=127.0.0.1). Tambin habr que cambiar la interfaz desde donde proceden los eventos. As pues, se debe de editar el fichero config.cfg del agente: vi /etc/ossim/agent/config.cfg y modificarlo como se indica: sensor = 127.0.0.1 interface = eth0 # interface from where the event has come date_format = %Y-%m-%d %H:%M:%S ; format, not date itself ossim_dsn=mysql:localhost:ossim:root:yoursecretpassword Otro aspecto que hay que modificar est situado en la seccin llamada outputserver. Habr que cambiar la direccin IP del servidor: enable = True ip = 127.0.0.1 port = 40001 Para acceder a las tablas de mysql desde el sensor, se deben de garantizar los privilegios a estas mquinas en el servidor mysql en todos los sensores con: GRANT ALL PRIVILEGES ON *.* TO 'snort_database_user'@sensor_ip identified by 'mysql_password'; Si se instala el servidor y el agente en diferentes mquinas, se debe de colocar la misma fecha y hora en las dos mquinas. Se puede usar Ntp. Para usar ntp se seguiran los siguientes pasos. apt-get install ntp ntp-server ntp-simple Las mquinas que pueden hacer consultas al servidor de tiempo deberan ser solo los agentes (y a veces la BD). Para instalar el cliente en las mquinas que deseemos se ejecuta: apt-get install ntpdate
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
123
Se edita el fichero /etc/default/ntpdate, asignando un valor al servidor, para que sepa el cliente donde consultar, escribiendo: NTPSERVERS=IP_SERVIDOR Por ltimo se configura el crontab (el gestor de tareas a ejecutar peridicamente) para que ejecute la consulta cada hora: 00 * * * * root /etc/init.d/ntpdate reload >> /dev/null 2>&1 En este caso no se ha utilizado ntp puesto que el agente y el servidor estn en la misma mquina. 8.7.6 Instalar OSSIM Framework
Para instalar el Framework de OSSIM, se necesitan una serie de componentes que se describen a continuacin: WebServer Para el funcionamiento de OSSIM se necesita la instalacin y configuracin del servidor web. As pues, se debe instalar el paquete apache con soporte php. Se puede usar apache, apache-ssl o apache2. Se debe usar php4, ya que php5 no soporta algunos paquetes (php-phplot, php-xslt, php-domxml). Para instalar todos estos paquetes necesarios para el servidor web se puede utilizar el siguiente comando: apt-get install apache2 php4 libapache2-mod-php4 php4-mysql PHPGACL Para instalar PHPGACL bastar con ejecutar: apt-get install phpgacl Durante la instalacin, habr que introducir los datos correspondientes. 1. Configurar la BD para phpgacl con dbconfig-common (vase figura 3-53): Se pulsa Aceptar.
Figura 3-53. Configuracin dbconfig-common- Configurar bd para phpgacl Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
124
2. Guardar las contraseas de administracin de la BD en dbconf: Se pulsa S. 3. Se utilizar este servidor para acceder a BDs remotas? En cliente casi siempre si. La primera vez que se instala suele ser todo en la misma mquina por lo que se responder No. 4. Aparecer una ventana de warning (vase figura 3-54) indicando que el path incluido para php ha cambiado. El paquete ser colocado en el path correcto en el archivo de configuracin. Aceptar.
5. Pregunta por las Versiones de Apache que se desean configurar automticamente: Se seleccionan Todas, como se puede ver en la figura 3-55.
125
7. Mtodo de conexin a la BD mysql de phpgacl: conexin socket. Si se ha instalado todo en el mismo ordenador, sino conexin tcp. 8. Nombre usuario de administracin de BD: root. 9. Contrasea del usuario de administracin de la BD: la que se haya puesto antes. 10. Nombre de usuario para phpgacl: root. 11. Contrasea: la que queramos. Recomendable que sea igual que las anteriores. 12. Nombre BD para phpgacl: Se escribe ossim_acl. 13. Versiones de Apache: All. Hay que permitir nuestra red editando /etc/phpgacl/apache.conf, y descomentando la linea que pone allow from quitando el # y poner en lugar de la red, escribir: allow from all (ya que podemos aadir redes o cambiarlas en el futuro y editar cada vez el fichero es muy tedioso). Ya se puede iniciar el servidor web apache: /etc/init.d/apache2 start Ossim Framework Antes de instalar ossim-framework ser necesario instalar algunos paquetes adicionales de php. En el caso de php4 ser necesario php4-cli: apt-get install php4-cli En el caso de php5 harn falta otros paquetes que debian no lleva por defecto como en el caso de php4: apt-get install libphp-jpgraph apt-get install php5-cli apt-get install php5-gd apt-get install php5-mysql Para instalar ossim-framework y todas sus dependencias escribimos: apt-get install ossim-framework La instalacin preguntar lo siguiente: 1. Configurar BD acidbase con dbconfig-common. Se responder que S, como se muestra en la figura 3-57.
126
2. Tipo BD que se va a utilizar para acidbase: mysql 3. Tipo de conexin con la BD: socket unix si tenemos todo instalado en el mismo ordenador, sino conexin tcp. Se escoge socket unix tal y como se puede ver en la figura 3-58.
4. Nombre de usuario de administracin de la BD: root 5. Contrasea del usuario de administracin: La que se quiera, preferiblemente la misma que las anteriores. 6. Nombre de usuario para acidbase: root (no snort). 7. Contrasea para la aplicacin mysql para acidbase: la misma de antes. 8. Nombre de la BD para acidbase: snort. 9. Versiones de Apache a configurar automticamente: Todas. 10. Configuracin de la base de datos OSSIM (OSSIM-utils). BD a usar con ossim: ossim. 11. Nombre del servidor de la BD de mysql a usar: localhost. 12. Nombre del usuario de la BD a usar: root. 13. Contrasea: la que se hubiese puesto antes. 14. Nombre de la BD de ossim_acl: ossim_acl. 15. Nombre del host donde est alojada la BD: localhost. 16. Nombre del usuario de administracin de esta BD: root. 17. Contrasea para el usuario: la que se hubiese puesto antes. 18. Versiones de Apache a configurar automticamente: Todas.
127
Se deben de reconfigurar los paquetes php para habilitar las extensiones php, porque en debian estn deshabilitadas por defecto. Para php se deber ejecutar: dpkg-reconfigure php4-cli php4-domxml php4-gd php4-mysql php4-xslt Ossim Framework Daemon Para iniciar el daemon ossim-framework, habr que hacerlo como sigue: /etc/init.d/ossim-framework start 8.7.7 Instalar las Utilidades OSSIM
El paquete ossim-framework depende de las utilidades de Ossim, as que estas necesitan ser instaladas. Si se quiren instalar en otro host habr que hacerlo as: apt-get install ossim-utils Para configurar los parmetros de acceso a la base de datos de algunos scripts, slo hay que utilizar el comando dpkg-reconfigure como se ha visto antes: dpkg-reconfigure ossim-utils 8.7.8 Instalar OSSIM contrib (opcional)
El paquete ossim-contrib contiene un conjunto de parches, ejemplos y archivos de configuracin usados por la distribucin Ossim. Si bien este paquete es slo til para entornos de desarrollo y en este caso no se va a instalar. A continuacin se van a ver los plugins de OSSIM: 8.7.9 Instalacin de Plugins
Seguidamente se describen los plugins que se pueden instalar con OSSIM. Si bien en este caso slo se va a instalar Snort: Snort En primer lugar se va a instalar el plugin Snort con soporte para mysql. Para ello se ejecuta: apt-get install snort-mysql Al hacer apt-get install snort-mysql aparecen una serie de preguntas que habr que responder: 1. Cundo debera de arrancar Snort?: Se contesta la opcin arranque. En la figura 3-59 se pueden ver las tres opciones que aparecen para arrancar Snort: arranque, conexin y manual.
128
2. Interfaz en la que escucha Snort: Se contesta any. Aparecer una primera ventana (vase figura 3-60) indicando que se deben de indicar la interfaz o interfaces en las que Snort debe escuchar, y se pulsa Aceptar.
Posteriormente se introducen las interfaces correspondientes. En este caso se ha indicado any, para que escuche en cualquier interfaz. 3. Intervalo de direcciones que monitorizar Snort: any. 4. Deshabilitar modo promiscuo: No. Si se deshabilita el modo promiscuo snort slo escuchar paquetes que vayan a su interfaz. Si no se deshabilita Snort comprobar cada paquete que pase por el medio Ethernet, como se puede ver en la figura 3-61.
129
5. Cambiar orden reglas: En este caso se ha indicado No 6. Opciones adicionales para Snort: presionar Enter si no se quieren aadir o introducir las opciones deseadas. En este caso no se aade ninguna. 7. Enviar resumen por email: En este caso se ha indicado No. 8. Configurar una BD a la que snort-mysql envie los registros: Si. En la figura 3-62 se puede ver la informacin mostrada para configurar una base de datos para snort-mysql.
Figura 3-62. Configuracin de snort-mysql-Configurar BD para snort-mysql 9. Nombre del servidor de la BD que se va a utilizar: usar IP, en este caso se indica localhost. 10. Nombre BD a utilizar: snort. 11. Usuario: root. 12. Contrasea usuario de la BD: contrasea que se pusiese antes. 13. Mensaje indicando que se arranque snort despus de la creacin de la estructura de la base de datos. La estructura de la BD ha sido creada anteriormente por lo que se puede borrar el fichero /etc/snort/db-pending-config usando: rm -f /etc/snort/db-pending-config Se debe editar el fichero /etc/snort/snort.conf teniendo en cuenta que de las siguientes lneas el smbolo .. implica que puede haber lneas intermedias. En el fichero snort.conf se deben de realizar los siguientes cambios bsicos: .. var HOME_NET [192.168.0.0/16] Se debe de indicar aqu la red donde est snort instalado y la cual se va a encargar snort de analizar. var EXTERNAL_NET !$HOME_NET La red externa .. include $RULE_PATH/bleeding-all.rules Descomentar la linea del include quitando el # .. output database: alert, mysql, user=root password=yourdbpass dbname=snort
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
130
host=yourdbhost sensor_name=your_sensor_ip logfile=alert Indicar la configuracin de la base de datos de snort en mysql para almacenar las alertas. .. include spade.ossim.conf Descomentar si se quiere soporte spade obteniendo el archivo de configuracin de spade desde ossim source o desde el paquete ossim-contrib. .. A continuacin se instalarn reglas actualizadas para Snort. Para lo cual se procede as: cd /etc/snort/rules/ wget http://www.bleedingsnort.com/bleeding-all.rules Seguidamente se actualiza la base de datos de Ossim con las reglas del sistema (hace falta el paquete ossim-utils). Se ejecuta: /usr/share/ossim/scripts/create_sidmap.pl /etc/snort/rules | \ mysql -u root ossim p Ahora se inicia el snort con: /etc/init.d/snort start
Otros plugins A continuacin se van a comentar otros plugins que se pueden instalar con Ossim, pero que en esta instalacin no se han utilizado. Entre los plugins disponibles estn: NTOP. Una herramienta Unix que muestra el uso de red, similar al comando top. Nagios. Nagios es una solucin de monitorizacin para los hosts de las empresas, servicios y redes lanzadas bajo licencia Open Source. Osiris. Osiris es un Sistema de Supervisin de Integridad de Host que peridicamente supervisa a uno o varios anfitriones. Mantiene logs detallados de cambios en el sistema de ficheros, listas de grupos y usuario, mdulos kernel, y ms. Est formado por osiris (la aplicacin cliente), osirismd (la consola de gestin) y osrisd (el agente scan que se ejecuta en cada host monitorizado). CheckPoint FireWall-1. FireWall-1 es un software de cortafuegos desarrollado por las Tecnologas de Software de Punto de Comprobacin Ltd. Este cortafuegos se ejecuta sobre sistemas Unix (Solaris, AIX, CV-UX), Linux, Windows NT/2k y IPSO. Otros. Otros plugins como p0f, arpwatch, pads o tcptrack.
131
8.7.10
La aplicacin OSSIM
Una vez finalizado el proceso de instalacin de Ossim, se deber de visitar la interfaz web para finalizar la configuracin y poder acceder a la aplicacin. Para ello, abrimos un navegador y escribimos: http://localhost/ossim Aparecer entonces una pantalla (vase figura 3-63) que indica que se debe de configurar phpGACL. Se hace clic en el botn here.
Seguidamente se puede ver en la figura 3-64, la pantalla de configuracin de la base de datos phpGACL. Se debe de pulsar el botn Lets get started.
A continuacin aparece una venta de informacin de los paquetes instalados como se puede ver en la figura 3-65.
132
La siguiente ventana que aparece muestra un botn para acceder a la interfaz de administracin, pinchando en here como se puede ver en la figura 3-66.
Pulsando el enlace anterior, aparecer la ventana de administracin de phpGACL, mostrada en la figura 3-67.
Una vez concluida la configuracin de phpGACL, ya se puede acceder a OSSIM para ver las opciones que aparecen. En la primera ventana (vase figura 3-68), aparece el inicio de OSSIM para acceder mediante un login y un password. La primera vez que se accede el usuario es admin y el password tambin es admin. Una vez dentro se puede modificar y aadir otros usuarios.
133
Ya se puede ver la consola de OSSIM, con todas las opciones disponibles como muestra la figura 3-69. En primer lugar aparece una pestalla llamada Upgrade que es para ver las versiones de todos los paquetes que hay instalados.
Entre las pestaas disponibles se encuentra la de Incidentes y Eventos que nos permiten ver las alertas generadas. A continuacin en la figura 3-70, se pueden ver los eventos registrados por el Anlisis Forense.
134
En la pestaa Monitors mostrada en la figura 3-71, se pueden ver los hosts que se estn monitorizando.
En la pestaa Correlation, se pueden ver a la izquierda la lista de directivas y en el editor se muestran las propiedades, numeracin y los elementos que componen las directivas, como se puede observar en la figura 3-72.
135
Asimismo si se pincha sobre una directiva se muestra la informacin referente a la misma: Nombre, Fiabilidad, Ocurrencias, Origen, Puerto, Sensor, Plugin En la pestaa Configuration, se pueden ver varias opciones MAIN, Users, Plugins, Incidents Email Templates, Upgrade, etc, tal y como se muestra en la figura 3-73. En la pestaa Configuration / MAIN se puede consultar las principales opciones de configuracin y modificarlas. Entre ellas estn: el Lenguaje, la configuracin del Servidor OSSIM, del Framework, de Snort, de OSVDB, las mtricas, etc.
Si por ejemplo, se pincha en la opcin Configuracin del Framework de Ossim se puede ver el resultado en la figura 3-74.
136
Si salimos del men Main, en Configuration/Users se pueden aadir nuevos usuarios, tal y como se muestra en la figura 3-75.
En Configuration/Plugins, se pueden ver los plugins instalados, as como su tipo y una descripcin de los mismos (vase figura 3-76).
Figura 3-76. Opciones Configuracin OSSIM-Plugins Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
137
En la pestaa Configuration/Incidents Email Template (vase figura 3-77), se pueden crear templates sobre los incidentes para enviarlos por email.
Como se puede observar son muchas las opciones que ofrece OSSIM, ya que es una consola centralizada para gestionar un gran conjunto de herramientas integradas y que permiten un fcil manejo de las mismas.
La configuracin de Snort como se ha indicado anteriormente, se guarda en el fichero /etc/snort/snort.conf. Los aspectos ms importantes de su configuracin son: Configuracin de red. Permite indicar las direcciones de nuestra red y el tipo de servidores y puertos. Preprocesadores y rules. Permite indicar tanto los preprocesadores como las firmas (rules) que se van a utilizar. La seleccin de ambos elementos depende de las caractersticas de nuestra red interna. Mdulos de salida. Permite indicar la forma y el lugar donde se guardan las alertas y los correspondientes paquetes de red que las generaron.
Para ver la configuracin de Snort se va a explicar cada uno de los bloques de configuracin a travs del siguiente ejemplo de red que se muestra en la figura 3-78.
138
Como se puede observar hay una zona neutra donde se encuentran dos servidores con funciones distintas y una red interna de ordenadores. Se deber de establecer la configuracin adecuada de Snort para este entorno de red que se ha propuesto como ejemplo. A continuacin se describen los principales aspectos de configuracin que se deben de llevar a cabo para adaptar Snort al esquema propuesto: Variables de red Lo primero que hay que hacer es indicarle a snort las direcciones de la red para que pueda interpretar correctamente los ataques provenientes del exterior. Para ello se utiliza la variable HOME_NET: var HOME_NET <direccion_red> donde <direccion_red> es la direccin de la red local o el nombre de la interfaz de red. Si existen mltiples redes, se pueden introducir todas separndolas por comas. Tambin se pueden definir redes externas con la variable EXTERNAL_NET, de la siguiente forma: var EXTERNAL NET <direccion_red> De forma predeterminada las dos variables tienen el valor ANY (cualquiera). Se recomienda definir la red interna y dejar en ANY la variable externa. Adems, se puede definir la lista de servidores existentes en la red. Para ello se definen diferentes variables con el formato: var TIPO_SERVER <direccion_ip> Los tipos de servidores que se pueden definir son: DNS_SERVER, SMTP_SERVER, HTTP_SERVER, SQL_SERVER, TELNET_SERVER y SNMP_SERVER.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
139
Para configurar la red de este ejemplo se escribe: var HOME_NET 10.0.0.0/24, 192.168.0.0/24 var EXTERNAL_NET any var DNS_SERVERS 10.0.0.12/32 var SMTP_SERVERS 10.0.0.12/32 var HTTP_SERVERS 10.0.0.11/32, HTTP_SERVERS 10.0.0.12/32 var SQL_SEVERS 10.0.0.11/32 Si en la red estn instalados los servidores en puertos diferentes (por ejemplo, el servidor web que trabaje en el puerto 8080) entonces se deben definir los puertos de trabajo utilizando la variable portvar. Por ejemplo, si se desea analizar el trfico de un servidor web que trabaja en el puerto 8080 entonces se escribir: portvar HTTP_PORTS 8080 Para configurar los puertos del ejemplo anterior se especificarn de la siguiente forma: portvar HTTP_PORTS 80 portvar HTTPS_PORTS 443 portvar FTP_PORTS 21 portvar POP3_PORTS 110 portvar SMTP_PORTS 25 portvar DNS_PORTS 53 portvar SSH_PORTS 22 Preprocesadores Los preprocesadores son componentes de Snort que se encargan de coger la informacin que viaja por la red de una manera catica y darle forma para que pueda ser interpretada. De esta forma una vez que se tienen los datos ordenados que viajan por la red se aplicarn las rules (reglas) para buscar un determinado ataque. Las configuraciones predeterminadas para estos subsistemas son muy generales, y es muy recomendable habilitar slo los procesadores que se necesitan. Por ejemplo, si se tiene un servidor http, se habilitarn los preprocesadores http_inspect y http_inspect_server. Siguiendo con el ejemplo anterior se activarn los siguientes preprocesadores: Frag3, stream5, sfportscan, rpc_decode, perfomance monitor, http_inspect, http_inspect_server, ftp/telnet, ssh, dce/rpc y dns. Configuracin de las reglas Una vez que Snort ha preprocesado la informacin se aplican las reglas en busca de un determinado patrn de ataques. Las reglas se guardan en el directorio /etc/snort/rules y se hacen referencia desde el fichero de configuracin de snort. Se pueden deshabilitar toda una clase de reglas comentndola en el archivo de configuracin o se pueden deshabilitar las reglas de forma individual modificando el fichero de reglas.
140
Las reglas que se han incluido en el archivo de configuracin de Snort para este ejemplo, son las siguientes: include $RULE_PATH/local.rules include $RULE_PATH/bad-traffic.rules include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules include $RULE_PATH/ftp.rules include $RULE_PATH/dos.rules include $RULE_PATH/ddos.rules include $RULE_PATH/dns.rules include $RULE_PATH/web-cgi.rules include $RULE_PATH/web-coldfusion.rules include $RULE_PATH/web-iis.rules include $RULE_PATH/web-frontpage.rules include $RULE_PATH/web-client.rules include $RULE_PATH/web-php.rules include $RULE_PATH/x11.rules include $RULE_PATH/netbios.rules include $RULE_PATH/attack-responses.rules include $RULE_PATH/mysql.rules include $RULE_PATH/smtp.rules include $RULE_PATH/pop3.rules include $RULE_PATH/web-attacks.rules include $RULE_PATH/virus.rules Mdulos de salida Como ya se ha visto anteriormente, existen varios mdulos de salida que se pueden utilizar, dependiendo del formato en el que se deseen los datos: Syslog, Database y el nuevo mdulo denominado Unified, que es un formato binario genrico para exportar datos a otros programas. El formato general para configurar los mdulos de salida es: output module_name: configuration options Siendo module_name el tipo de salida que se quiere utilizar. Sin duda alguna el mdulo de salida ms utilizado es el que permite guardar la informacin de las alertas en una base de datos. Snort admite directamente cuatro tipos de salida a base de datos: MySQL, PostgreSQL, Oracle y unixODBC. Por ejemplo, si se desea la conexin a una base de datos MySQL se configurar de la siguiente forma: output database: log, mysql, user=snort, password=test dbname=snort host=localhost [linea 793] Finalmente se ejecuta snort por ejemplo ejecutando: snort -l /var/log/snort -c /etc/snort/snort.conf -i eth0 Se obtendr el resultado de la ejecucin que aparece en la figura 3-79.
141
9.1
Es importante que tanto el servidor MySQL, como el servidor Apache y Snort arranquen como servicios del sistema. Para ello, se puede utilizar el comando service nombre_servicio start como se indica a continuacin: service mysqld start service snortd start service httpd start Para que se inicien automticamente los servicios mysqld y httpd debe ejecutar el comando ntsysv y seleccionar los dos servicios para que se ejecuten automticamente. En la figura 3-80 se muestra la pantalla para automatizar los servicios indicados con ntsysv.
Para que se incie el servicio snortd de forma automtica debe incluir la siguiente lnea en el fichero /etc/rc.d/rc.local: service snortd start O tambin se puede escribir: snort -D -l /var/log/snort -c /etc/snort/snort.conf
142
9.2
Existen muchas formas para actualizar las rules de snort pero la forma ms cmoda es subscribirse en la pgina web www.snort.org, como se puede ver en la figura 3-81 y utilizar oinkmaster. Oinkmaster es un programa escrito en Perl, que permite mantener las reglas de Snort actualizadas descargando su cdigo fuente.
Para instalar Oinkmaster hay que realizar los siguientes pasos: En primer lugar se debe descargar el paquete oinkmaskter-2.0.tar.gz de la pgina http://oinkmaster.sourceforge.net/ Posteriormente se procede a descomprimir el fichero ejecutando: tar xvfz oinkmaster-2.0.tar.gz cd oinkmaster-2.0 Se copia el fichero oinkmaster.pl en el directorio /usr/local/bin: cp oinkmaster.pl /usr/local/bin Se copia el fichero de configuracin al directorio /etc: cp oinkmaster.conf /etc Se copia el fichero de ayuda al directorio /usr/local/man/man1 mkdir /usr/local/man/man1 #Creamos el directorio si no existe cp oinkmaster.1 /usr/local/man/man1
A continuacin se modifica el fichero de configuracin /etc/oinkmaster.conf para indicar la url donde se va a descargar las rules de la siguiente forma:
143
url=http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkmastercode> /snortrulessnapshot-CURRENT.tar.gz[Lnea 55] Donde <oinkmastercode> es el cdigo de suscripcin facilitado en la pgina web de snort. Finalmente para actualizar las rules de Snort se debe de ejecutar oinkmaster especificando el directorio donde se encuentran las rules: oinkmaster.pl o /etc/snort/rules En la figura 3-82 se puede ver el resultado de actualizar las rules con oinkmaster.
Para que se actualicen las rules de forma automtica se debe utilizar el servicio croad. Para ello se ejecuta el comando crontab e y se escribe: PATH=/usr/local/bin 0 1 * * * /usr/local/bin/oinkmaster.pl o /etc/snort La sintaxis de las tareas programadas es: minuto hora da mes da_de_la_semana tarea En el ejemplo anterior se realiza la actualiacin a las 1:00h.
9.3
Otra herramienta fundamental para un IDS/IPS es PMGRAPH. PMGRAPH es un simple script escrito en Perl, que genera dos pginas html con tablas que muestran el rendimiento de Snort. Para utilizar pmgraph es necesario especificar en el archivo de configuracin el preprocesador pefmonitor. Para ello en el fichero de configuracin de snort (/etc/snort/snort.conf) modicamos la siguiente lnea: preprocesor perfmonitor: time 60 file /var/log/snort/perfmon.txt pktcnt 100 [lnea 431]
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
144
Donde time 60 indica que genere el fichero cada 60 segundos; file /var/log/snort/perfmon.txt es el fichero que genera; y pktcnt 100 indica que se ajuste el nmero de paquetes a procesar antes de que finalice el tiempo especificado, a 100. En la figura 3-83 se puede ver el contenido del fichero /var/log/snort/perfmon.txt.
El siguiente paso que hay que realizar es descargar el paquete rrdtool de la pgina web http://oss.oetiker.ch/rrdtool y compilarlo o ejecutar los siguientes comandos: yum install rrdtool yum install rrdtool-devel yum install perl-RRD-Simple A continuacin se descarga el paquete pmgraph-0.2.tar.gz de la web http://www.mtsac.edu/~jgau/Download/src/ y se realizan los siguientes pasos: Se descomprime el fichero ejecutando: tar xvfz pmgraph-0.2.tar.gz Se copia el ejecutable al directorio /usr/local/bin: cd pmgraph-0.2 cp pmgraph.pl /usr/local/bin Se crea la carpeta donde se va a publicar la pgina web: mkdir /var/log/perfstats Se ejecuta pmgraph con el siguiente comando: pmgraph.pl /var/www/html/perfstats /var/log/snort/snort.stats
Seguidamente se puede ver en la figura 3-84, el resultado de la ejecucin del comando anterior que generar los archivos html de pmgraph.
Y finalmente si se visita la pgina web http://localhost/perfstats/perfstats.tml se ver el funcionamiento de Pmgraph (vase la figura 3-85).
145
Como se desea que la pgina web se actualice automticamente entonces hay que programar cron para ejecute el comando para genera la pgina web. Como en el fichero /etc/snort.conf se ha indicado que el fichero /var/log/snort/snort.stats se genere cada 60 segundos entonces hay que ejecutar crontab e y aadir el siguiente comando: */1 * * * * /var/log/snort/snort.stats /usr/local/bin/pmgraph.pl /var/www/html/rendimiento
9.4
SPADE
Spade (Estndar para Statistical Packet Anomaly Detection Engine) es producido por Stuart Staniford y James Hoagland de Silicon Defense (http://www.silicondefense.com/)[BIL]. SPADE es un plugin preprocesador para el motor de deteccin de Snort. Detecta trfico de red que se desva del comportamiento normal. Spade est disponible bajo licencia GNU GPL, como un plugin preprocesador de Snort. Si bien slo est disponible hasta la versin 2.4 de Snort. SPICE es el Motor de Correlacin de Intrusin y Prueba de Estado (Stealthy Probing and Intrusion Correlation Engine). Forma parte del proyecto Silicon Defense's fundado por US DARPA. Consiste en dos partes: un sensor de anomala (Spade) y un correlador de eventos. Su funcionamiento bsico consistir en la monitorizacin de red de Spade e informar de eventos anmalos al correlador. El correlador entonces agrupara estos
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
146
eventos juntos y enviar informes de actividad inusual (por ejemplo portscans) incluso aquellos que han sido difciles de detectar. 9.4.1 Caractersticas
Spade revisar los paquetes recibidos por Snort, encontrar aquellos de inters e informar de los paquetes que cree que son anmalos con una puntuacin de anomala. La puntuacin de anomala asignada est basada en el historial de red observado. Cuanto menos veces ha ocurrido un tipo de paquete en el pasado, ms alta es su puntuacin. Los paquetes son clasificados por su campo de ocurrencia. Para hacer esto, se mantienen tablas de probabilidad que reflejan la ocurrencia de distintos tipos de paquetes, con su peso ms alto en los eventos ms recientes. A partir de la probabilidad de ocurrencia se calcula la anomala dando una puntuacin para esta anomala. Esta puntuacin mide el grado de anomala y facilita la interpretacin. Para cada sensor, se define un umbral de informe. Para cada evento que excede este umbral, se enva una alerta al mismo lugar que debe enviarse la alerta de Snort producida. Adems para informar de los eventos anmalos, Spade puede tambin ser configurado para generar informes sobre la red en la cual se est ejecutando. Puede relatar la cantidad de entropa en los puertos destino y en los de origen o producir informes peridicos del nmero de paquetes vistos y pedir estticas tales como la puntuacin de anomala media producida. Spade no puede decir si un paquete es malo ni hostil, simplemente sabe que paquetes son relativamente inusuales y tiene una idea de cmo de inusuales son. Tampoco puede informar de intentos de exploracin de vulnerabilidades CGI en el servidor web. Esto se realizara si se busca en el contenido del paquete, pero Spade slo busca en partes de la cabecera del paquete. Spade tampoco agrupa los eventos de anomalas juntos. Esto lo realiza el correlador Spice en cuyo caso es mejor manejarlo fuera del sensor IDS. Se podra usar SnortSnarf, como se ha visto anteriormente para navegar por los informes de anomalas. 9.4.2 Detectores
Un detector es un componente de Spade que busca un tipo particular de anomala sobre un conjunto de paquetes. Se puede configurar Spade para emplear cualquier nmero de detectores simultneamente. Estos pueden ser de diferentes tipos (donde la aproximacin de deteccin es distinta) o del mismo tipo pero aplicado a un conjunto diferente de paquetes. Dependiendo del tipo de detector que est siendo aplicado y la configuracin del usuario, Spade podra esperar un paquete por un corto periodo de tiempo antes de enviar
147
una alerta. Esto es una forma interesante de reducir los falsos positivos, ya que funciona como un filtro aplicado al flujo de paquetes. Si Spade se coloca en un punto de la red donde no ve las respuestas, no aadir valores y la funcionalidad del subconjunto de Spade que requiere respuestas no estar disponible en ese punto. 9.4.3 Configuracin de Spade
Se necesita instalar Spade dentro de Snort y posteriormente configurar su archivo de configuracin e incluirlo en el archivo de configuracin de snort. La sintaxis de este procesador es la siguiente: preprocessor spade: { <optionname>=<value> } En tabla 3-3 que se muestra a continuacin, se pueden ver algunas de las opciones que se pueden utilizar con Spade. Un ejemplo de configuracin del preprocesador Spade es: preprocessor spade-homenet: 192.168.0.0/16 172.17.10.74 preprocessor spade: logfile=/var/log/spade/spade.log statefile=/var/log/spade/state.rcv cpfreq=25000 dest=alert Se indica la red especfica con homenet, con logfile se indica que se almacenen las alertas de log en el archivo spade.log y se le indica un archivo para la tabla de probabilidad llamado state.rcv. Con cpfreq se indica que se guarde el estado cada 25.000 actualizaciones y con dest=alert se indica que se guarden los mensajes en la facilidad alert indicada en snort.
Tabla 3-3. Opciones de Spade Opcin <homenet> <anom-report-thresh> Significado Se puede restringir a Spade para que considere paquetes destinados a una red en particular o hosts. Es el threshold inicial en el cual los paquetes son reportados. Si un paquete tiene un valor de puntuacin de anomala al menos el threshold, ser enviado como una alerta. Debido a que Spade mantiene una tabla de probabilidad basada en el historial, es importante tener un almacenamiento persistente para esta tabla. Por defecto este archivo es spade.rcv, si no se especifica ninguno. Indica que Spade escribir los logs en el fichero especificado. Hay cuatro modos de probabilidad disponibles en Spade. Estos modos configuran cmo Spade determina la probabilidad de un paquete en particular. Indica que informar peridicamente sobre las puntuaciones de anomala producidas en el ltimo intervalo de tiempo. Cuando se activa este modo, se informa del trfico de red que realmente est circulando.
<state-file>
<log-file> <prob-mode>
<survey-mode> <Statistics-mode>
148
En cuanto al rendimiento de Spade depender de muchos factores, incluyendo la configuracin (especialmente el conjunto de detectores habilitado) y variar desde una red a otra. Si una red ve mucho y muy diferentes tipos de trfico se ver afectado el uso de memoria y el de CPU. As pues, se espera que las versiones de Spade siguientes sean ms estables.
9.5
Frag3
Spade como se ha dicho anteriormente slo est disponible hasta la versin 2.4 de Snort. En versiones posteriores de Snort, se han incluido los preprocesadores frag2 primero y frag3 despus, para dotar a Snort de la capacidad de deteccin de anomalas. El preprocesador frag3 es un mdulo de defragmentacin basado en IP para Snort. Frag3 fue implementado como prototipo de mdulo basado en objetivos. A continuacin se describe en qu consiste el Anlisis basado en Objetivos. 9.5.1 Anlisis basado en Objetivos
El llamado Anlisis basado en Objetivos (Target-based analysis) es un concepto relativamente nuevo en la deteccin de intrusos. La idea de un sistema basado en objetivos, es modelar los actuales objetivos en la red en lugar de simplemente modelar los protocolos y buscar ataques dentro de ellos. El hecho de que se escriban las pilas de protocolos IP por distintos sistemas operativos y por distintas personas es un gran problema para los IDS. Si un atacante puede determinar qu estilo de defragmentacin IP se est usando en un objetivo en particular, el atacante puede intentar fragmentar paquetes y utilizar la informacin sobre los objetivos en la red para evadir al IDS. Esta es la idea de los "target-based IDS". Para ms informacin, se puede ver el artculo de Ptacek & Newsham [PTA98]. La idea bsica de los IDS basados en objetivos, es que se le pueda informar al IDS sobre los hosts en la red de forma que se puedan evitar ataques de evasin Ptacek & Newsham basados en informacin sobre cmo opera un objetivo individual de la pila IP. Vern Paxson y Umesh Shankar hicieron un gran artculo en 2003 [SHA] que detall el mapeo de hosts en una red y determina cmo sus distintas implementaciones de la pila IP maneja los tipos de problemas vistos en la defragmentacin IP y en los flujjos TCP. Se pueden presentar los IDS con informacin de la topologa de red para evitar las evasiones basadas en TTL y una gran variedad de entradas. 9.5.2 Caractersticas
Frag3 fue implementado como prototipo de mdulo basado en objetivos dentro de Snort para lograr los propsitos comentados anteriormente.
149
Frag3 pretende sustituir al mdulo de defragmentacin frag2 y fue diseado con los siguientes objetivos: 1) Ejecucin ms rpida que frag2 con una gestin menos compleja de los datos. 2) Tcnicas anti-evasin de modelado de host basado en objetivos. El preprocesador frag2 se ha usado extensamente en rboles de bsqueda binarios balanceados, para gestionar estructuras de datos asociadas con la defragmentacin de paquetes. Frag3 usa la estructura de datos sfxhash y listas enlazadas pra mantener datos internamente que permiten tener un rendimiento predecible y determinista en cualquier entorno que debera ser de ayuda para mantener entornos fuertemente fragmentados 9.5.3 Configuracin
Frag3 es capaz de detectar ocho tipos diferentes de anomalas. Su salida de eventos est basada en paquetes y funcionar con todos los modos de salida de Snort. Frag3 se activa como un preprocesador dentro de Snort y se configura dentro del archivo de configuracin de Snort. A continuacin se describe la configuracin de Frag3: Frag3 tiene al menos dos directivas de preprocesador que son necesarias, una directiva de configuracin global y una instanciacin del motor de deteccin. Puede haber un nmero arbitrario de engines definidos al comienzo de su configuracin pero slo una directiva global. Seguidamente se muestran estas dos directivas de configuracin: Configuracin Global Su sintaxis es: preprocessor frag3_global: [opciones] Sus opciones se muestran en la tabla 3-4.
Tabla 3-4. Opciones Configuracin Global Opcin max_frags <number> memcap <bytes> prealloc_frags <number> Significado Fragmentos mximos simultneos para rastrear, por defecto son 8192 Memoria para su propia preservacin, por defecto es 4MB. Modo de direccin de memoria alterno, emplea nodos de fragmento preasignados (ms rpido en algunas situaciones)
Configuracin del Engine La sintasix para la configuracin del motor de deteccin de frag3 es: Preprocessor frag3_engine: [opciones] Las opciones disponibles son las que se pueden ver en la tabla 3-5.
150
Tabla 3-5. Opciones Configuracin Global Opcin Significado El timeout para fragmentos, los fragmentos con valores mayores que este perodo en el motor, automticamente sern descartados. Por defecto es 60 segundos. Memoria para su propia preservacin, por defecto es 4MB. TTL mnimo aceptable para un paquete fragmentado. Por defecto es 1. Con detect_anomalies se descubren anomalas del fragmento Lista de IP donde escuchar el motor. Este motor slo ejecutar paquetes con direcciones de destino contenidas dentro de la Lista de IP. El valor por defecto es "all". Selecciona un modo de defragmentacin basado en objetivos. Tipos disponibles son primero, ltimos, Bsd, Bsd-derecho, Linux, Windows y Solaris. El tipo por defecto es Bsd.
timeout <seconds> ttl_limit <hops> min_ttl <value> bind_to <ip_list> policy <type>
Seguidamente se muestran algunos ejemplos: Ejemplo de configuracin Bsico: preprocessor frag3_global preprocessor frag3_engine Ejemplo de configuracin Avanzado: preprocessor frag3_global: prealloc_nodes 8192 preprocessor frag3_engine: policy linux, bind_to 192.168.1.0/24 preprocessor frag3_engine: policy first, bind_to [10.1.47.0/24,172.16.8.0/24] preprocessor frag3_engine: policy last, detect_anomalies En el ejemplo avanzado, hay tres motores especificados. En primer lugar se especifica que son ejecutados en Linux. Seguidamente se indica que la primera poltica es escuchar en las direcciones IP especificadas por bind_to. Y en la ltima sentencia se especifica que se aplica al resto de trfico que no unen con las directivas indicadas anteriormente. As, los paquetes que no caen dentro de las exigencias de las directivas de los dos primeros motores, automticamente fracasan en la ltima directiva. Estos mdulos preprocesadores para Snort: Spade y frag3 suponen un complemento para el IDS, que ayuda a detectar un tipo de trfico que por s solo no es capaz de detectar. Ofrecen una segunda capa de defensa. Spade por su parte, es la primera herramienta que demuestra las posibilidades de la Deteccin de Intrusin Basada en Mtodos Estadsticos, ya que se sirve de la probabilidad de ocurrencia de la actividad en la red para detectar anomalas. La principal diferencia con Frag3, es que frag3 utiliza objetivos en la red, es decir caractersticas distintas a las normales basadas en los protocolos, para detectar dentro de estos ataques anomalas que de otro modo no se detectaran. As, pues son dos soluciones que tienen el mismo objetivo: la deteccin de anomalas pero actan de forma diferente.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
CAPTULO 4
BENCHMARKS 1 Introduccin
Los Benchmarks pueden ser un modo importante de averiguar cmo funciona un Sistema de Deteccin de Intrusos frente a los ataques, para cerciorarse de que el IDS, funciona correctamente. Configurar un IDS correctamente no es una labor fcil ya que hay una gran variedad de software para escoger y muchos de ellos no son adecuados. A continuacin se propondrn algunos benchmarks de software libre para evaluar el rendimiento de nuestro Snort.
1.1
Para detectar los ataques se utilizan dos tcnicas diferentes: uso indebido y de anomalas. En los IDS basados en uso indebido se analiza el trafico de la red y se compara con unas firmas (rules). Si el trfico coincide con la firma (p.e. direccin IP, puerto, datos del paquete, etc) entonces el paquete se considerar como ataque. Y en los IDS basados en anomalas se va analizando el trfico de la red para ver si el comportamiento de los usuarios se clasifica como ataque. Para ello, el IDS genera un autmata en el que asocia las comunicaciones a un determinado estado, y dependiendo de la actividad va cambiando la comunicacin de estado hasta que se termine la comunicacin o que llegue a un estado que se considera como ataque. Los modelos comentados anteriormente seran perfectos si se tiene actualizada la base de datos de firmas y anomalas con lo que se considera como ataque; y todas sus combinaciones y variaciones posibles. Pero esta labor es imposible ya que no se pueden guardar las firmas de ataques que no se conocen y sera imposible guardar todas las variaciones de cualquier ataque. Adems porque el IDS tiene que procesar casi en tiempo real los paquetes ya que de nada sirve que el IDS informe de lo que detect en das anteriores. En el momento que un IDS toma una decisin, ste puede tomarla de forma correcta o incorrecta. Por lo tanto y tal como se muestra en la figura 4-1, existen cuatro posibles estados: Falso positivo. Tambin se conoce como falsa alarma y corresponde a trfico inofensivo que se considera como ataque. Falso negativo. Ataque que no detecta el IDS.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
152
Verdadero positivo. Evento inofensivo que se etiqueta como trfico normal. Verdadero negativo. Ataque detectado correctamente.
Tambin conocida como falsa alarma. Corresponde a un evento anmalo que resulta inofensivo desde el punto de vista de seguridad. Ataques detectados
Deteccin
Anomalia
Falso positivo
Verdadero positivo
Verdadero negativo
Normal
Inofensivo
Ataque
Lgicamente, el objetivo del IDS es maximizar los aciertos (verdaderos negativos y verdaderos positivos) y minimizar el nmero de fallos del IDS (falsos positivos y falsos negativos). Las altas tasas de falsos positivos y de falsos negativos pueden minar los motivos para usar un IDS. Los falsos positivos ocupan tiempo y recursos cuando el IDS genera falsas alarmas. Peor an son los falsos negativos, que son todos los ataques que el IDS falla en detectar. Estas tasas complican la justificacin del empleo de un IDS, pudiendo ser consecuencia de su arquitectura y configuracin. Adems el IDS no debe ocupar recursos innecesarios. La mayor parte de ellos probablemente son falsas alarmas. Para reducir el tiempo de trabajo del IDS, hay que reducir las tasas de falsos negativos y de falsos positivos. Hay que encontrar una solucin que sea viable. Si ya se tiene fijada la arquitectura del IDS, se deber de actuar en la configuracin del mismo para regular las tasas de errores. As pues analizando los efectos que tiene la configuracin del IDS, viendo los falsos positivos y negativos que genera, se podr modificar la configuracin hasta obtener aquella que proporcione el mayor rendimiento posible atendiendo a las caractersticas de la red y a las necesidades de la misma. Para ser capaces de ver mejoras de funcionamiento, las pruebas de referencia deberan de realizarse sobre varias configuraciones de modo que los resultados puedan
Captulo 4. Benchmarks
153
ser comparados. Las diferencias entre los resultados de las pruebas pueden ser un indicador del efecto que puede ocasionar sobre su funcionamiento. Los cambios tienen que estar basados en la reaccin del IDS a las pruebas a las que se le somenten. El nmero de alarmas tiene que ser comparado en base a la configuracin del IDS empleada. De las alarmas se tienen que encontrar informacin como por ejemplo, si son producidas por un ataque genuino, un falso positivo, o si es posible determinar algunos falsos negativos. Los resultados deberan estar en la zona cercana al lugar donde la tasa de falsos positivos y la de falsos negativos se cruzan, como se puede observar en la Figura 4-2.
Falsos Positivos
Falsos Negativos
Figura 4-2. El modelo de la tasa de error en un IDS, cuando se reduce la sensibilidad de alerta y/o se incrementa la inspeccin de paquetes
Probando la configuracin del IDS, se desea encontrar algunos elementos que puedan ayudar a una configuracin que lleve al mayor rendimiento posible. Esto revela tres secciones principales de informacin que es necesario averiguar: Disponibilidad de los mtodos de prueba de referencia. Importantes criterios de prueba de configuracin basados en la metodologa. Estudiar las pruebas de penetracin usadas sobre IDS, en lo referente a aspectos como el punto hasta el cual la prueba puede ser usada para mejorar las configuraciones, analizar las ventajas y los puntos dbiles de las metodologas y del software empleado, etc.
El objetivo perseguido es conseguir que el IDS, funcione todo lo mejor posible. Una aproximacin puede ser usar el software libre basado en una metodologa adecuada. Si se usa una metodologa de prueba de referencia, servir de pauta para probar los aspectos importantes de la funcionalidad de un IDS, con el objetivo de mejorar la configuracin que reduce las tasas de error y que puede conducir a una mejor respuesta de seguridad y a una liberacin de recursos. Para ello, existen variedad de herramientas que reciben el nombre de benchmarks. A continuacin se ver una breve introduccin a este tipo de herramientas.
154
1.2
Para testear y evaluar un sistema de deteccin de intrusos, existen variedad de metodologas y herramientas. Entre las metodologas existentes se encuentran la construccin de modelos de datos para el aprendizaje y la evaluacin de los IDS. A la hora de entrenar cualquier modelo de data mining se necesita un conjunto de datos suficientemente representativo. Una vez construido el modelo, se debe evaluar su precisin mediante la tasa de aciertos, el nmero de falsos positivos y el de falsos negativos. Para ello existen, disponibles en Internet, conjuntos de datos que representan la actividad de una red. Por un lado, se pueden encontrar los DARPA intrusion detection evaluation data sets [Cun99] [Lip99], que han sido utilizados como mtodo de evaluacin en multitud de sistemas de deteccin de intrusos. Son conjuntos de datos que se usan para comparar los resultados de los diferentes grupos de investigacin. Se dispone de dos conjuntos de datos, el de 1998 y el de 1999. Inicialmente fueron diseados para evaluar la tasa de falsas alarmas y la tasa de deteccin de los diferentes IDS. Los datos fueron recogidos de una red local que simulaba una base de las fuerzas areas norteamericanas y contena tanto ataques conocidos como nuevos. Por otro lado tambin est disponible el llamado KDD Cup 1999 Data [KDD99], utilizado en la 3 edicin del campeonato de herramientas para el descubrimiento del conocimiento y data mining (The Third International Knowledge Discovery and Data Mining Tools Competition), organizado por el grupo de KDD de la ACM (Association for Computing Machinery). Dicha asociacin organiza una competicin de este tipo cada ao, proponiendo un conjunto de datos de una materia especfica en cada una. En 1999 el tema propuesto fue el de la deteccin de intrusos y su objetivo era el de construir un modelo de prediccin para identificar intrusiones de red. Hoy en da se siguen utilizando ambos conjuntos de datos para la construccin y evaluacin de los diferentes clasificadores. Adems de estos conjuntos de datos, existen otras metodologas de benchmarking de IDS como las que detallan autores como: [PUK96], [ATH03], [LOD98]. La metodologa desarrollada por Puketza, Zhang, Chung, Mukherjee y Olsson [PUK96] ha sido una referencia para muchos proyectos de testeo de IDS con benchmarks. Se pueden citar dos metodologas de libre distribucin que son usadas para la evaluacin y testeo de los elementos de seguridad como son los IDS. Estas metodologas son: OSSTM 2.1 (Open Source Security Testing Methodology)[HER03]: OSSTM, Metodologa de Testeo de Seguridad de Cdigo Abierto es el resultado del trabajo del ISECOM (Instituto para la Seguridad y Cdigo Abierto, dirigidas por Pete Herzog. ISECOM tiene la labor de ofrecer una metodologa de benchmarking para productos de seguridad como firewalls, IDSs y otros dispositivos de red y seguridad. OSEC (Open Security Evaluation Criteria) [OSS]: OSEC, Criterio de Evaluacin de Seguridad de Cdigo Abierto, es un proyecto similar al anterior (OSSTM) pero se
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Captulo 4. Benchmarks
155
concentra principalmente en NIDS y firewall. OSEC se dirige a estandarizar los mtodos de evaluacin de los productos de seguridad. Al igual que OSSTM, est apoyado por las contribuciones de otras compaas y usuarios y comunidades de seguridad. A parte de estos conjuntos de datos y metodologas, se encuentran otros benchmarks de libre distribucin, que generan grandes cantidades de ataques distintos y que permiten incluso utilizar para los ataques las propias reglas del IDS para evaluar la capacidad de deteccin del mismo. Entre ellos cabe citar idswakeup, que es un generador de falsos ataques desde direcciones IP aleatorias o especficas, sneeze y stick que permiten enviar ataques desde ficheros de reglas y ftester que permite realizar spoofing de direcciones IP y puertos. Otro de los mtodos ms utilizados para el desarrollo de IDS en general, y detectores de anomalas en particular, es el de utilizar el trfico de red generado en los mismos departamentos, aadiendo cierta actividad maliciosa. De todos modos, esta metodologa tiene ciertas limitaciones, como por ejemplo las topologas de red que se pueden utilizar. Seguidamente se utilizarn algunas de las herramientas que se han visto anteriormente para comprobar el funcionamiento del IDS Snort. Para ello, se han utilizado los siguientes benchmarks:
A continuacin se explicarn los modos de instalacin y las opciones de funcionamiento que presentan cada uno de ellos, as como los resultados obtenidos en el IDS.
IDSWakeup
IDSWakeup es una herramienta de lnea de comandos basada en UNIX, que usa una coleccin de otras herramientas y patrones de ataque, para probar los sensores de deteccin de intrusos. Es de libre distribucin. La idea principal de IDSwakeup es generar falsos ataques desde direcciones IP aleatorias para que el IDS los detecte. La gama de ataques simulada del FTP malintencionado solicita secuencias de DOS, al buffer del servidor Web. Un elemento diferenciador de la herramienta IDSWakeup, con respecto a otras, es el TTL (tiempo de vida del paquete). La modificacin del campo de TTL dentro de un paquete le permite enviar los ataques que podran provocar reglas de IDS, pero no afectar a los servidores de produccin. Esto ha resultado ser un rasgo excelente para consultores y administradores que quieren aprovechar las capacidades de este instrumento durante horas de produccin sin miedo de interrumpir el negocio.
156
2.1
Instalacin
Este programa tiene dos dependencias: HPing2 e IWU. IDSWakeup funcionar con alguna de ellas. Los pasos a seguir para la instalacin de IDSWakeup son los siguientes:
En primer lugar, se instala las dependencias hping. Podemos descargar HPing2 de: www.kyuzz.org/antirez/hping o utilizando: yum install hping Se descarga el paquete libnet-1.0.2a.tar.gz de la pgina web http://www.hsc.fr/ressources/outils/idswakeup/index.html.en y se instala ejecutando los siguientes comandos: tar xvfz libnet-1.0.2a.tar.gz cd Libnet-1.0.2a ./configure make make install Tambin podemos instalar libnet directamente con: yum install libnet. Para instalar IDSwakeup se deben de realizar los siguientes pasos:
Este paquete contiene el paquete iwu, y no ser necesario instalarlo ni realizar ningn tipo de compilacin. IWU es otra utilidad para lnea de comandos, creada para enviar rpidamente datagramas y requiere de la instalacin de Libnet que se ha explicado anteriormente. Una vez descargado se realizan los siguientes pasos: Se descomprime el paquete en una carpeta, por ejemplo en IDSWake. Se descomprimen las dos carpetas que contiene: control.tar.gz y data.tar.gz tar xvfz control.tar.gz tar xvfz data.tar.gz Dentro de data.tar.gz estn los ejecutables idwakeup e iwu, en la carpeta /usr/sbin. Se copia el ejecutable idswakeup en la carpeta /usr/sbin: cp /root/DSWake/usr/sbin/idswakeup /usr/sbin Se hace lo mismo con iwu: cp /root/DSWake/usr/sbin/iwu /usr/sbin
Captulo 4. Benchmarks
157
2.2
Ejecucin
Para ejecutarlo requiere de una direccin IP origen y de una direccin IP destino. No es necesario especificar el puerto desde donde vienen los ataques. Otra caracterstica muy til de IDSWakeup, es que se puede definir cuntos ciclos deberan de completarse antes de salir. As, su formato del funcionamiento es el siguiente: ./idswakeup <source IP> <destination IP> <number of cycles> <TTL>. Donde <numer of cycles> es el nmero de ejecuciones que va a realizar y <TTL> es el tiempo de vida del paquete. Si se quiere hacer una prueba sobre nuestro IDS y se quiere que el paquete se pierda en el prximo salto entonces el valor de TTL indicado ser 1. Un ejemplo de ejecucin puede ser el que se muestra a continuacin: ./idswakeup 0 127.0.0.1 1 1 En esta ejecucin se ha indicado que la direccin IP destino es localhost, 1 ciclo de ejecucin y un TTL de 1. La figura 4-3, muestra el resultado obtenido de dicha ejecucin.
Aunque es posible simular un ataque de forma local es recomendable hacerlo desde un equipo externo por lo tanto si la direccin IP del IDS es 192.168.1.176 la mejor forma es ejecutar el siguiente comando: ./idswakeup 0 192.168.1.176 1 1000 64 En el ejemplo anterior, se indica que se enven paquetes desde orgenes aleatorios, indicado con el 0, con 1000 se indica el nmero de ciclos y 64 es el TTL para que el paquete llegue al equipo de destino.
158
2.3
Pruebas realizadas
Seguidamente se va a testear el IDS, enviando ataques con la herramienta idswakeup y posteriormente se comentarn los resultados obtenidos: En primer lugar se ejecuta: ./idswakeup 192.168.1.179 192.168.1.176 1000 64 En esta ejecucin se indica que la direccin origen es la 192.168.1.179 y la direccin destino es 192.168.1.176. El nmero de ciclos es 1000 y el TTL es de 64. En la figura 4-4 se muestra una captura de la ejecucin del comando anterior.
Los ataques que manda son los siguientes: teardrop, land get_phf, bind_version, get_phf_syn_ack_get, ping_of_death, syndrop, newtear, X11, SMBnegprot, smtp_expn_root,finger_redirect, ftp_cwd_root, ftp_port, trin00_pong, back_orifice, msadcs, www_frag, www_bestof, ddos_bestof, telnet_bestof, rlogin_bestof, tcpflag_bestof, icmp_bestof, smtp_bestof, misc_bestof, dos_chargen y dos_snortk, dos_syslog. A continuacin se muestra en la figura 4-5, un ejemplo de las alertas obtenidas en el BASE con la ejecucin de idswakeup.
Captulo 4. Benchmarks
159
Finalmente se describen las principales alertas que se han obtenido, as como una descripcin de las mismas, en la tabla 4-1.
Tabla 4-1. Alertas de Idswakeup Obtenidas Firma [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-CGI webdist.cgi access [local] [snort] WEB-IIS cmd.exe access [cve] [icat] [local] [snort] DDOS mstream agent pong to handler [snort] (ftp_telnet) FTP bounce attempt [snort] (ftp_telnet) FTP command parameters were malformed [snort] (http_inspect) WEBROOT DIRECTORY TRAVERSAL Descripcin Este evento es generado cuando ocurre una tentaitva de explorar una vulnerabilidad conocidad en un servidor Web ejecutndose en una plataforma IRIX. Este evento es generado cuando ocurre una tentaiva de explorar una vulnerabilidad potencial en un host ejecutando Microsoft Information Server (IIS). Este evento se genera cuando un agente mstream responde a una peticin de ping de un manejador de mstream. Este evento no est en la documentacin de snort. Este evento no est en la documentacin de snort. Protocolo TCP
TCP
UDP
TCP TCP
TCP
Sneeze
Sneeze es un generador de falsos positivos para Snort escrito en perl. Sneeze permite leer los ficheros de firmas de snort (rules) y generar los paquetes que snort utiliza para indentificar un ataque. Sneeze permite de una forma segura comprobar el correcto funcionamiento de Sort.
160
3.1
Instalacin
Antes de instalar Sneeze se deben instalar las libreras libpcap, MoreUtils y RawIP que permite manipular paquetes IP. Para instalar la librera se debern realizar los siguientes pasos En primer lugar se instala el mdulo perl y sus dependencias, ejecutando: yum install perl yum install perl-devel Se instala la librera libcap ejecutando el siguiente comando: yum install libpcap-devel Se debe de instalar la librera de perl MoreUtils ejecutando el siguiente comando: yum install perl-List-MoreUtils Se instala la librera RawIP siguiendo los siguientes pasos: o Se descarga el fichero Net-RawIP.0.21.tar.gz de la pgina web http://www.cpan.org/modules/by-module/Net/ o Se instala la librera ejecutando los siguientes comandos: tar xvfz Net-RawIP.0.21.tar.gz cd Net-RawIP.0.2.1 perl Makefile.PL make make install A continuacin se descarga el paquete sneeze-1.0.tar de la pgina web http://snort.sourceforge.net/sneeze-1.0.tar y se descomprime. Los pasos a realizar para ello son: wget http://snort.sourceforge.net/sneeze-1.0.tar tar xvf sneeze-1.0.tar cd sneeze
3.2
Ejecucin
Para ejecutar Sneeze, bastar con situarse dentro de la carpeta sneeze y ejecutar simplemente ./sneeze.pl junto con la IP y un archivo de reglas Snort como parmetro de entrada. Para ver las opciones de ayuda de Sneeze se puede ejecutar: ./sneeze.pl o ./sneeze.pl h y se ver el resultado que se muestra en la figura 4-6.
Captulo 4. Benchmarks
161
A continuacin se muestran varios ejemplos de ejecucin: ./sneeze.pl -d 192.168.1.1 -f /etc/snort/rules/exploit.rules, donde la opcin d indica el host destino y la opcin f indica el directorio de un archivo de reglas snort, el cual usar sneeze. Sneeze entiende los "include" de los archivos de reglas, y recurrentemente usar todas las reglas que un archivo de reglas de Snort indique. Sneeze puede hacer spoofing de IP origen y puerto. Esto consiste en que un atacante gana el acceso no autorizado a un ordenador o una red haciendo aparecer que un mensaje malintencionado ha venido de una mquina real con direccin de IP origen falsa. As pues, si por ejemplo sabemos que un cortafuegos deja pasar todo el trfico fuente del puerto 53, y de la direccin www.resolve.com, podremos pasar por el cortafuegos y provocar el anlisis IDS del otro lado: ./sneeze.pl -d 192.168.0.1 -f exploit.rules -s www.resolve.com -p 53 Sneeze normalmente slo permite un archivo de reglas cada vez y genera muchos paquetes. Sin embargo, se puede ejecutar varias veces el archivo de reglas, con la opcin c nmero_veces_ejecucin. La opcin por defecto es 1 que indica que se ejecutar siempre. ./sneeze.pl -d 192.168.0.1 -f exploit.rules -c 10 Si se quiere usar un dispositivo de red diferente al que se tiene por defecto se puede especificar con la opcin -i interfaz_de_red de la siguiente forma: ./sneeze.pl -d 192.168.0.1 -f exploit.rules -i eth1
3.3
Pruebas realizadas
Se han realizado varias pruebas con sneeze para probar el IDS. A continuacin se describen los resultados obtenidos: En primer lugar se ejecuta: ./sneeze.pl -d 192.168.1.176 -f /etc/snort/rules/dns.rules En dicho ejemplo se ejecuta sneeze con direccin destino 192.168.1.176 y se especifica que se enven las alertas desde el archivo de reglas de snort: dns.rules. En la figura 4-7, se puede ver el resultado de la ejecucin del ejemplo anterior.
162
Finalmente se muestran las principales alertas producidas por la ejecucin anterior de sneeze y una descripcin las mismas en la tabla 4-2.
Captulo 4. Benchmarks
163
Tabla 4-2. Alertas generadas por Sneeze Firma [nessus] [arachNIDS] [local] [snort] DNS named authors attempt [nessus] [arachNIDS] [local] [snort] DNS named version attempt [local] [snort] DNS SPOOK query response PTR with TTL of 1 min and no authority Descripcin Este evento es generado cuando tiene lugar un intento de peticin malintencionada en un registro de autores.bind de un Servidor DNS. Este evento es generado cuando se realiza una intentiva de determinar la versin de BIND que est siendo usada por un servidor DNS. Este evento no est en la documentacin de snort. Protocolo UDP
UDP
UDP
Como se puede observar, las principales alerts generadas en este caso corresponden a alertas DNS, debido a que el archivo de reglas que se ha utilizado para enviar las alertas ha sido dns.rules.
STICK
Stick es una herramienta para el anlisis de deteccin de intrusos. Se puede usar para determinar la capacidad del sistema de deteccin de intrusos, para testear las reglas del cortafuegos o las reglas del IDS. Fue escrito para funcionar slo sobre una plataforma Linux x86, pero con las apropiadas libreras funcionar sobre otros sistemas.
4.1
Instalacin
Para instalar stick se siguen los siguientes pasos: En primer lugar se debe de descargar Stick desde el siguiente sitio web: ftp://ftp.st.ryukoku.ac.jp/pub/security/tool/stick/stick.tgz Posteriormente se descomprime con: tar xvfz stick.tgz Se puede descargar o crear un ruleset en el formato de Snort. Si se descargan las rules, hay que borrar las lneas hasta el punto en el cual se estn describiendo las definiciones de paquetes y se guarda el ruleset como vision.txt. El paquete descargado desde el sitio web anterior, incluye un archivo vision.txt con el ruleset. Se ejecuta create_stick: cd stick ./create_stick
4.2
Ejecucin
Para la ejecucin de stick se realiza lo siguiente:
164
En primer lugar se configura el archivo vision.txt, que es el archivo del cual stick obtiene las alertas que enva al IDS. En este archivo se deben de configurar la variables var HOME_NET (LadireccinIP del IDS) y var EXTERNAL_NET (la/s redes a testear). var HOME_NET IP/Subred Se puede definir mltiples redes en esta variable como por ejemplo: var HOME_NET [10.1.1.0/24,10.1.2.0/24,192.168.1.0/24] Se debe de indicar tambin la red externa: var EXTERNAL_NET outside_network En ambos casos se pueden reemplazar estas variables directamente en las reglas. Otros parmetros que se pueden modificar en este archivo son los preprocesadores, como por ejemplo: preprocessor http_decode: 80 8080 preprocessor minfrag: 128 Finalmente se escriben las reglas. Se pueden utilizar las reglas que vienen por defecto en el archivo vision.txt o escribir las alertas de snort o cualquier otra alerta.
Las opciones para ejecutar stick son las que se muestran en la tabla 4-3. Tabla 4-3. Opciones de Stick Opcin
sH xxx.xxx.xxx.xxx sC xxx.xxx.xxx.0 sR aaa.aaa.aaa.xxx aaa.aaa.aaa.yyy
Significado
Esto es una nica IP origen que las cabeceras IP deberan usar como fuente. Esto es un nico espacio de clase C que tiene un ltimo octeto simple aleatorio. Es una subclase de rango C. Por ej. ./stick sR 192.168.128.2 192.168.128.55 Es una nica IP destino para la cabecera IP. Es un nico espacio de clase C que tiene un ltimo octeto aleatorio. Es una subclase de rango C. Por ej. ./stick sH 10.0.0.1 dR 192.168.128.2 192.168.128.55
A continuacin en la Figura 4-9, se muestra un ejemplo de ejecucin de stick: ./stick sH 10.0.0.1 dR 192.168.1.2 192.168.1.1, en la que se usa como IP origen 10.0.0.1 y como IP destino las IP de clase C: 192.168.1.2 y 192.168.1.1
Captulo 4. Benchmarks
165
4.3
Pruebas realizadas
Sobre el IDS se han realizado algunas pruebas haciendo uso de la herramienta stick. Como se ha dicho anteriormente, para utilizar la herramienta stick debemos de editar el archivo vision.txt, que contiene las reglas o alertas que se enviarn al IDS. En este archivo debemos de configurar la variables var HOME_NET (La direccin IP del IDS) y var EXTERNAL_NET (la/s redes a testear). En este caso: var HOME_NET 192.168.1.179/32 var EXTERNAL_NET 192.168.1.0/24 Los preprocesadores utilizados han sido: preprocessor http_decode: 80 8080 preprocessor minfrag: 128 En esta prueba se han enviado las alertas que vienen en el archivo vision.txt por defecto. Si bien se puede incluir cualquier alerta, como las contenidas en las rules del propio snort. El siguiente paso es ejecutar stick con las opciones correspondientes: ./stick sH 192.168.1.34 dH 192.168.1.179 La ejecucin anterior toma como direccin IP origen 192.168.1.34 y como direccin destino 192.168.1.179 (el IDS a testear). A continuacin se muestran las alertas generadas en la figura 4-10.
166
Por ltimo se describen las principales alertas generadas con stick en la tabla 4-4. Tabla 4-4.. Alertas producidas por Stick Firma
[snort] (snort_decoder): Invalid UDP header, length field < 8 [local] [snort] (snort_decoder) WARNING: ICMP Original IP Header Not IPv4! [local] [snort] ICMP Destination Unreachable Communication with Destination Host is Administratively Prohibited
Descripcin
Este evento no est en la documentacin de snort. Este evento no est en la documentacin de snort. Este evento es generado cuando se detecta un datagrama de destino inalcanzable en la red. (Comunicacin con Host Destino es Administrativamente Prohibida).
Protocolo
UDP ICMP
ICMP
Ftester
Ftester se compone de dos scripts escritos en Perl, que pueden ser descargadas de http://ftester.sourceforge.net. Un script enva ataques de red a hosts remotos, permitindole hacer spoofing de IP y puertos. El otro script, es un sniffer que se usa para leer en los paquetes de ataque enviados al sistema de destino. El primero puede ser usado para probar NIDS y HIDS, y el segundo se usa en combinacin con el primero para testear filtros de red y cortafuegos. Ftester simula conexiones autnticas TCP. Ftester requiere que configuremos el archivo ftest.conf para establecer los paquetes de ataque a enviar.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Captulo 4. Benchmarks
167
Ftester requiere la instalacin de los siguientes mdulos Perl: Net::RawIP Net::PcapUtils NetPacket
A continuacin se describen los pasos para la instalacin de Ftester as como de todos los mdulos necesarios.
5.1
Instalacin
Para la instalacin de Ftester se deben de instalar varios paquetes. A continuacin se explican los pasos a seguir: Perl Se instala perl, se puede instalar directamente con: yum install perl
Libpcap Se instala Libpcap, para ello, en primer lugar se descarga el paquete libpcap0.9.8.tar.gz de Internet (www.tcpdump.org). Se descomprime el paquete ejecutando: tar xvfz libpcap-0.9.8.tar.gz Se compila y se instala ejecutando los comandos: cd libpcap-0.9.8 ./configure make make install Se instala libpcap-devel, de la siguiente forma: yum install libpcap-devel
Net::Pcap Se descarga Net-Pcap por ejemplo de: www.cpan.org. Se descomprime el paquete y se compila y ejecuta ejecutando los siguientes comandos para ello: tar xvfz Net-Pcap-0.11 cd Net-Pcap-0.11 make make test make install Tambin se puede instalar directamente con yum install perl-Net-Pcap.
168
Net::PcapUtils Se instala Net-PcapUtils, tambin descargndolo desde www.cpan.org : tar xvfz Net-PcapUtils-0.01.tar.gz cd Net-PcapUtils-0.01 perl Makefile.PL make make install
Time-Hires Se instala Time::Hires. Descargndolo en primer lugar de: http://www.sins.com.au/nmis/NMIS_3.2.6_on_Windows_2003_Server.html. A continuacin se descomprime el paquete y se compila y ejecuta escribiendo los siguientes comandos: tar xvfz Time-HiRes-01.20.tar.gz cd Time-Hires-01.20 perl Makefile.PL make make test make install
Net-Packet Se instala Net-Packet. Se puede descargar de: http://rpm.pbone.net/index.php3/stat/4/idpl/930328/com/perl-NetPacket-0.041.noarch.rpm.html Se ejecuta escribiendo: rpm -i perl-NetPacket-0.04-1.noarch.rpm
List-MoreUtils Se instala List-MoreUtils. Ftester requiere del mdulo de perl: Net::RawIP. Para instalar Net-RawIP, se necesita tambin el paquete List-MoreUtils. Se puede descargar desde: http://search.cpan.org/~vparseval/List-MoreUtils0.22/lib/List/MoreUtils.pm y ejecutando: tar xvfz List-MoreUtils-0.22.tar.gz cd List-MoreUtils-0.22 perl Makefile.PL make make test make install
Captulo 4. Benchmarks
169
Se instala Net-RawIP. En primer lugar se descarga Net-RawIP desde: http://search.cpan.org/~szabgab/Net-RawIP-0.21/lib/Net/RawIP.pm. A continuacin se ejecutan los siguientes comandos para su compilacin e instalacin: tar xvfz Net-RawIP-0.21.tar.gz cd Net-RawIp-0.21 perl Makefile.PL make make test make install
Ftester Finalmente se instala Ftester. http://ftester.sourceforge.net Se descomprime el paquete: tar ftester-1.0.tar.gz cd ftester-1.0 Para ello, se descarga Ftester de:
5.2
Ejecucin
Como se ha visto antes Ftester est compuesto por dos scripts: Ftest. Generador de paquetes del lado del cliente Ftestd. El sniffer
Para ver las opciones de ejecucin de cada uno de ellos se puede ejecutar ./ftest, como muestra la figura 4-11 y ./ftestd, que se puede observar en la figura 4-12.
170
5.3
Pruebas realizadas
En este caso para realizar la prueba de funcionamiento de ftester, se han utilizado los siguientes hosts: Direccin IP del Host A (ftest): 192.168.1.145 Direccin IP del Host B (ftestd): 192.168.1.179
Para testear qu servicios pueden ser lanzados desde fuera, se pueden enviar las tramas de prueba que hay en el ejemplo del archivo ftest.conf, modificando la direccin IP origen y la direccin IP destino: # Chequeando puertos privilegiados (<1025) 192.168.1.145:1025:192.168.1.179:1-1025:S:TCP:0 # Chequeando puerto Proxy 192.168.1.145:1025:192.168.1.179:3128:S:TCP:0 # Se puede parar la seal stop_signal=192.168.1.145:80:192.168.1.179:1025:AP:TCP:0 Se ejecuta como root ftestd en el Host B: ./ftestd -i eth0 v
Donde se indica que ftestd escucha en la interfaz eth0 y se utiliza la opcin v para mostrar los resultados por pantalla. Se inyectan paquetes como root en el host A: ./ftest -f ftest.conf -v -d 0.01 -s 1
Obteniendo la misma salida en ambos hosts como se muestra en las figuras 4-13 y 4-14.
Captulo 4. Benchmarks
171
En la figura 4-15, se muestran las alertas generadas en el Host B, en el cual se estaba ejecutando ftestd, y que es el IDS.
172
El Host B crea el archivo de log ftestd.log, y el Host A crea el archivo de log ftest.log. A continuacin se muestra parte del contenido de cada uno de ellos: Fragmento Fichero ftest.log (Ejemplo 1): 1 - 192.168.1.145:1025 > 192.168.1.179:1 S TCP 0 2 - 192.168.1.145:1025 > 192.168.1.179:2 S TCP 0 3 - 192.168.1.145:1025 > 192.168.1.179:3 S TCP 0 4 - 192.168.1.145:1025 > 192.168.1.179:4 S TCP 0 5 - 192.168.1.145:1025 > 192.168.1.179:5 S TCP 0 6 - 192.168.1.145:1025 > 192.168.1.179:6 S TCP 0 7 - 192.168.1.145:1025 > 192.168.1.179:7 S TCP 0 8 - 192.168.1.145:1025 > 192.168.1.179:8 S TCP 0 9 - 192.168.1.145:1025 > 192.168.1.179:9 S TCP 0 10 - 192.168.1.145:1025 > 192.168.1.179:10 S TCP 0 11 - 192.168.1.145:1025 > 192.168.1.179:11 S TCP 0 12 - 192.168.1.145:1025 > 192.168.1.179:12 S TCP 0 13 - 192.168.1.145:1025 > 192.168.1.179:13 S TCP 0 14 - 192.168.1.145:1025 > 192.168.1.179:14 S TCP 0 15 - 192.168.1.145:1025 > 192.168.1.179:15 S TCP 0 16 - 192.168.1.145:1025 > 192.168.1.179:16 S TCP 0 17 - 192.168.1.145:1025 > 192.168.1.179:17 S TCP 0 18 - 192.168.1.145:1025 > 192.168.1.179:18 S TCP 0
Fragmento Fichero ftestd.log (Ejemplo 1): 1 - 192.168.1.145:1025 > 192.168.1.179:1 S TCP 0 2 - 192.168.1.145:1025 > 192.168.1.179:2 S TCP 0 3 - 192.168.1.145:1025 > 192.168.1.179:3 S TCP 0 4 - 192.168.1.145:1025 > 192.168.1.179:4 S TCP 0 5 - 192.168.1.145:1025 > 192.168.1.179:5 S TCP 0 6 - 192.168.1.145:1025 > 192.168.1.179:6 S TCP 0 7 - 192.168.1.145:1025 > 192.168.1.179:7 S TCP 0 8 - 192.168.1.145:1025 > 192.168.1.179:8 S TCP 0 9 - 192.168.1.145:1025 > 192.168.1.179:9 S TCP 0 10 - 192.168.1.145:1025 > 192.168.1.179:10 S TCP 0 11 - 192.168.1.145:1025 > 192.168.1.179:11 S TCP 0 12 - 192.168.1.145:1025 > 192.168.1.179:12 S TCP 0 13 - 192.168.1.145:1025 > 192.168.1.179:13 S TCP 0 14 - 192.168.1.145:1025 > 192.168.1.179:14 S TCP 0 15 - 192.168.1.145:1025 > 192.168.1.179:15 S TCP 0 16 - 192.168.1.145:1025 > 192.168.1.179:16 S TCP 0 17 - 192.168.1.145:1025 > 192.168.1.179:17 S TCP 0 18 - 192.168.1.145:1025 > 192.168.1.179:18 S TCP 0
Captulo 4. Benchmarks
173
Tambin se puede ejecutar ftester con el modo de conexin spoofing, haciendo uso de la opcin connect=. En el archivo de configuracin de ftester: ftest.log se pueden simular distintos tipos de conexiones por ejemplo una conexin ssh. Para ello se aade lo siguiente en el archivo ftest.conf: # Simulando una conexin ssh connect=192.168.1.145:1025:192.168.1.179:22:AP:TCP:0 # Chequeando paquetes RST que no coinciden 192.168.1.145:1025:192.168.1.179:UR:TCP:0 # Chequeando paquetes RST que coinciden connect=192.168.1.145:1025:192.168.1.179:UR:TCP:0 # Parar la seal stop_signal=192.168.1.145:1025:192.168.1.79:80:S:TCP:0 Y se ejecuta de nuevo: ftestd en el Host B: ./ftestd -i eth0 -c 0:3 -v ftest en el Host A: ./ftest -f ftest.conf -v -d 0.01 -s 1
En este caso se ejecuta ftestd en la interfaz eth0 y con el parmetro -c se indica el ttl (de 0 a 3) Se ejecuta ftest con el parmetro -d indicando un retardo de 0.01 segundos y la opcin s indica un tiempo de 1 segundo. Y se obtiene la salida que se muestra en las figuras 4-16 y 4-17.
174
En los archivos de log se pueden ver las alertas generadas en cada host: Fragmento Fichero ftest.log (Ejemplo 2): 3 - 192.168.0.10:1025 > 10.1.7.1:22 PA TCP 5 - 192.168.0.10:1025 > 10.1.7.1:23 UR TCP 0 8 - 192.168.0.10:1025 > 10.1.7.1:23 UR TCP 0 10 - 192.168.0.10:1025 > 10.1.7.1:80 S TCP 0 11 - 192.168.0.1:666 > 10.7.0.1:666 S TCP 0 IDS mode >> 12 - 192.168.0.1:1025 > 10.7.0.1:25 "VRFY" S TCP 0 IDS mode >> 13 - 192.168.0.1 > 10.7.0.1 ICMP 8 0 "+++ath" IDS mode >> 16 - 192.168.0.1:23 > 10.7.0.1:1025 "to su root" PA TCP 0 IDS mode >> 20 - 192.168.0.1:1025 > 10.7.0.1:80 "cmd.exe" PA TCP 0 IDS mode >> 24 - 192.168.0.1:1026 > 10.7.0.1:80 "ftp.exe" PA TCP 0
Fragmento Fichero ftestd.log (Ejemplo 2): 3 - 192.168.1.145:1025 > 192.168.1.179:22 PA TCP 0 5 - 192.168.1.145:1025 > 192.168.1.179:23 UR TCP 0 8 - 192.168.1.145:1025 > 192.168.1.179:23 UR TCP 0 10 - 192.168.1.145:1025 > 192.168.1.179:80 S TCP 0
Captulo 4. Benchmarks
175
Ftester tambin tiene la opcin de testeo con IDS. Esta opcin permite inyectar arbitrariamente paquetes con palyload del cliente, usando un payload que soporta una alerta IDS para testear que est visible en la red y tiene la capacidad de hacer sniffing de los paquetes segmentados o fragmentados. La configuracin para este modo se realiza haciendo uso de las opciones 'ids=' e 'ids-conn='. Esta caracterstica se puede usar para testear la capacidad de Snort para eludir las tcnicas de evasin, usando una alerta comn y se asume que Snort est actuando desechando el trfico que no puede comparar. Para realizar este modo de ejecucin se deben de realizar los siguientes pasos: Aadir en ftest.conf: ids=192.168.1.145:1025:192.168.1.179:25:S:TCP:0:VRFY ids=192.168.1.145::192.168.1.179:::ICMP:3:5:+++ath ids-conn=192.168.1.145:23:192.168.1.179:1025:PA:TCP:0:to su root ids-conn=192.168.1.145:1025:192.168.1.179:80:PA:TCP:0:cmd.exe ids-conn=192.168.1.145:1026:192.168.1.179:80:PA:TCP:0:ftp.exe insert /etc/snort/exploit.rules 192.168.1.1.45 192.168.1.179 insert-conn /etc/snort/exploit.rules 192.168.1.1.45 192.168.1.179 Arrancar snort en el sensor: snort -A full -c /etc/snort/snort.conf -b -d -i eth0 -l /etc/snort/log -s z Comenzar como root ftestd en el Host B: ./ftestd -i eth0 -c 0:3 v Inyectar los paquetes como root en el Host A: ./ftest -f ftest.conf -v -d 0.01 -s 1 F
176
El contenido de los archivos de logs en ambos casos es la que se muestra a continuacin: Fragmento Fichero ftest.log (Ejemplo 3): 1 - 192.168.0.1:666 > 10.7.0.1:666 S TCP 0 IDS mode >> 2 - 192.168.1.145:1025 > 192.168.1.179:25 "VRFY" S TCP 0 IDS mode >> 3 - 192.168.1.145 > 192.168.1.179 ICMP 8 0 "+++ath" IDS mode >> 6 - 192.168.1.145:23 > 192.168.1.179:1025 "to su root" PA TCP 0 IDS mode >> 10 - 192.168.1.145:1025 > 192.168.1.179:80 "cmd.exe" PA TCP 0 IDS mode >> 14 - 192.168.1.145:1026 > 192.168.1.179:80 "ftp.exe" PA TCP 0
Captulo 4. Benchmarks
177
Las alertas generadas mostradas con el BASE son las que se muestran en la figura 421.
Finalmente se muestra en la tabla 4-5 un resumen de las principales alertas que se generan con la ejecucin de Ftester.
Tabla 4-5. Alertas Generadas por Ftester Firma [cve] [icat][cve] [bugtraq] [bugtraq] [bugtraq] [local] [snort] SNMP request tcp [cve] [icat][cve] [bugtraq] [bugtraq] [bugtraq] [local] [snort] SNMP trap tcp [cve] [icat][cve] [bugtraq] [bugtraq] [bugtraq] [local] [snort] SNMP AgentX/tcp request [snort] (ftp_telnet) Invalid FTP command [cve] [icat] [arachNIDS] [local] [snort] DOS ath [local] [snort] Telnet Attemped SU from wrong group Descripcin Este evento es generado cuando se hace una conexin SNMP-Trap sobre TCP a un daemon SNMP. Este evento es generado cuando se hace una conexin SNMP-Trap sobre TCP a un daemon SNMP. Este evento se genera cuando una se hace una tentativa para atacar a un dispositivo usando SNMP v1. Este evento no est en la documentacin de snort. Este evento es generado cuando tiene lugar una tentativa de entrada de un ataque de Denegacin de Servicio que funciona contra algunos modems. Este evento no est en la documentacin de snort. Protocolo TCP
TCP
TCP
TCP ICMP
TCP
178
6
6.1
Dataset DARPA
Introduccin
Para evaluar el sistema de deteccin, a parte de los benchmarks vistos anteriormente, tambin se ha utilizado el conjunto de datos proporcionados en el proyecto de Evaluacin de la Deteccin de Intrusin desarrollado por DARPA. El Grupo de Tecnologa de Sistemas de Informacin (IST), del Laboratorio Lincoln MIT, con la cooperacin de la Agencia de Proyectos de Investigacin Avanzada de Defensa (DARPA ITO) y el Laboratorio de Investigacin de las Fuerzas Areas (AFRL/SNHS), ha recopilado y distribuido el primer estndar para evaluacin de sistemas de deteccin de intrusos de red. Estas evaluaciones miden la probabilidad de deteccin y la probabilidad de falsas alarmas para cada sistema testado. Estas evaluaciones contribuyen al campo de la deteccin de intrusos proporcionando una mejora de los resultados y con el objetivo de calibrar el actual estado del arte. Es una evaluacin simple, ya que usa datos que la mayora de sistemas de deteccin de intrusos usan comunmente.
6.2
DataSets
Los conjuntos de datos estn disponibles para descargar en la siguiente pgina web: http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/index.html. En ella se puede encontrar toda la informacin referente al proyecto DARPA. Los data sets son los resultados de las Evaluaciones de la Deteccin de Intrusiones DARPA que se realizaron en 1998 y 1999. Adicionalmente, se realizaron en el 2000, experimentos dirigidos a escenarios especficos. A continuacin se describen brevemente cada conjunto de evaluacin: 6.2.1 Data Set de Evaluacin de la Deteccin de Intrusin DARPA 1998
La evaluacin DARPA de 1998 fue diseada para encontrar la fuerza y las debilidades de las aproximaciones existentes y conducir a mejoras de funcionamiento y a evaluaciones vlidas de los sistemas de deteccin de intrusin. El concepto fue generar un conjunto de ataques realistas, integrarlos en datos normales, evaluar las falsas alarmas y las tasas de deteccin de sistemas con estos datos, y luego mejorar los sistemas para corregir las debilidades encontradas. El conjunto de datos de 1998 est compuesto principalmente por dos partes: una evaluacin off-line y una evolucin en tiempo real. La evaluacin off-line a la que se sometieron los sistemas de deteccin de intrusos, consta de trfico de red y logs de auditora recogidos en una red de simulacin. Los sistemas procesaron estos datos en modo batch, con el objetivo de que detectaran ataques incluidos entre actividad normal.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Captulo 4. Benchmarks
179
Los sistemas de deteccin de intrusin fueron entregados a AFRL para la evaluacin en tiempo real. Estos sistemas fueron insertados en el banco de pruebas de red de AFRL para identificar sesiones de ataque en medio de actividades normales, en tiempo real. La red fsica usada para la simulacin incluye una subred interna y una externa separadas por un router. La externa incluye dos estaciones de trabajo que simulan gateways en un Internet exterior virtual. Una estacin de trabajo simula varias estaciones usando modificaciones del software cliente del kernel de Linux proporcionados por el grupo Air Force ESC. Un gateway controla a cien estaciones y otro a miles de sitios web cuyo contenido se actualiza diariamente. La subred interna incluye mquinas crticas de muchos tipos (Linux, Solares, Sun OS) y un gateway para muchas otras estaciones de trabajo internas. Los datos son recogidos desde la vctima interna que ejecuta Solares y desde un sniffer externo. En la figura 4-22, se muestra la topologa de la red donde se han recolectado los datos de 1998.
En este escenario se enviaron emails, tambin incluye broadcasts, correo simple, y listas de servidores de dominio. As como trfico de ftp a travs de la descarga de usuarios de variedad de cdigo original y archivos de documentacin de sitios de ftp annimos tanto internos como externos. Por otro lado, se registr tambin la actividad de seis usuarios con identidades especficas profesionales (programador, secretario, administrador de sistema y gerente) que diariamente realizaban sesiones telnet donde ellos realizaron tareas apropiadas por su identidad, y que se consideran actividades anmalas. As pues las actividades principales que se realizaron en este escenario comprenden:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
180
de
interrumpir
el
Acceso desautorizado. Ataque desautorizado desde una mquina remota. Transicin desautorizada. privilegios para ello. Vigilancia y testeo. Anomalas. Comportamiento anmalo de usarios. Obtener privilegios de root por un usuario sin
A partir de todos estos datos recolectados se organizaron distintas partes que componen el dataset de 1998. Dichas partes son las siguientes: Datos de Ejemplo. Ejemplo de trfico de red y los de auditora que se usaron para evaluar sistemas y que se hicieron disponibles en Febrero de 1998. Cuatro Horas de Subconjuntos de datos de Entrenamiento. Un conjunto de ejemplos de datos de entrenamiento con una duracin de cuatro horas. El objetivo de estas cuatro horas es proporcionar algunos datos iniciales a los investigadores DARPA para asegurarse que los datos pueden ser ledos correctamente y que proporcionan la informacin suficiente para la evaluacin. Estos datos se hicieron disponibles en Mayo de 1998. Datos de Entrenamiento. Est formado por siete semanas de ataques basados en red en medio de datos en background normales. Datos de Test. Se trata de dos semanas de ataques basados en red en medio de actividad normal en background.
Los principales objetivos de esta evaluacin son: Medir la efectividad de un IDS en detectar comportamiento intrusivo en presencia de actividad normal del computador y de la red. Medir la efectividad de los mecanismos de respuesta y su impacto en usuarios normales. Data Set de Evaluacin de la Deteccin de Intrusin DARPA 1999
6.2.2
Al igual que en en la evaluacin de 1998, el dataset de 1999 consta de dos partes: una evaluacin off-line y una evolucin en tiempo real. As pues se basa en los mismos principios que en el conjunto de datos del ao anterior, si bien se incluyen nuevas caractersticas entre las que se encuentran las siguientes:
Captulo 4. Benchmarks
181
Workstation NT. Ataques y trfico desde ordenadores ejecutando Windows NT. Ataques en la red Interna. Archivos de Sistema Dump. Proporcionan importantes componentes desde el Sistema de Ficheros de cinco vctimas cada noche (incluye logs de auditoria de Windows NT). Archivos de Sniffing. Proporcionan datos de Sniffing de la red Interna.
Seguidamente se muestra en la figura 4-23, la topologa de red en la que se recopilaron los datos de 1999, con los cambios nombrados anteriormente.
En 1999 las actividades se centran en estaciones de trabajo UNIX y Windows NT y en los siguientes eventos: Denegacin de servicio (dos). Intentos desautorizados de interrumpir el normal funcionamiento de un host vctima o de una red. Remoto a Local (r2l). Obtener desautorizadamente privilegios de usuario en un host local por un usuario remoto sin tales privilegios.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
182
Usuario a Root (u2r). Acceso desautorizado a privilegios de superusuario o administrador por un usuario local sin esos privilegios. Comprometer datos. Acceso desautorizado o modificacin de datos en un host local o remoto.
Estos ataques ocurren en el contexto de uso normal de computadores y redes en una base militar. La organizacin de los datos sigue un esquema similar al seguido por el conjunto de datos de 1998 con algunas modificaciones, como que no hay datos de ejemplo ni subconjuntos de datos de entrenamiento. De esta forma, el dataset de 1999 est compuesto por las siguientes partes: Datos de Entrenamiento: Est formado por tres semanas de ataques. La primera y la tercera no contienen ataques. Estos datos fueron proporcionados para facilitar el entrenamiento de los sistemas de deteccin de anomalas. La segunda semana de los datos de entrenamiento contiene un subconjunto selecto de ataques que van desde los ataques de 1998 a varios nuevos ataques. El principal propsito al presentar estos ataques es proporcionar ejemplos de cmo informar de los ataques que detecta. A continuacin se muestran los archivos proporcionados para cada da en el conjunto de entrenamiento: o o o o o o o Datos de sniffing de la subred externa (formato tcpdump) Datos de sniffing de la subred interna (formato tcpdump Datos de auditora BSM Datos de auditora en NT Largas listas de rboles de directorios Dumps de los directorios seleccionados. Un informe de la informacin inode de los sistemas de ficheros.
Datos de Test: Se trata de dos semanas de ataques basados en red en medio de actividad normal en background. Hay unas 201 instancias de 56 tipos de ataques distribuidos alrededor de estas dos semanas.
Los objetivos de la evaluacin de 1999 son los siguientes: o o o o Explorar nuevas ideas en la deteccin de intrusin. Desarrollar tecnologa avanzada incorporando estas nuevas ideas. Medir el rendimiento de esta tecnologa. Comparar el rendimiento de varios sistemas desarrollados y existentes detenidamente. Las evaluaciones previas de la deteccin de intrusin han tendido ha centrarse exclusivamente en la probabilidad de deteccin sin tener en cuenta la probabilidad de las falsas alarmas. Embebiendo sesiones de ataque dentro de sesiones de trfico normal, se permite medir tanto la deteccin como los ratios de falsas alarmas, de forma simultnea.
Captulo 4. Benchmarks
183
6.2.3
En el ao 2000 los datos se obtienen a partir de varios escenarios. Seguidamente se describen cada uno de ellos: Escenario 1: LLDOS 1.0. Este es el primer escenario de ataques creado por DARPA y que incluye un ataque de denegacin de servicio distribuido por un atanque principiante. En futuras versiones de este y otros escenarios ejemplos se prevee la utilizacin de escenarios que contengan versiones de ataques ms especializadas. Este escenario est compuesto de mltiples sesiones de red y audtiora. Estas sesiones estn agrupadas en cinco fases de ataques, en las cuales el atacante testea la red, interrumpe la vulnerabilidad de un host ejecutando Solaris, instala el software del troyano mstream DDoS, y lanza un ataque de DDOS en un servidor del sitio desde el host comprometido. Escenario 2: LLDOS 2.0.2. Este escenario se sustenta en las mismas caractersticas que el escenario anterior, ya que est compuesto tambin por mltiples sesiones de red y auditoria y estn agrupadas en cinco fases de ataque. Conjunto de Datos de Ataques NT. En Enero del 2000 se realiz un experimento con un elevado nivel de audtora de NT. En este dataset se presentan las trazas recogidas del trfico de un da y el ataque que afecta a la mquina de NT. Est compuesto principalmente por los siguientes datos: o o o o Datos de Auditora de Log de Eventos NT. Datos Tcpdump de la red Externa. Datos Tcpdump de la red interna. Archivo con altos niveles de ataques reales.
6.3
Los formatos de los conjuntos de evaluacin proporcionados por DARPA son los que se muestran en la tabla 4-6.
6.4
Pruebas realizadas
Se han utilizado algunos de los datos ofrecidos en el Proyecto DARPA para comprobar el funcionamiento del IDS. En concreto se han realizado pruebas con el dataset del jueves de la sexta semana de entrenamiento de 1998 y con el viernes de la segunda semana de entrenamiento del dataset de 1999. Se han escogido estos conjuntos de prueba, porque en primer lugar, dentro de los datos proporcionados en 1998 el jueves de la sexta semana era el da que mayor nmero de ataques registraba.
184
Dataset
1998 - 1999
Tcpdump
1998 - 1999
BSM
1998
1998
Psmonitor
Dump
Los ficheros dump son copias de seguridad realizadas con el comando dump. Dump examina ficheros en un sistema de ficheros, determina cuales necesitan backup, y copia aquellos ficheros a un disco especfico o medio de almacenamiento. Para restaurar los backup se utiliza el comando restore.
URL: http://dump.sourceforge.net/ Archivo obtenido con la herramienta de Administracin de Registro de sucesos para administrar registros de equipos basados en Windows 2000 de Visor de sucesos. URL: http://support.microsoft.com/kb/318763/es
1998 - 1999
1999
EVT
En segundo lugar se ha escogido el viernes de la segunda semana de 1999 porque en esta semana era la nica en la que se producan ataques y adems se proporcionaba informacin sobre estos ataques. En ambos casos se han utilizado datos contenidos en archivos con formato tcpdump, debido a que es el formato ms conocido y a que con la herramienta tcpdump podemos
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Captulo 4. Benchmarks
185
comprobar que el trfico se est enviando adecuadamente, ya que nos permite capturar los paquetes escuchando en una interfaz. Para enviar los datos de los conjuntos de evaluacin de DARPA al IDS se ha utilizado la herramienta Bittwist en conjuncin con tcpdump. A continuacin se explicar el procedimiento seguido para enviar el trfico al IDS y posteriormente se vern los resultados obtenidos en las pruebas realizadas. 6.4.1 Bittwist para enviar datos del dataset
Bit-Twist es un simple generador de paquetes Ethernet basado en libpcap. Es diseado para complementar a tcpdump, el cual trabaja en la captura del trfico de red. Con Bit-Twist se puede generar trfico capturado de una red en funcionamiento. Los paquetes son generados desde el archivo tcpdump. Bit-Twist tambin contiene un editor de archivos de trazas comprensivo para permitir cambiar el contenido de un archivo de trazas. Generalmente, el generador de paquete es til para simular trfico de red o un escenario, testear el cortafuegos, IDS, e IPS, y solucionar varios problemas de red. Bit-Twist es considerado el mejor generador de paquetes Ethernet y es de libre distribucin. Las principales caractersticas de Bit-Twist son las siguientes: Se ejecuta sobre plataformas BSD, Linux y Windows 2000/XP. Enva mltiples archivos de trazas al mismo tiempo. Enva paquetes a una velocidad especfica o en un ratio en Mbps. Posee un editor de archivos de trazas compresivo sobre la mayora de campos de cabeceras Ethernet, ARP, IP, ICMP, TCP y UDP con correccin automtica del checksum de las cabeceras. Aada la carga til de usuario a paquetes existentes despus de una cabecera especfica. Selecciona una gama especfica de paquetes y los guarda en otro archivo de trazas. Es altamente scriptable. Con las apropiadas modificaciones Bit-Twist se puede convertir en un instrumento generador de paquete sumamente flexible.
186
Se descarga bittwist desde: http://sourceforge.net/project/downloading.php?groupname=bittwist&filename= bittwist-linux-1.0.tar.gz&use_mirror=garr Se descomprime el paquete y se compila e instala de la siguiente forma: tar xvfz bittwist-linux-1.0.tar.gz cd bittwist-1.0 make su make install
6.4.1.2 Ejecucin En primer lugar se muestra el modo de ejecucin de bittwist: bittwist [-d] [-v] [-i interface] [-s length] [-l loop] [-c count] [-m speed] [-r rate] [-p sleep] [-h] pcap-file(s) A continuacin en la tabla 4-7 se pueden ver las opciones de Bittwsit. Tabla 4-7. Opciones de Bit-Twist Opcin
-d -v -vv -i interface -s length -l loop
Significado
Imprime una lista de interfaces de red disponibles. Imprime el timestamp para cada paquete. Imprime el timestamp y los datos en hexadecimal para cada paquete. Enva el contenido del archivo pcap a travs de la interface. Longitud del Paquete a enviar. Envia length. Esto es por defecto -1 para enviar la longitud capturada u otro valor desde 14 a 1514. Enva el contenido del archivo pcap a travs de la red el nmero de veces indicado en loop. Colocar loop a 0 enva desde el archivo pcap hasta que pare. Se puede forzar la parada con Control-C. Enva el nmero de paquetes especificados por count. Por defecto enva todos los paquetes desde el archivo/s pcap. Coloca el intervalo que multiplica a la velocidad especificada por speed. Con speed de 0 o menos se enva el siguiente paquete inmediatamente. El mnimo valor positivo para speed es 0.000001. Limita el ratio de envo en Mbps. El valor para el rate debe estar entre 1 y 1000. Esta opcion es importante para limitar el mximo de paquetes que atraviesan la red. Coloca el intervalo de sleep en segundos. El valor para sleep debe estar entre 1 y 2146. Imprime informacin y uso de la versin.
-c count -m speed
-r rate
-p sleep -h
Como se ha dicho anteriormente, se va a utilizar la herramienta Bit-Twist en conjuncin con tcpdump para enviar el trfico de los archivos en formato tcpdump de los dataset del DARPA. Antes de realizar dichas pruebas se ha realizado una comprobacin con el benchmark idswakeup para verificar que se enva correctamente el trfico y que se detectan las alertas correspondientes.
Captulo 4. Benchmarks
187
6.4.2
A continuacin se va a corroborar que se enva correctamente el trfico con el procedimiento que se va a seguir para enviar los datos del DARPA al IDS. Para ello, en primer lugar ejecutamos idswakeup en otro ordenador. En este caso, el ordenador tiene IP 192.168.1.131 y le envamos ataques al IDS desde dicho ordenador. Ordenador Atacante 192.168.1.131: ./idswakeup 192.168.1.131 192.168.1.179 100 64
Le envamos ataques desde 192.168.1.131 a 192.168.1.179: Ordenador IDS 192.168.1.179: tcpdump -n -v -i eth0 -w SALIDAeth0.tcpdump
Se captura el trfico enviado escuchando con tcpdump en la interfaz eth0 y se guarda el contenido del trfico capturado en el archivo SALIDAeth0.tcpdump. En la figura 4-24, se pueden ver las alertas generadas desde el BASE para este ejemplo de comprobacin.
Seguidamente se pretende utilizar el archivo SALIDAeth0.tcpdump (que es el archivo que contiene los datos capturados desde el IDS con tcpdump mientras se ejecutaban los ataques) para enviarlo con la herramienta Bit-Twist y comprobar que se est enviando el trfico correcto y que se generan las alertas enviadas. As pues, en el ordenador del IDS, se ejecuta en un terminal: tcpdump -v -i eth0>salidaBITWIST.txt Escuchamos con tcpdump el trfico enviado con Bit-Twsit y se almacena la salida en un archivo de texto para comprobar el trfico enviado. En otro terminal se ejecuta:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
188
bittwist i eth0 SALIDAeth0.tcpdump Donde SALIDAeth0.tcpdump es el archivo capturado con tcpdump al lanzar el ataque con IDSWakeup y con la opcin i eth0 se indica que se enve el contenido del archivo a la interfaz de red eth0. A continuacin se muestra la salida de ambas ejecuciones en la figura 4-25.
Si se analiza el archivo salidaBITWIST.txt que contiene el trfico capturado por tcpdump en la interfaz eth0 se puede observar que se estn enviando las alertas correspondientes al ataque lanzado con idswakeup desde el ordenador 192.168.1.31, como se puede ver en el siguiente fragmento de dicho archivo: Fragmento Fichero salidaBITWIST.txt 16:54:41.287777 IP (tos 0xe,ECT(0), ttl 64, id 8991, offset 0, flags [DF], proto TCP (6), length 79) 192.168.1.131.invision > 192.168.1.179.http: P, cksum 0x9659 (incorrect (-> 0x1699), 0:27(27) ack 1 win 32120 <nop,nop,timestamp 15687837 191167785> 16:54:41.288075 IP (tos 0xe,ECT(0), ttl 64, id 8991, offset 0, flags [DF], proto TCP (6), length 79) 192.168.1.131.invision > 192.168.1.179.http: P, cksum 0x9659 (incorrect (-> 0x1699), 0:27(27) ack 1 win 32120 <nop,nop,timestamp 15687837 191167785> 16:54:41.288453 IP (tos 0xe,ECT(0), ttl 64, id 8991, offset 0, flags [DF], proto TCP (6), length 79) 192.168.1.131.invision > 192.168.1.179.http: P, cksum 0x9659 (incorrect (-> 0x1699), 0:27(27) ack 1 win 32120 <nop,nop,timestamp 15687837 191167785> 16:54:41.288774 IP (tos 0xe,ECT(0), ttl 64, id 8991, offset 0, flags [DF], proto TCP (6), length 79) 192.168.1.131.invision > 192.168.1.179.http: P, cksum 0x9659 (incorrect (-> 0x1699), 0:27(27) ack 1 win 32120 <nop,nop,timestamp 15687837 191167785> 16:54:41.289164 IP (tos 0xe,ECT(0), ttl 64, id 8991, offset 0, flags [DF], proto TCP (6), length 79) 192.168.1.131.invision > 192.168.1.179.http: P, cksum 0x9659 (incorrect (-> 0x1699), 0:27(27) ack 1 win 32120 <nop,nop,timestamp 15687837 191167785> 16:54:41.289530 IP (tos 0xe,ECT(0), ttl 64, id 8991, offset 0, flags [DF], proto TCP (6), length 79) 192.168.1.131.invision > 192.168.1.179.http: P, cksum 0x9659 (incorrect (-> 0x1699), 0:27(27) ack 1 win 32120 <nop,nop,timestamp 15687837 191167785> 16:54:41.289813 IP (tos 0xe,ECT(0), ttl 64, id 8991, offset 0, flags [DF], proto TCP (6), length 79) 192.168.1.131.invision > 192.168.1.179.http: P, cksum 0x9659 (incorrect (-> 0x1699), 0:27(27) ack 1 win 32120 <nop,nop,timestamp 15687837 191167785>
Captulo 4. Benchmarks
189
A continuacin, en la figura 4-26, se puede ver un ejemplo de las alertas generadas en el BASE al enviar el ataque idswakeup con Bit-Twist.
6.4.3
Una vez que se ha comprobado que se enva el trfico correctamente, se realizarn las pruebas con los conjuntos de datos propuestos por DARPA, siguiendo bsicamente el mismo procedimiento que se ha realizado anteriormente. Como ya se ha dicho antes, para las pruebas realizadas se han utilizado los siguientes archivos: Prueba 1. Archivo tcpdump correspondiente al jueves de la sexta semana de 1998. Prueba 2. Archivo outside.tcpdump correspondiente al viernes de la segunda semana de 1999.
Ambas pruebas se han realizado en primer lugar sin activar el preprocesador frag3 de Snort que es para la deteccin de anomalas y posteriormente con dicho preprocesador para detectar las anomalas que se producen. Seguidamente se describe el procedimiento para la realizacin de las pruebas y los resultados obtenidos:
190
6.4.3.1 Prueba 1 La primera prueba es la correspondiente al archivo Tcpdump Data del dataset Thursday de 1998. A continuacin se describen los pasos seguidos para enviar dichos datos al IDS: Primero se descargan los datos tcpdump del jueves de la siguiente pgina web: http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/1998/trai ning/week6/index.html Una vez descargado se descomprime el paquete: gzip -d tcpdump.gz en la Carpeta Jueves6_98 Una vez descomprimido se ver el archivo llamado tcpdump que contiene los datos que se enviarn para la prueba. El siguiente paso es utilizar tcpdump para poner el archivo tcpdump en el formato de salida estndar de tcpdump para que sea un archivo de trazas tcpdump. tcpdump -r tcpdump -w tcpdumpJueves6.tcpdump Con la opcin r se indica el archivo de entrada a leer y con la opcin w se indica el archivo de salida que se crear con formato tcpdump a partir del archivo ledo. Para comprobar que el contenido del archivo ledo tcpdump es el mismo que el generado con la opcin w se puede ejecutar lo siguiente: tcpdump -r tcpdump>tcpd1.txt tcpdump -r tcpdumpJueves6.tcpdump>tcpd2.txt Se puede comprobar que tcpd1.txt y tcpd2.txt tienen exactamente el mismo contenido. A continuacin se muestra un fragmento de cada uno de los archivos de salida: Fragmento Fichero Tcpd1.txt 13:58:40.064342 08:00:09:61:aa:c9 (oui Hewlett-Packard) 08:00:09:61:aa:c9 (oui Hewlett-Packard) Null Unnumbered, test, length 40 13:58:41.063075 08:00:09:61:aa:c9 (oui Hewlett-Packard) 08:00:09:61:aa:c9 (oui Hewlett-Packard) Null Unnumbered, test, length 40 13:58:42.061832 08:00:09:61:aa:c9 (oui Hewlett-Packard) 08:00:09:61:aa:c9 (oui Hewlett-Packard) Null Unnumbered, test, length 40
NetBeui > Flags [Poll], NetBeui > Flags [Poll], NetBeui > Flags [Poll],
Captulo 4. Benchmarks
191
Fragmento Fichero Tcpd2.txt 13:58:40.064342 08:00:09:61:aa:c9 (oui Hewlett-Packard) 08:00:09:61:aa:c9 (oui Hewlett-Packard) Null Unnumbered, test, length 40 13:58:41.063075 08:00:09:61:aa:c9 (oui Hewlett-Packard) 08:00:09:61:aa:c9 (oui Hewlett-Packard) Null Unnumbered, test, length 40 13:58:42.061832 08:00:09:61:aa:c9 (oui Hewlett-Packard) 08:00:09:61:aa:c9 (oui Hewlett-Packard) Null Unnumbered, test, length 40
NetBeui > Flags [Poll], NetBeui > Flags [Poll], NetBeui > Flags [Poll],
Seguidamente se ejecuta en un terminal: tcpdump -v -i eth0>salida_eth0Jueves6.txt Para que tcpdump capte los paquetes que se van a enviar con bittwist en la interfaz eth0 y se almacen dichos paquetes en un fichero de salida txt para comprobar que se envan los paquetes correctamente por la interfaz eth0. En la figura 4-27, se puede ver tcpdump ejecutndose:
En otro terminal se ejecuta: bittwist -i eth0 tcpdumpJueves6.tcpdump Se ejecuta la herramienta bittwist para enviar trfico a la interfaz eth0 desde el archivo tcpdumpJueves6.tcpdump, tal y como se muestra en la figura 4-28.
Resultados Obtenidos Prueba 1 Una vez que finaliza la ejecucin, y que bittwist deja de enviar paquetes desde el archivo se procede a ver las alertas generadas. El total de alertas obtenidas de la ejecucin de los datos del jueves de la sexta semana de 1998, sin activar el preprocesador frag3 han sido 2039 alertas. En primer lugar se analizan los ataques que tienen lugar en este da. Para ello se muestra una serie de tablas que recogen informacin de los hosts que intervienen en dichos ataques (vase tablas 4-8 y 4-9), as como una tabla con la lista de los ataques
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
192
producidos con datos como la hora, el nombre del ataque, los hosts que intervienen en dichos ataques (vase tabla 4-10) y una tabla con la descripcin de los ataques (vase tabla 4-11). Tabla 4-8. Hosts DMZ Direccin IP
172.16.114.50
Sistema Operativo
Linux Redhat 4.2
Notas
kernel 2.0.27
Sistema Operativo
Solaris 2.5.1 SunOS 4.1.4 Window NT 4.0 Redhat 5.0
Notas
Ataque
ipsweep ipsweep eject ffb eject eject eject pod pod pod dict ipsweep phf neptune portsweep eject portsweep smurf land neptune
Hora
08:27:03 08:28:43 08:41:50 09:06:46 09:32:03 09:50:46 10:00:14 10:11:06 10:20:11 10:27:24 10:34:46 10:37:42 11:15:53 11:32:23 12:03:45 12:21:55 12:29:51 12:48:13 13:31:05 13:31:08
Dir. IP Origen
205.231.28.163 196.37.75.158 202.247.224.89 199.174.194.16 135.8.60.182 195.73.151.50 135.8.60.182 135.13.216.191 209.30.71.165 207.103.80.104 206.186.80.111 202.72.1.77 209.74.60.168 230.1.10.20 202.247.224.89 209.12.13.144 207.103.80.104 * * 10.20.30.40
Dir. IP Destino
172.16.114. * 172.16.112. * pascal pascal pascal pascal pascal pc0 linux10 pascal marx 172.16.112. * marx pascal zeno pascal marx marx * pascal
Usuari o
raeburnt alie alie alie alie kiaraa raeburnt -
Dnd e
tcp tcp tcp tcp, bsm tcp, bsm tcp, bsm tcp, bsm tcp tcp tcp tcp tcp tcp tcp tcp tcp, bsm tcp tcp tcp tcp
Varian te
Captulo 4. Benchmarks
193
Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves Jueves
teardrop satan ipsweep eject portsweep ffb ipsweep land teardrop pod pod perlmagic satan perlmagic eject smurf eject ffb eject eject eject
13:30:00 13:57:45 14:10:09 14:14:56 14:41:47 14:43:31 15:08:20 15:08:42 15:23:47 16:15:20 16:35:20 16:47:24 16:57:23 17:02:54 17:50:09 17:53:26 19:50:15 20:30:59 20:39:41 20:47:35 23:43:29
222.222.222.222 195.115.218.108 197.218.177.69 199.227.99.125 206.48.44.18 209.154.98.104 209.1.12.46 * 1.1.1.1 207.75.239.115 197.182.91.233 196.37.75.158 128.223.199.68 209.74.60.168 207.253.84.13 * 202.49.244.10 208.254.251.132 206.222.3.197 209.117.157.183 202.72.1.77
marx marx 172.16.112. * pascal pascal pascal 172.16.112. * * pascal linux10 pc0 marx marx marx pascal marx pascal pascal pascal pascal pascal
raeburnt alie raeburnt raeburnt alie raeburnt alie darleent alie raeburnt
tcp tcp tcp tcp, bsm tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp tcp, bsm tcp bsm bsm bsm bsm bsm
Descripcin
Las contraseas para un usuario vlido que usa variantes simples del nombre de la cuenta sobre una conexin telnet. Overflow del Buffer usando el programa eject en Solaris. Permite la transicin de usuario root si tiene xito. Overflow del Buffer usando el comando ffbconfig de UNIX y permite un shell root. Vigilancia de puertos realizado por un puerto o ping en mltiples direcciones de host. Denegacin de servicio donde un host remoto enva un paquete UDP con el mismo origen y destino. Denegacin de servicio con el flag SYN en uno o ms puertos. Ataque perl que coloca el id de usuario a root en un script perl y creal un shell root. Script CGI que permite a un cliente ejecutar comandos arbitrarios en una mquina con un servidor web mal configurado. Denegacin de servicio de un ping que no responde. Vigilancia a travs de muchos puertos para determinar qu servicios son soportados en un host.
Herramienta de testeo de red que busca vulnerabilidades conocidas. Opera en tres niveles distintos. El nivel 0 es el ms ligero. Denegacin de servicio de una respuesta echo icmp Denegacin de servicio donde los paquetes UDP mal-fragmentados causan que algunos sistemas se reinicien.
Una vez que se han visto los datos referidos a los ataques producidos en este da en cuestin, se va a proceder a analizar las alertas que se han generado en el IDS. Primero, se muestra en la tabla 4-12, las principales alertas generadas en el BASE, as como una descripcin de las mismas. Tabla 4-12. Alertas producidas en el Ataque del Jueves de la Sexta Semana Firma
[cve] [icat] [bugtraq] [local] [snort] SNMP missing community string attempt [arachNIDS] [local] [snort] ICMP PING NMAP [cve] [icat] [local] [snort] WEB-CGI icat access
Descripcin
Este evento es generado cuando comunicaciones SNMP no contienen un nombre de la comunidad.
Protocolo
UDP
Este evento es generado cuando se detecta un ping por nmap. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en una aplicacin web CGI ejecutndose en un servidor. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en una aplicacin web CGI ejecutndose en un servidor. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en un servidor web ejecutando Microsoft Internet Information Server. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en un servidor web ejecutando Microsoft Internet Information Server. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en un servidor web ejecutando Microsoft FrontPage Server Extensions. Este evento es generado cuando se realiza ua tentativa para acceder a Wwwcount (count.cgi), un programa CGI muy usado en sitios webs. Este evento es generado cuando retorna un cdigo de respuesta de error 403 a un cliente desde un servidor web. Este evento es generado cuando se hace una tentativa para acceder a una aplicacin web que permite explorar la aplicacin.
ICMP
TCP
[cve] [icat] [bugtraq] [local] [snort] WEB-CGI redirect access [cve] [icat] [bugtraq] [local] [snort] WEB-IIS fpcount access [cve] [icat] [bugtraq] [local] [snort] WEB-IIS fpcount attempt [nessus] [local] [snort] WEB-FRONTPAGE /_vti_bin/ access [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-CGI count.cgi access [local] [snort] ATTACKRESPONSES 403 Forbidden [local] [snort] WEB-CGI calendar access
TCP
TCP
TCP
TCP
TCP
TCP
TCP
Captulo 4. Benchmarks [local] [snort] (snort_decoder) WARNING: ICMP Origianl IP Payload > 576 bytes! [url] [local] [snort] ATTACK-RESPONSES Invalid URL [cve] [icat] [bugtraq] [arachNIDS] [local] [snort] WEB-CGI phf access [cve] [icat] [bugtraq] [arachNIDS] [local] [snort] WEB-CGI phf arbitrary command execution attempt [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] SNMP request tcp [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] SNMP trap tcp [arachNIDS] [local] [snort] SCAN myscan [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] SNMP AgentX/tcp request [snort] (portscan) TCP Portscan: 1:10 Este evento no est en la documentacin de snort.
195 ICMP
Este evento es generado cuando se enva una respuesta de URL invlida desde un servidor web a un cliente. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en una aplicacin web CGI ejecutndose en un servidor. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en una aplicacin web CGI ejecutndose en un servidor. Este evento es generado cuando se hace una conexin SNMP-Trap sobre TCP a un daemon SNMP.
TCP
TCP
TCP
TCP
Este evento es generado cuando se hace una conexin SNMP-Trap sobre TCP a un daemon SNMP.
TCP
Este evento se genera cuando se deteca un scaneo. Este evento se genera cuando una se hace una tentativa para atacar a un dispositivo usando SNMP v1. Este evento es generado cuando el preprocesador sfPortscan detecta trfico de red que constituye un ataque. Especficamente se ha detectado un escaneo de puertos tcp. Este evento es generado cuando el preprocesador sfPortscan detecta trfico de red que constituye un ataque. Especficamente se ha detectado un puerto abierto. Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en una aplicacin web CGI ejecutndose en un servidor.
TCP TCP
Raw IP
Open
Raw IP
[nessus] [cve] [icat] [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] WEB-CGI cgiwrap access [cve] [icat] [bugtraq] Este evento es generado cuando se realiza ua [local] [snort] WEB-CGI tentativa para averiguar una vulnerabilidad conocida search.cgi access en una aplicacin web CGI ejecutndose en un servidor. [local] [snort] (snort Este evento no est en la documentacin de snort. decoder) Bad Traffic Same Src/Dst IP [arachNIDS] [local] Este evento es generado cuando se detecta trfico no [snort] MISC Source Port legtimo que debera no ser permitido a travs de un 20 to <1024 firewall. Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
TCP
TCP
TCP
TCP
196
[cve] [icat] [cve] [icat] [local] [snort] FINGER / execution attempt [nessus] [cve] [icat] [arachNIDS] [arachNIDS] [local] [snort] FINGER 0 query [nessus] [cve] [icat] [arachNIDS] [local] [snort] FINGER redirection attempt [arachNIDS] [local] [snort] FINGER root query [arachNIDS] [local] [snort] RPC portmap listing TCP 111 [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] SNMP trap udp [snort] (portscan) TCP Portsweep
Una recopilacin de ataques inteligentes contra el daemon finger. Una recopilacin de ataques inteligentes contra el daemon finger.
TCP
TCP
Esto es una recopilacin de actividad inteligente. Este evento es indicativo de una conexin de ataques contra el daemon finger. Esto es una recopilacin de actividad inteligente. Este evento es indicativo de una conexin de ataques contra el daemon finger. Este evento es generado cuando se hace una tentativa de entradas dump desde el mapeador de puertos. Este evento es generado cuando se hace una conexin SNMP-Trap sobre UDP a un daemon SNMP.
TCP
TCP
TCP
UDP
Este evento es generado cuando el preprocesador sfPortscan detecta trfico de red que constituye un ataque. Especficamente se ha detectado un portsweep tcp. [nessus] [cve] [icat] Este evento es generado cuando se realiza ua [bugtraq] [local] [snort] tentativa para averiguar una vulnerabilidad conocida WEB-CGI htmlscript en una aplicacin web CGI ejecutndose en un access servidor.
RawIP
TCP
A continuacin teniendo en cuenta los ataques que se producen en este da, podemos identificar las alertas generadas por estos ataques en las alertas del IDS. A modo de ejemplo, a continuacin se muestran las alertas producidas del ataque ipsweep. En la tabla 4-13 se muestra la descripcin de este ataque.
Tabla 4-13. Ataque Ipsweep Nombre Ataque ipsweep Descripcin Dir. Ip Origen Dir. Ip Destino 172.16.114.* Vigilancia de puertos realizado 205.231.28.163 por un puerto o ping en mltiples direcciones de host.
Las alertas generadas donde se detecta el ataque ipsweep son las que se muestran en la figura 4-29.
Captulo 4. Benchmarks
197
Como se puede observar las alertas producidas tienen como origen 205.231.28.163 y como destino 172.16.114.*, es decir la direccin IP origen est realizando mltiples ping a las direcciones 172.16.114, que es en lo que consiste el ataque ipsweep. 6.4.3.2 Prueba 1 con el preprocesador Frag3 de Snort activado Anteriormente se ha ejecutado los datos correspondientes al archivo Tcpdump Data del dataset Thursday de 1998 sin el preprocesador frag3 activado. Este preprocesador es para la deteccin de anomalas. Para activar el preprocesador Frag3 de Snort, se debe editar el archivo snort.conf y descomentar las lneas correspondientes a dicho preprocesador. A continuacin se muestran los cambios producidos para activar frag3: preprocessor frag3_global: max_frags 65536, prealloc_frags 65536 preprocessor frag3_engine: policy linux \ detect_anomalies preprocessor frag3_engine: policy first \ detect_anomalies preprocessor frag3_engine: policy last preprocessor frag3_engine: policy bsd preprocessor frag3_global: max_frags 65536
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
198
preprocessor frag3_engine: policy first detect_anomalies Una vez realizados estos cambios se ejecuta snort, por ejejmplo con service snortd start. Lo siguiente es enviar los datos desde bittwist siguiendo el mismo procedimiento para enviar los datos que el explicado anteriormente: Se convierte el archivo con la opcin -w de tcpdump, aunque se puede utilizar el mismo archivo que el obtenido en la prueba anterior. tcpdump -r tcpdump -w tcpdumpJ6FRAG3.tcpdump Se ejecuta en un terminal: tcpdump -v -i eth0>salida_Jueves6Frag3.txt En otro terminal: bittwist -i eth0 tcpdumpJ6FRAG3.tcpdump Resultados obtenidos con frag3 Darpa 1998 Cuando finalice la ejecucin del bittwist se procede a ver las alertas generadas. El total de alertas obtenidas de la ejecucin de los datos del jueves de la sexta semana de 1998, activando el preprocesador frag3 han sido 2636 alertas, de las cuales 597 han sido anomalas. En los datos de 1998 aparece una lista de anomalas producidas entre los datos del dataset. En concreto en el jueves de la sexta semana se producen las anomalas que se muestran en la tabla 4-15, donde intervienen los hosts que aparecen en la tabla 4.14. Asimismo en la tabla 4-16, se muestran los usuarios que originan estas anomalas. Tabla 4-14. Hosts de la Red Externa Direccin IP
135.13.216.191 197.218.177.69
Sistema Operativo
Redhat 5.0 Redhat 5.0
Notas
kernel 2.0.32 kernel 2.0.32
Tabla 4-15. Anomalas del Jueves de la Sexta Semana Da/Semana Usuario Nombre Usuario
williamf
Hora
Origen
4/6
Manager1
08:11:12
alpha
4/6
Manager2
donaldh
08:42:52
pluto
Captulo 4. Benchmarks
199
Descripcin
Un manager llamado William Finchley que lee y enva emails Un manager llamado Donald Hershey que lee emails
Seguidamente se describen en la tabla 4-17, las alertas que ha detectado el preprocesador frag3 y que corresponden a anomalas. Tabla 4-17. Anomalas detectadas por Frag3 Jueves de la Sexta Semana Firma
[snort] (spp_frag3) Short fragment, possible DoS attempt [snort] (spp_frag3) Zero-byte fragment packet [snort] (spp_frag3) Fragment packet ends after defragmented packet
Descripcin
Frag3: Fragmento Short, posible intento de ataque DoS. frag3: Fragmento de Cero Bytes. frag3: Fragmentar Paquete despus de que el paquete est fragmentado
Protocolo
UDP UDP UDP
A continuacin se muestran las alertas detectadas por el preprocesador frag3 en las figuras 4-30 y 4-31.
200
Como se puede ver las anomalas detectadas estn relacionadas con la fragmentacin de los paquetes que puede provocar una denegacin de servicio. 6.4.3.3 Prueba 2 Esta prueba se corresponde con los datos del archivo outside.tcpdump del viernes de la segunda semana de 1999. Para enviar dichos datos, seguimos los mismos pasos descritos anteriormente. Se descarga el paquete desde: http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/1999/trai ning/week2/index.html Se descomprime el paquete: gzip -d outside.tcpdump.gz en la Carpeta Viernes2_98 Una vez descomprimido veremos el archivo llamado outside.tcpdump que contiene los datos que se enviarn para la prueba. Utilizamos tcpdump -w para crear el archivo con formato tcpdump estndar. tcpdump -r tcpdump -w Viernes2_99.tcpdump Seguidamente se ejecuta en un terminal:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Captulo 4. Benchmarks
201
Resultados obtenidos prueba 2 Cuando finalice la ejecucin del bittwist se procede a ver las alertas generadas. El total de alertas obtenidas de la ejecucin de los datos del viernes de la segunda semana de 1999, sin activar frag3 es de: 5243 alertas. Primero se analizan los ataques que tienen lugar en este da. Para ello se muestra una serie de tablas que recogen informacin de los hosts que intervienen en dichos ataques (vansen las tablas 4-18 y 4-19), as como la lista de los ataques producidos (tabla 4-20) y una descripcin de los mismos (tabla 4-21).
Sistema Operativo
Linux Redhat 4.2
Notas
kernel 2.0.27
Sistema Operativo
Solaris 2.5.1 Windows NT 4.0 SunOS 4.1.4
Notas
Tabla 4-20. Lista de Ataques del Viernes de la Segunda Semana de 1999 Fecha
03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999 03/12/1999
Hora
08:07:17 08:10:40 08:16:46 09:18:15 11:20:15 12:40:12 13:12:17 14:06:17 14:24:18 15:24:16 17:13:10 17:43:18
Destino
marx.eyrie.af.mil marx.eyrie.af.mil pascal.eyrie.af.mil duck.eyrie.af.mil marx.eyrie.af.mil hume.eyrie.af.mil zeno.eyrie.af.mil marx.eyrie.af.mil pascal.eyrie.af.mil pascal.eyrie.af.mil pascal.eyrie.af.mil pascal.eyrie.af.mil
N
1 1 1 1 1 1 1 1 1 1 1 1
Ataque
phf perl (console) ps (console) pod neptune crashiis loadmodule perl (Failed) ps eject portsweep ftp-write
202
Tabla 4-21. Descripcin de Ataques del Viernes de la Segunda Semana 1999 Ataque
crashiis ftp-write neptune portsweep ps perlmagic phf pod loadmodule eject
Descripcin
Una peticin http causa que el servidor web se rompa. Un usuario remoto FTP crea un archivo .rhost en el directorio FTP annimo escribible worl y obtiene un login local. Denegacin de servicio con el flag SYN en uno o ms puertos. Vigilancia a travs de muchos puertos para determinar qu servicios son soportados en un host. Ps tiene la ventaja de una condicin especial en el comando ps, permitiendo a un usuario ganar el acceso root. Ataque perl que coloca el id de usuario a root en un script perl y creal un shell root. Script CGI que permite a un cliente ejecutar comandos arbitrarios en una mquina con un servidor web mal configurado. Denegacin de servicio de un ping que no responde. Ataque loadmodule no cauteloso que resetea IFS para un usuario normal y crea un shell root. Overflow del Buffer usando el programa eject en Solaris. Permite la transicin de usuario root si tiene xito.
Una vez que se han visto los datos referidos a los ataques producidos en este da en cuestin, se va a proceder a analizar las alertas que se han generado en el IDS. Primero, se muestra en la tabla 4-22, las principales alertas generadas en el BASE, as como una descripcin de las mismas. Tabla 4-22. Alertas Detectadas Viernes Segunda Semana 1999 Firma
[cve] [icat] [bugtraq] [arachNIDS] [local] [snort] WEB-CGI phf arbitrary command execution attempt [cve] [icat] [bugtraq] [arachNIDS] [local] [snort] WEB-CGI phf access [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-CGI count.cgi access [cve] [icat] [bugtraq] [local] [snort] WEB-CGI redirect access
Descripcin
Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en una aplicacin web CGI ejecutndose en un servidor.
Protocolo
TCP
Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en una aplicacin web CGI ejecutndose en un servidor. Este evento es generado cuando se realiza ua tentativa para acceder a Wwwcount (count.cgi), un programa CGI muy usado en sitios webs. Este evento es generado cuando se realiza ua tentativa para acceder a Wwwcount (count.cgi), un programa CGI muy usado en sitios webs. [local] [snort] ATTACK- Este evento es generado cuando retorna un cdigo de RESPONSES 403 respuesta de error 403 a un cliente desde un servidor Forbidden web. [local] [snort] Este evento no est en la documentacin de snort. (snort_decoder) WARNING: ICMP Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
TCP
TCP
TCP
TCP
TCP
Captulo 4. Benchmarks Origianl IP Payload > 576 bytes! [local] [snort] WEB-CGI Este evento es generado cuando se hace una tentativa calendar access para acceder a una aplicacin web que permite explorar la aplicacin. [cve] [icat] [bugtraq] Este evento es generado cuando se realiza ua tentativa [local] [snort] WEB-IIS para averiguar una vulnerabilidad conocida en un fpcount access servidor web ejecutando Microsoft Internet Information Server. [nessus] [local] [snort] Este evento es generado cuando se realiza ua tentativa WEB-FRONTPAGE para averiguar una vulnerabilidad conocida en un /_vti_bin/ access servidor web ejecutando Microsoft FrontPage Server Extensions. [url] [local] [snort] Este evento es generado cuando se enva una ATTACK-RESPONSES respuesta de URL invlida desde un servidor web a un Invalid URL cliente. [nessus] [cve] [icat] Este evento es generado cuando se hace una tentativa [bugtraq] [local] [snort] para explorar una debilidad potencial en un host que WEB-IIS iisadmin access est ejecutnado Microsoft Internet Information Server (IIS). [snort] (portscan) TCP Este evento es generado cuando el preprocesador Portscan: 1:5 sfPortscan detecta trfico de red que constituye un ataque. Especficamente un escaneo de puertos tcp. [snort] (portscan) Open Este evento es generado cuando el preprocesador Port: 21 sfPortscan detecta trfico de red que constituye un ataque. Especficamente se ha detectado un puerto abierto. [cve] [icat] [cve] [icat] Este evento es generado cuando se hace una conexin [bugtraq] [bugtraq] SNMP-Trap sobre TCP a un daemon SNMP. [bugtraq] [local] [snort] SNMP request tcp [cve] [icat] [cve] [icat] Este evento es generado cuando se hace una conexin [bugtraq] [bugtraq] SNMP-Trap sobre TCP a un daemon SNMP. [bugtraq] [local] [snort] SNMP trap tcp [local] [snort] ATTACK- Esto puede ser posterior a un comportamiento RESPONSES directory comprometido indicando el uso de herramientas del listing directorio de Windows. cve] [icat] [cve] [icat] Este evento se genera cuando una se hace una [bugtraq] [bugtraq] tentativa para atacar a un dispositivo usando SNMP [bugtraq] [local] [snort] v1. SNMP AgentX/tcp request [arachNIDS] [local] [snort] Este evento es generado cuando se detecta trfico no MISC source port 53 to legtimo que debera no ser permitido a travs de un <1024 firewall. [url] [url] [url] [url] [cve] Este evento es generado cuando se hace una tentativa [icat] [bugtraq] [bugtraq] para acceder a una tipo de archivo que debe ser objeto [local] [snort] WEB- de una vulnerabilidad conocida en Microsoft CLIENT Microsoft emf Windows Explorer. metafile access [nessus] [cve] [icat] Este evento es generado cuando ocurre una tentativa [arachNIDS] [local] [snort] para explorar una vulnerabilidad conocidad en una WEB-CGI finger access aplicacin web CGI ejecutndose en un servidor.
203
TCP
TCP
TCP
TCP
TCP
Raw IP
Raw IP
TCP
TCP
TCP
TCP
TCP
TCP
TCP
204
[url] [nessus] [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [arachNIDS] [local] [snort] WEB-FRONTPAGE shtml.dll access [arachNIDS] [local] [snort] ICMP PING NMAP
Este evento es generado cuando se realiza ua tentativa para averiguar una vulnerabilidad conocida en un servidor web ejecutando Microsoft FrontPage Server Extensions.
TCP
Este evento es generado cuando se genera un ping ICMP que es detectado por nmap.
TCP
[arachNIDS] [local] [snort] Este evento es generado cuando hay un intento de un RSERVICES rlogin login login remoto usando un rlogin fallido. failure
TCP
Seguidamente para ver un ejemplo se muestra las alertas generadas por el IDS referentes al ataque phf. En primer lugar en la tabla 4-23 se puede ver una descripcin de este ataque. Tabla 4-23. Ataque phf Nombre Ataque
phf
Descripcin
Script CGI que permite a un cliente ejecutar comandos arbitrarios en una mquina con un servidor web mal configurado
Dir. Ip Origen
209.117.157.183
Dir. Ip Destino
marx(172.16.114.50)
Las alertas generadas por phf son las que se muestran a continuacin en la figura 432.
Como se puede observar, las alertas producidas corresponden al ataque phf sobre el host marx.eyrie.af.mil cuya IP es 172.16.114.50. 6.4.3.4 Prueba 2 con el preprocesador Frag3 de Snort activado En la prueba anterior se ha ejecutado los datos correspondientes al archivo outside.tcpdump del dataset viernes de 1999 sin el preprocesador frag3 activado. Este preprocesador es para la deteccin de anomalas. Como se hizo anteriormente se activa el preprocesador frag3 y se ejecuta de nuevo snort, tal y como se ha explicado en la primera prueba. Posteriormente se ejecuta bittwist y tcpdump tal y como se ha hecho en las ejecuciones anteriores:
Captulo 4. Benchmarks
205
Se convierte el archivo al archivo estndar tcpdump: tcpdump -r outside.tcpdump -w tcpdumpV2FRAG3.tcpdump En un terminal se ejecuta: tcpdump -v -i eth0>salida_Viernes2Frag3.txt En otro: bittwist -i eth0 tcpdumpV2FRAG3.tcpdump Resultados obtenidos con frag3 Darpa 1999 En este caso no se han detectado anomalas, ya que las alertas generadas han sido las mismas que sin la activacin del preprocesador frag3. Resumen Resultados de las Pruebas Finalmente se muestra en la tabla 4-24 un resumen de las alertas generadas en cada una de las pruebas realizadas con los dos datasets. Tabla 4-24. Resultados Obtenidos de las Pruebas realizadas con DARPA 1998-1999 Prueba realizada
Jueves de la Sexta Semana de 1998 Viernes de la Segunda Semana de 1999
N Ataques Producidos
41
N Anomalas Producidas
2 anomalas distintas 0
12
5242
As pues, se han utilizado distintos benchmarks y conjuntos de datos del DATASET para poner a prueba el sistema de deteccin de intrusos. Teniendo en cuenta las alertas generadas se debe de estudiar las reglas y preprocesadores que se activan, en funcin de los distintos ataques, para conseguir un funcionamiento ptimo de Snort. Por ltimo se presenta un resumen de los benchmars y conjuntos de datos que se han utilizado para comprobar el funcionamiento del IDS en la tabla 4-25.
206
Caractersticas
Generador de Falsos positivos. Genera gran cantidad de ataques. Generador de Falsos positivos. Permite inyectar alertas contenidas en un archivo de reglas. Permite inyectar alertas desde un archivo, permitiendo testear las reglas del Snort o del cortafuegos. Se debe de ejecutar en dos ordenadores distintos. Uno enva ataques de red a hosts remotos, permitindole hacer spoofing de IP y puertos. Mientras que el otro actua como sniffer para leer los paquetes de ataque enviados al sistema de destino. Conjunto de datos muy extenso que combina actividad normal con ataques y anomalas, permitiendo testear la capacidad del sistema de deteccin.
FTESTER
DATASET
Herramientas polivalentes
En los sistemas GNU/Linux hay una serie de herramientas que se pueden utilizar en conjuncin con los benchmarks para inyectar paquetes de red, analizar el rendimiento de la red o que facilitan tareas como el manejo de logs o la visualizacin de las tramas de paquetes que viajan por la red y que son de utilidad. En este apartado se pretende ver brevemente algunas de esas herramientas que sirven para modelar el trfico de usuario. Se incluyen herramientas para recoger el trfico de usuario, para analizar los datos y herramientas que permiten generar trfico. En primer lugar se muestra en la tabla 4-26, algunas herramientas que permiten realizar este tipo de tareas agrupndolas por la funcin que desempean.
Captulo 4. Benchmarks
207
Tcpdump
Dumpcap
Ethereal
Tcpshow
Sawmill
208
generar dinmicamente informes filtrados, todo ello a travs de una interfaz web. URL: http://www.sawmill.net/formats/praudit.html Tcpstat reporta estadsticas de interfaces de red. Tcpstat consigue su informacin monitorizando una interfaz especfica, o leyendo datos guardados anteriormente tcpdump de un archivo. Proporciona ms de 15 tipos diferentes de estadsticas incluyendo nmero de paquetes a travs del interfaz, el tamao medio de cada paquete, la desviacin estndar del tamao del paquete y el ancho de banda por segundo. URL: http://www.frenchfries.net/paul/tcpstat/ Tcptrace es un instrumento para el anlisis de archivos de dump TCP. Puede tomar como entrada archivos producidos por varios programas de captura de paquetes, tcpdump, snoop, etherpeek, HP Net Metrix, y WinDump. Tcptrace puede producir varios tipos diferentes de salida que contienen informacin sobre cada conexin vista, como tiempo transcurrido, octetos y segmentos enviados y recibidos, retransmisiones, nmero de viajes de ida y vuelta, etc. Tambin puede reconstruir streams y producir un nmero de grficos para anlisis ms rpidos. URL:http://www.tcptrace.org/manual.html Tcpflow es un programa que captura datos transmitidos como parte de conexiones TCP (flujos), y almacena los datos de forma conveniente para el anlisis de protocolo o la eliminacin de fallos. Tcpflow reconstruye los streams de datos reales y almacena cada flujo en un archivo separado para su anlisis posterior. Tcpflow entiende nmeros de secuencia y reconstruye correctamente los streams de datos independientemente de nuevas transmisiones o de su entrega fallida. Sin embargo, esto actualmente no entiende fragmentos de IP; los flujos que contienen fragmentos IP no sern registrados correctamente. Tcpflow se basa en libpcap y as soporta las mismas expresiones de filtro que soporta tcpdump. URL: http://www.circlemud.org/~jelson/software/tcpflow/tcpflow.1.html Herramientas de manipulacin y de Inyeccin de Paquetes Tcpreplay es un suit de instrumentos BSD bajo licencia que dan la capacidad de usar trfico capturado previamente en el formato libpcap para testear una variedad de dispositivos de red. Permite clasificar el trfico como cliente o servidor, volver a reescribir las cabeceras de las Capas 2, 3 y 4 y finalmente volver a inyectar el trfico en la red y a travs de otros dispositivos como switches, routers, firewalls, NIDS e IPS's. URL: http://tcpreplay.synfin.net/trac/wiki/usage Scapy es un potente programa de manipulacin de paquete interactivo. Es capaz de descifrar los paquetes de un amplio nmero de protocolos, enviarlos sobre la red, capturarlos, unir
Tcpstat
Tcptrace
Tcpflow
Tcpreplay
Scapy
Captulo 4. Benchmarks
209
peticiones y respuestas, etc. Puede manejar la mayora de tareas clsicas como la exploracin, tracerouting, sondeo, pruebas de unidad, ataques o conectar una red al descubrimiento (puede sustituir hping, el 85 % de nmap, arpspoof, arp-sk, arping, tcpdump, tethereal, p0f, etc.). Tambin funciona muy bien en la mayor parte de tareas especficas que la mayor parte de otros instrumentos no pueden manejar, como enviar frames invlidos, inyectando sus 802.11 propios frames, combinar tcnicas (como decodificacin de VOIP sobre el canal encriptado WEP...), etc. URL: http://www.secdev.org/projects/scapy/ Hping es una utilidad de lnea de comando orientada al ensamblador/analizador de paquetes TCP/IP. Es capaz de enviar las solicitudes echo de ICMP y tambin soporta los protocolos TCP, UDP, ICMP y RAW-IP, tiene un modo traceroute y la capacidad de enviar archivos entre un canal cubierto, entre otras caractersticas. URL: http://www.hping.org/ Iperf es un instrumento para medir el mximo ancho de banda TCP, permitiendo modificar varios parmetros y caractersticas UDP. Iperf informa del ancho de banda, el retardo, la prdida de datagrama,etc. URL: http://dast.nlanr.net/Projects/Iperf/ Bit-Twist es un simple generador de paquetes Ethernet basado en libpcap. Con Bit-Twist se puede generar trfico capturado de una red en funcionamiento. Los paquetes son generados desde el archivo tcpdump. Bit-Twist tambin contiene un editor de archivos de trazas comprensivo para permitir cambiar el contenido de un archivo de trazas. URL: http://bittwist.sourceforge.net/ Packit es un instrumento de autora de red. Posee capacidad de personalizar, inyectar, supervisar, y manipular el trfico IP. Permitiendo definir casi todas las opciones de cabecera TCP, UDP, ICMP, IP, ARP, RARP, Ethernet. Packit puede ser til en pruebas de cortafuegos, sistemas de deteccin/prevencin de intrusin, exploracin de puertos, simulacin de trfico de red, etc. URL: http://www.packetfactory.net/projects/packit/ Nemesis es una herramienta de lnea de comando que posee la utilidad de inyeccin para sistemas UNIX y Windows. Nemesis, es til para probar Sistemas de Deteccin de Intrusin de Red, cortafuegos, pilas IP entre otras funciones. La utilidad de lnea de comando la hace perfecta para la automatizacin y scripting. Nemesis Nemesis puede inyectar paquetes ARP, DNS, ETH, ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP y UDP. Usando los modos de inyeccin IP y Ethernet, puede inyectar cualquier tipo de paquete. URL: http://nemesis.sourceforge.net/
Hping
Iperf
Bittwist
Packit
210
PackETH
PackETH es un instrumento Linux generador de paquetes para ethernet con interfaz grfica.. Permite crear y enviar cualquier paquete posible o secuencia de paquetes sobre Ethernet. Adems permite guardar la configuracin y cargarlo posteriormente (soporta formato pcap). URL: http://packeth.sourceforge.net/ SendIp es una herramienta de lnea de comando para generar trfico IP, IPv6, UDP, TCP, y RIP. Permite inyectar trfico aleatorio.
SendIp
SendIP tiene un gran nmero de opciones para especificar el contenido de cada cabecera de un paquete NTP, BGP, RIP, RIPng, TCP, UDP, ICMP o raw IPv4 e IPv6. Tambin permite aadir datos a los paquetes. URL: http://www.earth.li/projectpurple/progs/sendip.html
CAPTULO 5
Introduccin
Para analizar la capacidad de deteccin de los sistemas de deteccin de intrusos se ha puesto en funcionamiento una solucin implementada con el sistema Snort, en un entorno real. El entorno de red escogido para implantar Snort, ha sido la red perteneciente al Departamento de Lenguajes y Computacin de la Universidad de Almera. El objetivo es registrar la actividad sospechosa hacia los servidores de dicho departamento para evaluar los resultados de deteccin y rendimiento ofrecidos por el IDS. Para ello, en primer lugar se ha realizado la configuracin de red, de forma que el IDS escuche el trfico de la red de servidores que se pretende proteger. En segundo lugar, se ha llevado a cabo la instalacin y la configuracin de distintas herramientas que componen el sistema y que ayudan a mejorar su funcionamiento y gestin. As pues, adems del propio IDS Snort, se ha implantado una base de datos Mysql, para almacenar las alertas obtenidas por el sistema. Tambin se ha instalado Oinkmaster para la actualizacin automtica de las reglas de Snort. Por otro lado, dado el gran tamao de los archivos generados y la complejidad del manejo de los mismos, se utilizar BASE como interfaz de usuario para presentar dichas alertas y permitir un manejo fcil de las mismas. Por ltimo se ha instalado la herramienta PmGraph para mostrar grficas del rendimiento del sistema. Tras el proceso de instalacin de todas las herramientas necesarias, se ha prestado especial importancia a la configuracin del sistema de deteccin, para adaptarlo a las caractersticas de la red, de forma que el sistema fyera ms preciso a la hora de emitir las alertas. Una vez configurado el sistema, se ha puesto en funcionamiento durante dos semanas. En este tiempo se han recopilado una cantidad de alertas suficiente como para poder proceder a su anlisis. El objetivo era estudiar qu tipo de alertas se han generado, el nmero de las mismas y las direcciones IP que han intervenido en estos ataques como origen y destino. As como, evaluar el rendimiento que ha mostrado el sistema durante estas dos semanas de funcionamiento.
212
Estructura
En primer lugar, se va a explicar el esquema de red original donde se va a poner en funcionamiento el sistema de deteccin de intrusos. Como se ha dicho anteriormente, dicho sistema se configurar de forma que pueda detectar el trfico sospechoso dirigido a los Servidores del Departamento de Lenguajes. Los servidores que forman parte de este departamento son los siguientes: 193.147.118.176 sauce.ual.es 193.147.118.218 lsi.ual.es 193.147.118.39 indalog.ual.es 193.147.118.199 acacia.ual.es 193.147.118.230 bdlsi.ual.es 193.147.118.225 so.ual.es
Para comprobar qu puertos tiene abiertos cada servidor, se utiliz el comando nmap. Nmap es una herramienta que permite realizar exploracin de los puertos TCP y UDP. La sintaxis de dicho comando es: nmap IP As se puede saber que funciones realiza cada servidor. A continuacin se muestra en la tabla 5-1, los principales servicios que ofrecen cada servidor y los puertos activos de cada uno. Tabla 5-1. Servidores del Departamento Nombre Servidor
sauce.ual.es
IP Servidor
193.147.118.176 21 22 80 80 21 80
Puertos Activos
Funciones
FTP (Puerto 21) SSH (Puerto 22) HTTP (Puerto 80) HTTP (Puerto 80) Servidor No responde FTP (Puerto 21) HTTP (Puerto 80) Servidor No responde Servidor No responde
Esta informacin ser necesaria a la hora de configurar el sistema de deteccin de intrusos para adecuarlo a las caractersticas de la red que se pretende proteger. En este entorno de red es donde se pretende instalar y configurar el IDS Snort. Para ello, se ha utilizado un miniordenador que ser el encargado de realizar la funcin de IDS. Este miniordenador ha sido configurado con Direccin IP esttica 193.147.118.223. En cuanto a las caractersticas de este miniordenador cabe decir que su modelo de placa es el mini-itx. Este modelo posee unas dimensiones de 17x17cm. Este tipo de ordenadores pretenden ofrecer un buen rendimiento a un bajo coste. En un pequeo
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
213
tamao de 17x17cm se ha integrado un equipo totalmente completo y funcional: tarjeta grfica, tarjeta de sonido, conexin Lan 10/100, conectores de puertos (USB, FireWire, serie, paralelo, etc). nicamente falta aadir a esta placa la memoria, el sistema de almacenamiento escogido (compact flash o disco duro para porttil) y la fuente de alimentacin para tener un ordenador plenamente operativo. Entre las caractersticas del miniordenador empleado cabe destacar que posee una memoria de 512 MB RAM, un disco duro de 40 GB de capacidad y una velocidad de procesamiento de 1 GHz. A continuacin se muestra el miniordenador ITX utilizado para nuestro sistema de deteccin de intrusos en la figura 5-1.
As pues el esquema de red que se pretende obtener y en el cual se integrar el sistema Snort es el mostrado en la figura 5-2.
214
Configuracin
Para la implantacin del IDS en la red, se va a explicar la configuracin propia del sistema y la configuracin del switch utilizado.
3.1
En primer lugar se procede a la configuracin de las interfaces de red para que el sistema Snort pueda escuchar correctamente el trfico de la red de servidores. Para ello, se ha configurado una interfaz de red eth0, adems de la interfaz de loopback. La interfaz eth0 est destinada al IDS y est configurada con una direccin IP esttica. Para configurar la interfaz eth0 se ha utilizado el comando: ifconfig eth0 193.147.118.223 netmask 255.255.255.0 up Adems de configurar las interfaces de red, se debe configurar el switch de forma que el IDS pueda escuchar el trfico de los servidores. Se ha utilizado un switch CISCO Linksys-SLM2008-EU, que soporta replicacin de puertos, y se han configurado tres puertos, uno para conectar el sistema Snort, otro para los servidores y un tercero para conectarlo a la red Internet como se puede ver en la figura 5-3.
As pues, los puertos 1 y 2 estn replicados, de forma que el trfico que pasa por el puerto 2, el de los servidores pueda ser escuchado por el IDS Snort conectado a travs del puerto 1. Asimismo, el puerto 5 tiene salida a Internet para poder tener trfico hacia el exterior. Para configurar el switch se entra en la pgina indicada por el producto y se pulsa la pestaa Admin. que se encuentra sealada con un crculo en la figura 5-4.
215
Dentro de la pestaa Admin se pulsa el botn Port Mirror, y en la ventana que aparece en la figura 5-5, se realiza la configuracin de los puertos del switch. Se activa el puerto 2 para el trfico de los servidores y el puerto 1 es el correspondiente a la interfaz eth0 para el IDS, donde se replicar el trfico que atraviesa el puerto 2.
216
3.2
En primer lugar para la configuracin del sistema se ha instalado Fedora Core 8. Y sobre esta plataforma se han instalado y configurado las herramientas bsicas necesarias para el correcto funcionamiento del IDS. Para el miniordenador que realizar las funciones de IDS, se han instalado y configurado varias herramientas. Estas herramientas son las siguientes: Snort. Sistema de Deteccin de Intusos. Apache. Servidor Web. PHP. Lenguaje Script de soporte para el servidor web. MySQL. Base de Datos. BASE. Interfaz web para la visualizacin de alertas. Oinkmaster. Actualizacin de reglas automtica. PmGraph. Interfaz web para la visualizacin del rendimiento del sistema.
La instalacin y configuracin de estas herramientas ha sido explicada anteriormente. As que slo se explicar la configuracin de Snort de acuerdo con las caractersticas especficas de la red y la configuracin de Oinkmaster y Pmgraph que se vern posteriormente. La versin de Snort instalada ha sido la 2.8.2.1. Para su instalacin se ha seguido el proceso de instalacin manual. La configuracin de Snort se realiza editando el archivo de configuracin /etc/snort.conf. Las modificaciones realizadas sobre dicho archivo han sido las siguientes: En primer lugar se especifica el rango de direcciones de la red interna modificando la variable HOME_NET. En este caso la red interna a proteger es 193.147.118.0/24: var HOME_NET 193.147.118.0/24 Se indica la red externa, en este caso se va a indicar que la red externa puede ser cualquiera especificando para ello any: var EXTERNAL_NET any Se indica el directorio donde se encuentran almacenadas las reglas, modificando la variable RULE_PATH: var RULE_PATH /etc/snort/rules. Se especifica el directorio donde se encuentran los preprocesadores: var PREPROC_RULE_PATH /etc/snort/preproc_rules Se configura la lista de servidores. Esto permite a Snort buscar slo ataques que vayan dirigidos al tipo de servidores que se ha especificado. Para ello se utilizar
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
217
la tabla anterior, en la que se nombraba cada servidor junto con los puertos que tena abiertos que permiten identificar qu tipo de servicio ofrece cada servidor: o o o o o o o o o var DNS_SERVERS $HOME_NET var FTP_SERVERS [193.147.118.176/32,193.147.118.199/32] var SSH_SERVERS 193.147.118.176/32 var SMTP_SERVERS $HOME_NET var HTTP_SERVERS [193.147.118.176/32,193.147.118.218/32,193.147.118.199/32] var SQL_SERVERS $HOME_NET var TELNET_SERVERS $HOME_NET var SNMP_SERVERS $HOME_NET
As pues se indica la direccin IP de los servidores que tienen cada una de las funciones indicadas. Si bien los servidores que no estn presentes en la red, se indican con la variable any o se omiten Si se omiten habr que tener en cuenta tambin que se deben de comentar las reglas que utilicen dichos servidores. Se configura la lista de puertos de los servidores. Esto permite a Snort buscar ataques destinados a una aplicacin especfica slo en los puertos en los que la aplicacin se ejecuta. Los puertos indicados son los siguientes: o o o o o portvar HTTP_PORTS 80 portvar FTP_PORTS 21 portvar SSH_PORTS 22 portvar SHELLCODE_PORTS !80 portvar MYSQL_PORT 3306
Se cargan las libreras dinmicas: dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ Se carga el motor de deteccin dinmico desde el paquete de instalacin: dynamicengine /usr/lib/snort/dynamicengine/libsf_engine.so Se activan los preprocesadores que se quieren utilizar teniendo en cuenta los servicios que ofrecen los servidores que se quieren proteger. En este caso los principales servicios que proporcionan estos servidores son: ftp, http y ssh. As pues, se han activado los siguientes preprocesadores: o frag3 preprocessor frag3_global: max_frags 65536 preprocessor frag3_engine: policy first detect_anomalies o Stream5 preprocessor stream5_global: max_tcp 8192, track_tcp yes, \ track_udp no preprocessor stream5_tcp: policy first, use_static_footprint_sizes
o Perfmonitor
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
218
preprocessor perfmonitor: time 60 file /var/log/snort/snort.stats pktcnt 100 o Http_inspect preprocessor http_inspect: global \ iis_unicode_map unicode.map 1252 preprocessor http_inspect_server: server default \ profile all ports { 80 8080 8180 } oversize_dir_length 500 o Rpc_decode preprocessor rpc_decode: 111 32771 o Ftp_telnet preprocessor ftp_telnet: global \ encrypted_traffic yes \ inspection_type stateful preprocessor ftp_telnet_protocol: telnet \ normalize \ ayt_attack_thresh 200 preprocessor ftp_telnet_protocol: ftp server default \ def_max_param_len 100 \ alt_max_param_len 200 { CWD } \ cmd_validity MODE < char ASBCZ > \ cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \ chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \ telnet_cmds yes \ data_chan preprocessor ftp_telnet_protocol: ftp client default \ max_resp_len 256 \ bounce yes \ telnet_cmds yes o Sfportscan
preprocessor sfportscan: proto { all } \ memcap { 10000000 } \ sense_level { low }
o Ssh
preprocessor ssh: server_ports { 22 } \ max_client_bytes 19600 \ max_encrypted_packets 20
219
preprocessor dns: \ ports { 53 } \ enable_rdata_overflow Se configuran los plugins de salida. El principal plugin de salida que hay que activar y configurar es la base de datos mysql para que se puedan almacenar las alertas y poder visualizarlas con la interfaz BASE. output database: log, mysql, user=snort password=test dbname=snort host=localhost Otros mdulos de salida que se han activado son los formatos de log unified. Se trata de un formato binario para Snort diseado para ser rpido y eficiente. output alert_unified: filename snort.alert, limit 128 output log_unified: filename snort.log, limit 128 Se incluyen los archivos de configuracin: classification y reference: include classification.config include reference.config Se habilitan las reglas que se van a utilizar. Las reglas que se han activido estn relacionadas con los preprocesadores activados y por consiguiente con los servicios que se tiene especial inters en detectar ataques, como ftp, dns, ataques de denegacin de servicios, ataques web, virus, etc. include $RULE_PATH/local.rules include $RULE_PATH/bad-traffic.rules include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules include $RULE_PATH/ftp.rules include $RULE_PATH/dos.rules include $RULE_PATH/ddos.rules include $RULE_PATH/dns.rules include $RULE_PATH/web-cgi.rules include $RULE_PATH/web-coldfusion.rules include $RULE_PATH/web-iis.rules include $RULE_PATH/web-frontpage.rules include $RULE_PATH/web-client.rules include $RULE_PATH/web-php.rules include $RULE_PATH/x11.rules include $RULE_PATH/netbios.rules include $RULE_PATH/attack-responses.rules include $RULE_PATH/mysql.rules include $RULE_PATH/pop3.rules include $RULE_PATH/web-attacks.rules include $RULE_PATH/virus.rules En el Anexo [1] que se adjunta en el CD-ROM, se puede ver el archivo de configuracin de Snort, que se ha utilizado para su integracin en el esquema de red del Departamento.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
220
3.3
Para obtener un conjunto de reglas de Snort que se actualice automticamente se ha instalado la herramienta Oinkmaster (http://oinkmaster.sourceforge.net/), siendo necesario el cdigo de suscripcin de www.snort.org. Su instalacin ha sido explicada anteriormente en la Configuracin avanzada de Snort. As que slo se comentar que para que la actualizacin se haga automticamente se ha actualizado el servicio croad de la siguiente forma: PATH=/usr/local/bin 0 1 * * * /usr/local/bin/oinkmaster.pl o /etc/snort La sintaxis de la programacin de las tareas es: minuto hora da mes da_semana tarea As pues se ha programado el crontab para que la actualizacin se realice a la 1:00h. de cada da. Por otro lado se ha instalado tambin PmGraph para mostrar el rendimiento del IDS Snort. Para ello, es necesario especificar en el archivo de configuracin de Snort: /etc/snort/snort.conf, el preprocesador pefmonitor de la siguiente forma: preprocesor perfmonitor: time 60 file /var/log/snort/perfmon.txt pktcnt 100 [lnea 431] donde time 60, indica que el fichero debe de generarse cada 60 segundos. Con file /var/log/snort/perfmon.txt se indica el fichero que se genera; y pktcnt 100, indica que se ajusta el nmero de paquetes a procesar antes de que finalice el tiempo especificado a 100. Para que se generen automticamente las pginas web de rendimiento de PmGraph se edita tambin el crontab y se aade el siguiente comando para que se generen las alertas desde el fichero snort.stats cada 60 segundos: */1 * * * * /var/log/snort/snort.stats /usr/local/bin/pmgraph.pl /var/www/html/rendimiento
En la figura 5-6, se puede ver el contenido final del crontab, de forma que se ejecuten automticamente el oinkmaster y pmgraph.
221
Finalmente si se visita la pgina web http://localhost/perfstats/perfstats.tml se podr ver el rendimiento del sistema (vase la figura 5-7).
3.4
Una vez que se han instalado y configurado todas las herramientas y se ha configurado adecuadamente la red, queda poner en funcionamiento el sistema. Para ello, habr que arrancar como servicios el servidor MySQL, el servidor Apache y Snort. Para arrancar los servicios se puede utilizar el comando service nombre_servicio start: service mysqld start service httpd start service snortd start Para que estos servicios arranquen de forma automtica se pueden incluir los comandos de arranque en el fichero /etc/rc.d/rc.local Para arrancar los servicios automticamente otra forma es utilizar el comando chkconfig, habilitando cada servicio en los niveles de ejecucin adecuados. En este caso se habilitan los servicios en todos los niveles de ejecucin como se indica a continuacin: chkconfig --level 0123456 mysqld on
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
222
chkconfig --level 0123456 httpd on chkconfig --level 0123456 snortd on Una vez puesto en funcionamiento el sistema se ha dejado el sistema funcionando varias semanas para capturar datos suficientes para el anlisis de los resultados que se mostrar a continuacin.
3.5
Prueba de carga
Se ha realizado una prueba de carga para comprobar el rendimiento del sistema que funciona como IDS. Para ello, se ha utilizado un servidor y se han enviado ataques procedentes del Dataset Darpa 1999, haciendo uso de la herramienta Bittwist. En dicha prueba se ha ido incrementando la velocidad de envo de los paquetes progresivamente para evaluar el rendimiento que muestra el sistema. Se ha cogido un archivo del Dataset, en concreto el perteneciente al lunes de la 3 semana de entrenamiento de 1999 para realizar las pruebas. En primer lugar se ha probado que con una tasa de envo de 5000 Mbps, el paquete ha tardado unos 25 segundos en llegar y con una velocidad de 1000 Mbps tarda 19 segundos. Con esta velocidad de envo el servidor se saturara rpidamente. As pues, lo que se pretende es enviar datos con la misma tasa de forma mantenida y posteriormente ir aumentando progresivamente la velocidad en la que se envan los paquetes: Se han realizado las siguientes ejecuciones: Ejecucin 1. bittwist i eth1 m0 r 10 prueba Ejecucin 2. bittwist i eth1 m0 r 50 prueba Ejecucin 3. bittwist i eth1 m0 r 100 prueba Ejecucin 4. bittwist i eth1 m0 r 200 prueba
As, se ejecuta bittwist enviando el archivo con los ataques llamado prueba. Con la opcin i se indica que se enven los datos por la interfaz eth1, con la opcin m se indica el intervalo que multiplica a la velocidad (si el valor es 0 o menos se enva el siguiente paquete inmediatamente) y con el parmetro r se limita el ratio de envo en Mbps. De esta forma en estas cuatro ejecuciones se ha ido aumentando la tasa de envo en Mbps. Cada ejecucin se ha escrito en un fichero 10 veces (para enviar a la misma velocidad una cantidad de datos que nos permita visualizar los resultados) y posteriormente se ha ejecutado dicho fichero. Seguidamente se muestran las grficas obtenidas de los resultados del rendimiento y posteriormente se comentarn los resultados de las ejecuciones anteriores:
223
224
225
En primer lugar, en la Figura 5-8, se muestran los paquetes descartados por el sistema. Como se puede observar, hasta las 16:20 se estn enviando paquetes de la Ejecucin 1 a un ratio de 10 Mbps y en este tramo no se est perdiendo prcticamente ningn paquete. A partir de la segunda ejecucin al aumentar la velocidad de envo de los paquetes, aumentan los paquetes descartados y no sern analizados por el IDS. Hasta el punto que en la Ejecucin 4 a 200 Mbps, se alcanza la cota ms elevada de paquetes descartados cercana al 80%. Estos datos nos informan de que estos paquetes descartados por el sistema no han sido analizados por el IDS, con lo cual ser un dato a tener en cuenta ya que si el nmero de paquetes descartados es muy elevado, ser porque el rendimiento del sistema se est viendo afectado. As pues, para obtener un buen rendimiento del sistema y que el IDS analice la mayor parte de los paquetes que atraviesan la red, el trfico debe de tener una velocidad que sea cercana a 10 Mbps. En cuanto a las alertas por segundo mostradas en la Figura 5-9, se puede ver que el nmero de alertas por segundo ha sido mayor a partir de la Segunda Ejecucin. Alcanzando sus valores ms altos en la ltima ejecucin cuyo ratio era de 200 Mbps. Esto se debe a que al aumentar la velocidad de envo, y siendo los mismos paquetes los enviados, se obtendrn mayor nmero de alertas por segundo cuanto mayor sea la tasa de envo. En la grfica de la Figura 5-10, se muestra la cantidad de datos registrados en unidades de Mbit por segundo. En esta grfica, se puede observar la cantidad de datos en Mbit/seg. obtenida en la red, en la capa de aplicacin, y la cantidad que se ha fragmentado en la red. De estos datos se obtiene que en la primera ejecucin con una tasa de envo de 10 Mbps, la cantidad de datos enviados se mantiene constante. Si bien al aumentar la velocidad, va variando la cantidad de datos que viajan por la red y en la capa de aplicacin. En cuanto a las grficas 5-11 que muestran los Kpaquetes enviados por segundo, la grfica 5-12 referente a los paquetes SYN y SYN/ACK por segundo y la grfica 5-13 que muestra los eventos de sesin por segundo, muestran la misma evolucin que en la grfica anterior, si bien se presentan mayores irregularidades. En la grfica 5-14 que muestra las sesiones abiertas y el mximo de sesiones, se observa que en la primera ejecucin las sesiones abiertas se mantienen constantes y estn situadas en el mximo de sesiones a esa velocidad. Si bien conforme aumenta la tasa de envo, adems de aumentar el nmero de sesiones mximo se puede observar como el nmero de sesiones abiertas tiende a variar registrndose picos en la grfica.
226
El flujo de eventos por segundo que se puede ver en la grfica 5-15 presenta las mismas variaciones que se presentan en el caso de las figuras 5-11, 5-12, y 5-13, en el caso de los flujos limpios y los flujos defectuosos se mantiene fijo en un valor nulo. La grfica 5-16, se representan los eventos de fragmentos por segundo que han sido creados, completados, insertados, eliminados, limpiados y los timeouts que se han producido. En este caso se producen los timeouts ms elevados cuanto menor es la tasa de envo. Mientras que los eventos de fragmentos insertados vara ms o menos uniformemente en todas las ejecuciones. La media de Bytes que contiene cada paquete (vase la figura 5-17) est entre 200 y 400 bytes por paquete. Si bien se muestra un aumento en la ltima ejecucin. Finalmente las estadsticas de CPU, mostradas en la figura 5-18, muestran el uso de CPU de usuario, de sistema y el porcentaje en el cual la CPU ha estado ociosa. Como se puede ver, en la Ejecucin 1, cuando la velocidad de envo es menor la CPU se encuentra prcticamente sin actividad, y el uso de CPU de usuario y del sistema es muy bajo. Conforme aumenta el ratio, la CPU est menos ociosa y aumenta el uso de CPU tanto de usuario como de sistema. Con los resultados obtenidos, se puede evaluar el rendimiento del sistema. As pues, los mejores resultados tanto de paquetes procesados, como de uso de CPU, se obtienen con valores cercanos a una tasa de 10 Mbps. Ya que si se aumenta considerablemente la tasa de envo, los resultados obtenidos son poco eficientes, puesto que se descartan muchos paquetes y el uso de CPU aumenta considerablemente. Si se siguiera aumentando la tasa de envo, llegara un punto que el IDS se saturara y su rendimiento se vera gravemente afectado.
Resultados obtenidos
En este punto se analizarn los resultados obtenidos por el IDS Snort, tras varias semanas de ejecucin. Se vern los tipos de alertas generadas, la cantidad de las mismas, las direcciones IP que intervienen como fuente y como destino, etc. Asimismo, se pretende analizar el rendimiento mediante PmGraph.
4.1
En la pgina inicial del BASE, se muestra un resumen de las alertas registradas, el nmero de direcciones IP origen y destino, el nmero de puertos TCP y UDP que intervienen, as como las principales opciones que ofrece esta interfaz para visualizar la actividad generada. En la figura 5-19, se muestra la pantalla principal del BASE.
227
Se puede observar que se ha registrado un 89 % de trfico TCP y un 11 % de trfico de exploracin de puertos. Tambin nos informa del nmero de alertas nicas, que se corresponden con los distintos tipos de ataques registrados que en este caso han sido 26 y que se agrupan en 5 categoras. Otro dato que se puede observar es el nmero total de alertas 77982. Adems nos informa del nmero de direcciones IP origen destino, puertos de origen (TCP y UDP), y puertos destino (TCP y UDP). Pulsando en cada uno de los enlaces se podrn visualizar y obtener informacin ms detallada de cada una de las opciones. Tambin permite obtener grficas de las alertas pinchando la opcin: Hacer grfica de datos de alerta.
4.2
Alertas generadas
En primer lugar se pretende mostrar los tipos de alertas que el Sistema de Deteccin de Intrusos ha detectado en la red del Departamento, junto con una descripcin de las mismas y otros aspectos como el nmero de alertas de cada tipo y el nmero de direcciones IP origen y destino distintas que han intervenido en cada alerta. En la tabla 5-2 se muestra la informacin referente a las alertas generadas.
228
[snort] (http_inspect) BARE BYTE UNICODE ENCODING [snort] (http_inspect) OVERSIZE REQUEST-URI DIRECTORY [snort] (http_inspect) DOUBLE DECODING ATTACK [snort] (http_inspect) WEBROOT DIRECTORY TRAVERSAL [local] [snort] ATTACKRESPONSES 403 Forbidden [url] [local] [snort] ATTACKRESPONSES Invalid URL [local] [snort] WEB-CGI calendar access
Este evento es generado cuando el preprocesador http_inspect descubre trfico de red que puede constituir un ataque. Este evento es generado cuando el preprocesador http_inspect descubre el trfico de red que puede constituir un ataque. Este evento es generado cuando el preprocesador http_inspect descubre el trfico de red que puede constituir un ataque. Este evento es generado cuando el preprocesador http_inspect descubre el trfico de red que puede constituir un ataque. Este evento es generado cuando tiene lugar una respuesta de cdigo de error 403 retornado por un servidor web. Este evento es generado cuando se enva una respuesta de URL invlida desde un servidor web a un cliente. Este evento es generado cuando ocurre un intento de acceso a una aplicacin web que puede permitir la exploracin de la aplicacin. Este evento es generado cuando el preprocesador sfPortscan detecta trfico de red que puede constituir un ataque. Especficamente se detecta un escneo de puertos tcp. Este evento es generado cuando el preprocesador sfPortscan detecta trfico de red que puede
desclasificado
desclasificado
10772(14%)
16
desclasificado
286(0%)
90
desclasificado
44(0%)
19
attemptedrecon
107(0%)
51
attemptedrecon
45(0%)
20
attemptedrecon
1972(3%)
15
desclasificado
3(0%)
desclasificado
8129(10%)
1141
229
[nessus] [cve] [icat] [bugtraq] [bugtraq] [arachNIDS] [local] [snort] WEB-IIS view source via translate header [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] WEBPHP admin.php access [snort] (ftp_telnet) FTP command parameters were malformed [snort] (ftp_telnet) Invalid FTP Command [url] [nessus] [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [arachNIDS] [local] [snort] WEBFRONTPAGE shtml.dll access [nessus] [local] [snort] WEBFRONTPAGE /_vti_bin/ access
constituir un ataque. Especficamente se detecta un puerto abierto. Este evento es generado cuando tiene lugar un intento de atacar una URL que contiene el texto Translate: f en un intento de ver el cdigo fuente. Este evento es generado cuando hay un intento de explorar una vulnerabilidad de autentificacin en un servidor web o una aplicacin ejecutndose en el servidor web. Este evento es generado cuando el preprocesador ftp-telnet detecta trfico de red anmalo. Este evento es generado cuando el preprocesador ftp-telnet detecta trfico de red anmalo. Este evento es generado por un intento de explorar una vulnerabilidad en un servidor web ejecutando Microsoft Frontpage Server Extensions.
webapplicationactivity
148(0%)
25
attemptedrecon
5(0%)
desclasificado
260(0%)
desclasificado
1(0%)
webapplicationactivity
3(0%)
[nessus] [cve] [icat] [bugtraq] [local] [snort] WEBFRONTPAGE _vti_rpc access [snort] (http_inspect) IIS UNICODE CODEPOINT
Este evento es generado por un intento de explorar una vulnerabilidad en un servidor web ejecutando Microsoft Frontpage Server Extensions. Este evento es generado por un intento de explorar una vulnerabilidad en un servidor web ejecutando Microsoft Frontpage Server Extensions. Este evento se genera por cuando el preprocesador http_inspect detecta trfico de red que puede
webapplicationactivity
4(0%)
webapplicationactivity
3(0%)
desclasificado
47(0%)
230
ENCODING [snort] (http_inspect) OVERSIZE CHUNK ENCODING [local] [snort] NETBIOS SMB-DS repeated logon failure [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-CGI htmlscript access
constituir un ataque. Este evento se genera por cuando el preprocesador http_inspect detecta trfico de red que puede constituir un ataque. Este evento es generado cuando sucede un intento de acceso a un SMB compartido. Este evento es generado cuando tiene lugar una exploracin de una vulnerabilidad conocidad en una aplicacin web CGI ejecutndose en un servidor. Este evento es generado cuando el preprocesador sfPortscan detecta el trfico de red que puede constituir un ataque. Especficamente se ha detectado un portsweep tcp. Este evento no tiene documentacin.
desclasificado
21(0%)
unsuccessfuluser
3(0%)
attemptedrecon
1(0%)
desclasificado
80(0%)
16
[snort] (spp_ssh) Payload size incorrect for the given payload [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-PHP Mambo upload.php access [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-PHP Mambo upload.php access [local] [snort] ATTACKRESPONSES id check returned root
desclasificado
1(0%)
Este evento es generado cuando tiene lugar un intento de explorar una vulnerabilidad conocida en el Mambo Site Server.
webapplicationactivity
1 1(0%)
Este evento es generado cuando tiene lugar un intento de explorar una vulnerabilidad conocida en el Mambo Site Server.
desclasificado
1(0%)
Este evento es generado por el uso de un comando UNIX id. Esto puede ser indicativo de un comportamiento posterior a un ataque comprometedor de un atacante que chequea para ganar privilegios de superusuario a travs de
bad-unknown
3(0%)
231
desclasificado
6(0%)
En la tabla 5-2, se pueden observar ataques sobre todo va web como WEB-PHP Mambo upload.php access, WEB-FRONTPAGE _vti_rpc access, WEB-PHP admin.php access, WEB-CGI htmlscript access, de ATTACK-RESPONSES, WEB-CGI calendar access, (http_inspect) BARE BYTE UNICODE ENCODING, (http_inspect) OVERSIZE REQUEST-URI DIRECTORY, etc. De hecho, es en estas alertas donde se registra un mayor nmero de las mismas, ya que (http_inspect) BARE BYTE UNICODE ENCODING representa el 72 % de las alertas con un total de 55925 alertas. Otos ataques detectados son referentes a puertos abiertos, o escneo de puertos, siendo destacable que en puertos abiertos se ha registrado el mayor nmero de direcciones IP destino distintas con un total de 1141 direcciones distintas. Tambin se han registrado otro tipo de ataques si bien en menor medida, como en el caso de alertas ftp.
4.3
Seguidamente se muestran las direcciones IP origen y destino que intervienen en cada ataque as como el nmero de veces que aparece cada direccin (vense las tablas desde 5-3 hasta la 5-28). Tambin comentar que para ver informacin referente a una direccin IP en concreto, se ha utilizado la pgina web: http://cqcounter.com/whois/ si bien desde el propio BASE, tambin se puede obtener informacin referente a las direcciones IP. Tabla 5-3. Firma: [snort] (http_inspect) BARE BYTE UNICODE ENCODING Direcciones Ip Origen
69.64.49.13 77.208.43.1 77.208.122.160 79.152.218.111 79.154.101.59 79.154.102.213 83.231.62.196 87.242.113.73 189.192.184.50 190.76.103.138 192.168.20.241 192.168.21.76 193.147.118.163 193.147.118.172 193.147.118.199
N Total
11 3 1 1 3 2 2 2 1 1 2 1 6 1 19056
Direcciones Ip Destino
150.214.156.75 193.147.118.39 193.147.118.176 193.147.118.199 193.147.118.218 193.147.118.223 193.147.118.230
N Total
55864 18 4 33 3 3 8
232
193.147.118.218 193.147.118.230 194.109.21.230 195.159.196.242 196.203.109.233 200.52.173.3 200.52.173.8 200.52.196.15 213.37.125.12 217.217.18.174 217.217.31.239 217.217.82.159 217.217.85.169 217.217.86.197
17736 19072 10 3 6 1 1 1 1 2 1 2 3 1
De las direcciones IP origen que ms intervienen en el ataque con firma: [snort] (http_inspect) BARE BYTE UNICODE ENCODING estn 193.147.118.199 (que se corresponde con el servidor acacia.ual.es), 193.147.118.218 (servidor lsi.ual.es) y 193.147.118.230 (servidor bdsi.ual.es). Entre las direcciones IP destino la que mayor nmero de veces interviene en las alertas generadas es 150.214.156.75 (host llamado veleta.ual.es).
Tabla 5-4. Firma: [snort] (http_inspect) OVERSIZE REQUEST-URI DIRECTORY Direcciones Ip Origen
79.152.218.111 79.154.101.59 79.154.102.213 83.33.110.128 83.231.62.196 190.128.175.50 192.168.20.241 193.147.118.163 193.147.118.172 193.147.118.199 193.147.118.218 193.147.118.230 196.203.109.233 217.217.18.174 217.217.85.169 217.217.86.197
N Total
1 3 1 1 1 1 2 6 1 10581 96 96 6 2 3 1
Direcciones Ip Destino
4.71.209.7 150.214.156.75 193.147.118.39 193.147.118.176 193.147.118.199 193.147.118.218 193.147.118.223 193.147.118.230
N Total
2 10771 2 2 22 1 1 1
La direccin IP origen que ms interviene en el ataque con firma: [snort] (http_inspect) OVERSIZE REQUEST-URI DIRECTORY es 193.147.118.199 (servidor acacia.ual.es).
233
La direccin IP destino que registra mayor nmero de alertas de este tipo es 150.214.156.75 (host llamado veleta.ual.es) al igual que en el ataque anterior.
Tabla 5-5. Firma: [snort] (http_inspect) DOUBLE DECODING ATTACK Direcciones Ip Origen
79.144.99.155 80.103.118.29 81.44.20.15 83.61.214.177 84.79.91.134 85.57.3.133 85.57.16.4 85.57.17.47 85.57.25.79 85.60.241.66 88.11.48.196 88.11.58.57 88.16.22.224 88.19.110.124 88.25.93.234 88.25.250.209 172.16.5.1 172.16.5.2 172.16.5.3 172.16.5.4 172.16.5.5 172.16.5.7 172.16.5.8 172.16.5.9 172.16.5.10 172.16.5.11 172.16.5.12 172.16.5.13 172.16.5.14 172.16.5.16 172.16.5.17 172.16.5.18 172.16.5.19 172.16.5.20 172.16.5.21 172.16.5.22 172.16.5.23 172.16.5.24 172.16.5.25 172.16.14.0 172.16.14.5 172.16.14.6 172.16.14.7 172.16.14.12 172.16.14.13
N Total
1 3 2 3 6 1 6 1 2 1 1 1 1 2 1 1 7 1 3 6 3 21 9 2 11 6 8 1 1 8 3 11 1 6 6 9 13 4 3 4 1 1 1 5 1
Direcciones Ip Destino
193.147.118.199
N Total
288
234
1 1 3
En el ataque con firma: [snort] (http_inspect) DOUBLE DECODING ATTACK la direccin IP origen que ms aparece es 172.16.5.7. El nico servidor destino de este ataque es 193.147.118.199 (servidor acacia.ual.es). Tabla 5-6. Firma: [snort] (http_inspect) WEBROOT DIRECTORY TRAVERSAL Direcciones Ip Origen
79.147.184.163 79.152.218.111 79.154.101.59 79.154.102.213 83.61.210.187 150.214.154.6 172.16.3.5 172.16.3.7 172.16.3.8 172.16.3.9 172.16.3.14 192.168.5.18 192.168.21.29 193.147.118.26 193.147.118.84 217.217.23.115 217.217.82.159 217.217.85.169 217.217.86.197
N Total
2 2 2 2 2 2 2 2 2 2 2 3 1 2 2 2 4 5 3
Direcciones Ip Destino
193.147.118.199
N Total
44
En el ataque con firma: [snort] (http_inspect) WEBROOT DIRECTORY TRAVERSAL la direccin IP origen que ms ataques genera es 217.217.85.169 (host 217.217.85.169.dyn.user.ono.com), si bien en este caso, hay bastante similitud en cuanto a nmero de veces que intervienen las direcciones IP. La nica direccin IP destino que interviene es 193.147.118.199 (servidor acacia.ual.es). Tabla 5-7. Firma: [local] [snort] ATTACK-RESPONSES 403 Forbidden Direcciones Ip Origen
193.147.118.176 193.147.118.199 193.147.118.218
N Total
3 101 4
Direcciones Ip Destino
66.249.67.21 74.6.22.107 74.218.125.11 79.144.99.155
N Total
3 1 1 1
Captulo 5. Puesta en marcha de un IDS en la UAL 79.147.184.163 79.152.218.111 79.154.101.59 79.154.102.213 83.57.66.22 83.61.210.187 84.79.91.134 84.126.213.4 88.25.250.209 89.28.10.93 150.214.154.6 172.16.3.5 172.16.3.7 172.16.3.8 172.16.3.9 172.16.3.14 172.16.5.1 172.16.5.3 172.16.5.4 172.16.5.7 172.16.5.8 172.16.5.10 172.16.5.12 172.16.5.16 172.16.5.18 172.16.5.20 172.16.5.21 172.16.5.23 172.173.213.137 190.11.7.160 192.168.2.185 192.168.5.18 192.168.21.29 192.168.21.166 193.138.212.140 193.147.118.26 193.147.118.28 193.147.118.84 193.147.118.163 193.147.118.224 207.36.209.192 212.142.138.168 217.217.23.115 217.217.48.143 2 2 2 2 1 2 2 1 12 1 2 2 2 2 2 2 1 1 1 3 2 1 1 1 1 1 1 1 1 1 1 3 1 1 2 2 2 2 3 1 1 1 2 4
235
En este caso slo hay tres direcciones IP distintas de origen que envan el ataque con firma [local] [snort] ATTACK-RESPONSES 403 Forbidden. Estas tres direcciones corresponden a los servidores: 193.147.118.176 (sauce.ual.es), 193.147.118.199
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
236
(acacia.ual.es) y 193.147.118.218 (lsi.ual.es), siendo el servidor acacia el que ms alertas origina. Entre las direcciones IP destino, la que recibe un mayor nmero de ataques de este tipo es: 88.25.250.209 (209.Red-88-25-250.staticIP.rima-tde.net). Tabla 5-8. Firma: [url] [local] [snort] ATTACK-RESPONSES Invalid URL Direcciones Ip Origen
193.147.118.199
N Total
45
Direcciones Ip Destino
79.147.184.163 79.152.218.111 79.154.101.59 79.154.102.213 83.61.210.187 150.214.154.6 172.16.3.5 172.16.3.7 172.16.3.8 172.16.3.9 172.16.3.14 192.168.5.18 192.168.21.29 193.147.118.26 193.147.118.84 195.159.196.242 217.217.23.115 217.217.82.159 217.217.85.169 217.217.86.197
N Total
2 2 2 2 2 2 2 2 2 2 2 3 1 2 2 1 2 4 5 3
Para el ataque con firma [url][local] [snort] ATTACK-RESPONSES Invalid URL slo hay una direccin IP origen. Esta IP es la perteneciente al servidor acacial.ual.es (193.147.118.199). Entre las direcciones IP destino, la que recibe un mayor nmero de ataques es: 217.217.85.169 (217.217.85.169.dyn.user.ono.com). Tabla 5-9. Firma: [local] [snort] WEB-CGI calendar access Direcciones Ip Origen
65.55.212.215 66.249.65.171 66.249.66.19 66.249.67.3 66.249.71.22 66.249.71.23 66.249.71.24 79.155.218.102 80.31.11.136
N Total
1 1 1 1591 170 142 124 1 1
Direcciones Ip Destino
193.147.118.176 193.147.118.218
N Total
3 2041
Captulo 5. Puesta en marcha de un IDS en la UAL 81.33.88.30 83.44.59.151 150.214.40.116 172.16.15.16 192.168.5.13 192.168.20.133 1 1 1 3 1 5
237
Para el ataque con firma [local] [snort] WEB-CGI calendar access, las direcciones IP origen que mayor nmero de alertas provocan son: principalmente 66.249.67.3 (host crawl-66-249-67-3.googlebot.com), y otros como 66.249.71.22 (crawl-66-249-7122.googlebot.com). De direcciones IP destino slo aparecen dos y pertenecen a los servidores: 193.147.118.176 (sauce.ual.es) y 193.147.118.218 (lsi.ual.es). Tabla 5-10. Firma: [snort] (portscan) TCP Portscan Direcciones Ip Origen
84.60.234.133 150.214.153.155 221.120.210.36
N Total
1 1 1
Direcciones Ip Destino
193.147.118.39 193.147.118.223 193.147.118.230
N Total
1 1 1
El ataque de escaneo de puertos TCP con firma [snort] (portscan) TCP Portscan, tiene tres direcciones IP origen y tres direcciones IP destino distintas, todas ellas envan o reciben nicamente un ataque. Las direcciones IP origen que intervienen son: 84.60.234.133 (host dslb-084-060-234-133.pools.arcor-ip.net), 150.214.153.155 y 221.120.210.36 (host lhr63.pie.net.pk). En cuanto a las direcciones IP destinto son todas direcciones pertenecientes a servidores del departamento y al IDS: indalog.ual.es (193.147.118.39), 193.147.118.223 (IDS Snort) y 193.147.118.230 (bdsi.ual.es).P Portscan Tabla 5-11. Firma: [snort] (portscan) Open Port Direcciones Ip Origen
84.60.234.133 150.214.153.155 193.147.118.199 193.147.118.223 193.147.118.230 221.120.210.36
N Total
3 4 4 23 6205 1890
Direcciones Ip Destino
81.80.2.91 81.80.2.94 81.80.2.105 81.80.3.11 81.80.3.140 81.80.3.141 81.80.3.153 81.80.3.167 81.80.3.168 81.80.3.169 81.80.3.170 81.80.3.171 81.80.3.172
N Total
1 1 1 1 1 1 1 1 1 1 1 1 1
238
81.80.3.174 81.80.3.187 130.208.16.26 130.208.16.31 150.214.5.134 157.88.36.5 172.16.16.8 172.16.16.10 172.16.16.13 172.16.16.20 193.91.48.1 193.91.48.2 193.91.48.3 193.91.48.7 193.91.48.10 193.91.48.11 193.91.48.12 193.91.48.14 193.91.48.15 193.91.48.16 193.91.48.17 193.91.48.18 193.91.48.19 193.91.48.21 193.91.48.23 193.91.48.24 193.91.48.107 193.91.48.108 193.91.48.109 193.91.48.110 193.91.48.111 193.91.48.112 193.91.48.113 193.91.48.114 193.91.48.115
1 1 3 1 4 1 1 1 1 1 1 1 1 2 2 233 259 232 228 260 251 234 253 251 182 207 1 1 1 1 1 1 1 1 1
El ataque correspondiente a [snort] (portscan) Open Port, tiene entre las direcciones IP origen con mayor nmero de alertas: 193.147.118.230 (servidor bdsi.ual.es) y el host (lhr63.pie.net.pk), En cuanto a las direcciones IP destino, como se ha dicho anteriormente, este ataque es el que posea un mayor nmero de direcciones IP destino. Entre las direcciones IP destino que reciben un mayor nmero de este ataque de puertos estn direcciones IP COMO 193.91.48.16 (host ip193.91.48.16.dnsreferer.nl) y 193.91.48.12 (host ip193.91.48.12.dnsreferer.nl).
239
Tabla 5-12. Firma: [nessus] [cve] [icat] [bugtraq] [bugtraq] [arachNIDS] [local] [snort] WEB-IIS view source via translate header Direcciones Ip Origen
79.144.99.155 84.79.91.134 88.11.48.196 88.25.250.209 172.16.5.1 172.16.5.3 172.16.5.4 172.16.5.7 172.16.5.8 172.16.5.10 172.16.5.12 172.16.5.16 172.16.5.18 172.16.5.20 172.16.5.21 172.16.5.22 172.16.5.23 192.168.2.185 192.168.21.166 193.147.118.28 193.147.118.163 193.147.118.224 217.217.48.143 217.217.51.56 217.217.92.151
N Total
3 8 2 21 2 3 2 10 5 5 3 3 5 5 3 2 3 3 3 6 9 5 9 2 26
Direcciones Ip Destino
193.147.118.199
N Total
148
El ataque [nessus] [cve] [icat] [bugtraq] [bugtraq] [arachNIDS] [local] [snort] WEBIIS view source via translate header, tiene como direccin IP origen con mayor nmero alertas generadas 217.217.92.151 (host 217.217.92.151.dyn.user.ono.com). La nica direccin IP destino a la que van destinadas las alertas de este tipo es el servidor del Departamento acacia.ual.es (193.147.118.199). Tabla 5-13. Firma: [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] WEB-PHP admin.php access Direcciones Ip Origen
193.147.118.182
N Total
5
Direcciones Ip Destino
193.147.118.176
N Total
5
El ataque [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [local] [snort] WEB-PHP admin.php access slo est originado por la IP 193.147.118.182 y va destinado al servidor sauce.ual.es (193.147.118.176).
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
240
Tabla 5-14. Firma: [snort] (ftp_telnet) FTP command parameters were malformed Direcciones Ip Origen
79.146.113.155 83.50.51.131 130.203.153.78 217.217.30.25 217.217.34.234
N Total
1 1 252 2 4
Direcciones Ip Destino
193.147.118.176
N Total
260
El ataque ftp detectado por el preprocesador ftp_telnet y cuya firma es: [snort] (ftp_telnet) FTP command parameters were malformed, est originado principalmente por la IP origen 130.203.153.78. Todas las alertas van destinadas al servidor sauce.ual.es (193.147.118.176). Tabla 5-15. Firma: [snort] (ftp_telnet) Invalid FTP Command Direcciones Ip Origen
87.79.40.245 91.121.77.162
N Total
1 1
Direcciones Ip Destino
193.147.118.230
N Total
2
El otro ataque ftp que se ha detectado es: [snort] (ftp_telnet) Invalid FTP Command, est originado por las direcciones IP 87.79.40.245 (host xdsl-87-79-40245.netcologne.de) y 91.121.77.162 (host ks26421.kimsufi.com). Estos ataques van dirigidos nicamente al servidor bdsi.ual.es (193.147.118.230). Tabla 5-16. Firma: [url] [nessus] [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [arachNIDS] [local] [snort] WEB-FRONTPAGE shtml.dll access Direcciones Ip Origen
88.25.250.209 217.217.92.151
N Total
1 2
Direcciones Ip Destino
193.147.118.199
N Total
3
La alerta correspondiente a la firma [url] [nessus] [cve] [icat] [cve] [icat] [bugtraq] [bugtraq] [bugtraq] [arachNIDS] [local] [snort] WEB-FRONTPAGE shtml.dll access tienen como direccin IP origen los hosts 88.25.250.209 (Red-88-25-250.staticIP.rimatde.net) y 217.217.92.151 (217.217.92.151.dyn.user.ono.com) Ambos hosts destinan el ataque WEB-FRONTPAGE shtml.dll access al serviddor acacia.ual.es.
241
Tabla 5-17. Firma: [nessus] [local] [snort] WEB-FRONTPAGE /_vti_bin/ access Direcciones Ip Origen
88.25.250.209 200.88.142.243 217.217.92.151
N Total
1 1 2
Direcciones Ip Destino
193.147.118.199
N Total
4
Otro ataque WEB-Frontpage, est vez con firma: tiene como direcciones origen hosts fuera de la red del departamento correspondientes a las IPs 88.25.250.209 (Red88-25-250.staticIP.rima-tde.net), 217.217.92.151 (217.217.92.151.dyn.user.ono.com) y 200.88.142.243 (tdev142-243.codetel.net.do). Estos ataques se diregen nuevamente al servidor acacia.ual.es (193.147.118.199). Tabla 5-18. Firma: [nessus] [cve] [icat] [bugtraq] [local] [snort] WEBFRONTPAGE _vti_rpc access Direcciones Ip Origen
88.25.250.209 217.217.92.151
N Total
1 2
Direcciones Ip Destino
193.147.118.199
N Total
3
En este otro tipo de ataque que es una variante de los dos anteriores, en concreto [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-FRONTPAGE _vti_rpc access, tambin intervienen dos de las direcciones IP que intervienen anteriormente: 88.25.250.209 (Red-88-25-250.staticIP.rima-tde.net) y 217.217.92.151 (217.217.92.151.dyn.user.ono.com) y tambin se destinan al servidor acacia.ual.es. Tabla 5-19. Firma: [snort] (http_inspect) IIS UNICODE CODEPOINT ENCODING Direcciones Ip Origen
79.146.113.155 79.155.218.102 80.31.11.136 80.36.41.36 83.33.110.128 192.168.20.105 193.147.118.182
N Total
1 2 1 2 32 2 7
Direcciones Ip Destino
193.147.118.176
N Total
1
Uno de los ataques detectados por el preprocesador http_inspect y cuya firma es: [snort] (http_inspect) IIS UNICODE CODEPOINT ENCODING tiene como principal direccin IP fuente la 83.33.110.128 (host 128.Red-83-33-110.dynamicIP.rima-tde.net). De direcciones IP destino est el servidor sauce.ual.es (193.147.118.176).
242
Tabla 5-20. Firma: [snort] (http_inspect) OVERSIZE CHUNK ENCODING Direcciones Ip Origen
79.146.113.155 192.168.20.91 192.168.20.105 192.168.20.196 213.37.125.12 217.217.18.174
N Total
4 1 13 1 1 1
Direcciones Ip Destino
193.147.118.176 193.147.118.199
N Total
20 1
Otro de los ataques detectados por el preprocesador http_inspect es: [snort] (http_inspect) OVERSIZE CHUNK ENCODING tiene como principal direccin IP origen del ataque la direccin IP 192.168.20.91. Este ataque va dirigido a dos servidores del Departamento a sauce.ual.es (193.147.118.176) y a acacia.ual.es (193.147.118.199).
Tabla 5-21. Firma: [local] [snort] NETBIOS SMB-DS repeated logon failure Direcciones Ip Origen
193.147.118.199
N Total
3
Direcciones Ip Destino
193.147.118.72
N Total
3
Este ataque cuya firma es [local] [snort] NETBIOS SMB-DS repeated logon failure, tiene un nico atacante origen que es el servidor 193.147.118.199 (acacia.ual.es) y va destinado a un servidor de la universidad llamado aparq.ace.ual.es (193.147.118.72). Tabla 5-22. Firma: [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-CGI htmlscript access Direcciones Ip Origen
66.249.71.27
N Total
1
Direcciones Ip Destino
193.147.118.199
N Total
1
El ataque cuya firma es [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-CGI htmlscript access, tiene una nica direccin IP origen que es 66.249.71.27 (crawl-66249-71-27.googlebot.com) y va destinado al servidor acacia.ual.es (193.147.118.199). Tabla 5-23. Firma: [snort] (portscan) TCP Portsweep Direcciones Ip Origen
150.214.156.75 193.147.118.176 193.147.118.199 193.147.118.223
N Total
2 1 3 11
Direcciones Ip Destino
88.16.42.231 150.214.5.134 150.214.156.75 157.88.36.5
N Total
1 10 3 1
Captulo 5. Puesta en marcha de un IDS en la UAL 193.147.118.230 195.207.152.57 221.120.210.36 7 1 55 193.91.48.105 193.91.62.15 193.91.62.122 193.147.118.39 193.147.118.176 193.147.118.199 193.147.118.223 193.147.118.230 194.51.18.151 195.6.68.253 195.101.127.103 217.167.123.131 1 1 1 17 20 1 19 1 1 1 1 1
243
El ataque de escaneo de puertos: [snort] (portscan) TCP Portsweep, est originado maryoritariamente por el host 221.120.210.36 (lhr63.pie.net.pk). Entre las direcciones IP destino destaca principalmente los servidores acacia.ual.es (193.147.118.176) y el servidor del IDS (193.147.118.223). Tabla 5-24. Firma: [snort] (spp_ssh) Payload size incorrect for the given payload Direcciones Ip Origen
82.63.162.187
N Total
1
Direcciones Ip Destino
193.147.118.223
N Total
1
La alerta correspondiente a [snort] (spp_ssh) Payload size incorrect for the given payload, est originado por el host 82.63.162.187 (host187-162-static.63-82b.business.telecomitalia.it) y se dirige al IDS 193.147.118.223. Tabla 5-25. Firma: [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-PHP Mambo upload.php access Direcciones Ip Origen
83.33.110.128
N Total
1
Direcciones Ip Destino
193.147.118.176
N Total
1
Como direccin IP origen para el ataque [nessus] [cve] [icat] [bugtraq] [local] [snort] WEB-PHP Mambo upload.php access, est la IP 83.33.110.128 (host 128.Red83-33-110.dynamicIP.rima-tde.net) y se dirige hacia el servidor sauce.ual.es. Tabla 5-26. Firma: [snort] (spp_ssh) Server version string overflow Direcciones Ip Origen
193.147.118.182
N Total
1
Direcciones Ip Destino
193.147.118.176
N Total
1
Para el ataque [snort] (spp_ssh) Server version string overflow, se tiene como IP origen la 193.147.118.182 y como IP destino 193.147.118.176 (de nuevo el servidor sauce.ual.es).
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
244
Tabla 5-27. Firma: [local] [snort] ATTACK-RESPONSES id check returned root Direcciones Ip Origen
38.114.116.5
N Total
3
Direcciones Ip Destino
193.147.118.176
N Total
3
El ataque con firma: [local] [snort] ATTACK-RESPONSES id check returned root est originado por el host 38.114.116.5 (undernet.globalcon.net) y se dirige tambin al servidor sauce.ual.es (193.147.118.176). Tabla 5-28. Firma: [snort] (spp_ssh) Protocol mismatch Direcciones Ip Origen
150.244.57.32
N Total
6
Direcciones Ip Destino
193.147.118.50
N Total
6
Finalmente, el ataque [snort] (spp_ssh) Protocol mismatch, iniciado por el host 150.244.57.32 (calipso.ii.uam.esva) dirigido hacia el host 193.147.118.50 (vermeer.ace.ual.es).
4.4
A continuacin se muestra una grfica en la figura 5-20, con la evolucin del nmero de alertas producido en las dos primeras semanas de ejecucin del IDS (desde el 30 de Septiembre hasta el 14 de Octubre de 2008) en los servidores del Departamento:
Como se puede observar se han producido un mayor nmero de ataques en la primera semana, alcanzndose la cota ms elevada el da 5 de Octubre de 2008, donde se registraron 12309 alertas.
245
4.5
Para ver el rendimiento del sistema se ha utilizado la herramienta Pmgraph. En concreto se analizarn los resultados obtenidos durante las dos primeras semanas de ejecucin del sistema. A continuacin se muestran cada una de las grficas que genera el PmGraph en la interfaz web y posteriormente sern explicadas.
246
247
Seguidamente se explicarn los resultados obtenidos durante estas dos semanas de funcionamiento del IDS. Los paquetes descartados por el sistema (vase Figura 5-21) no han sido muchos, si bien hay picos localizados el da 1, el 5, el 7 y el 8 de Octubre. Alcanzndose el mayor nmero de paquetes descartados el da 1 de octubre. Hay que tener en cuenta que estos das en los que se produce un mayor nmero de paquetes eliminados son precisamente cuando mayor nmero de alertas se han registrado, salvo el da 8 de octubre en el que el nmero de alertas fue bajo. Las alertas por segundo mostradas en la Figura 5-22), han sido mayores en la primera semana, ya que en estos das se registran los valores de alertas ms altos. La grfica 5-23) muestra la cantidad de datos registrados en unidades de Mbit por segundo que se ha obtenido en el cable de red, en la capa de aplicacin, y tambin la cantidad que se ha fragmentado en la red. De estos datos se obtienen que cuando mayor cantidad de datos por segundo se ha registrado tanto en red como en la capa de aplicacin, ha sido el da 12 de octubre, llegando casi a 7 Mbit/seg. La cantidad total de paquetes y la cantidad fragmentada que se representan en la Figura 5-24) muestra que los picos de valores ms altos tienen lugar a lo largo del 12 de Octubre, llegando a 800 paquetes por segundo. En la grfica 5-25, referente a los paquetes SYN y SYN/ACK por segundo se puede observar que el da 30 se registra la cota ms alta de paquetes SYN llegando a 1.5 por segundo, y el da 7 se alcanza el mayor nmero de paquetes SYN/ACK. Como se puede observar aparecen muchos picos en la grfica anterior, siendo bastante irregular el nmero de paquetes por segundo. Los eventos de sesin por segundo que se pueden observar en la grfica 5-26, muestran una evolucin muy similar a la de la grfica anterior. Si bien no aparece el pico producido el da 30 de octubre, donde se registraba el mayor nmero de paquetes SYN. En la grfica 5-27 que muestra las sesiones abiertas y el mximo de sesiones, se observa que el mayor nmero de sesiones comienza a elevarse los primeros das hasta alcanzar el valor ms alto el da 2 y a partir de ah tiende a permanecer constante el nmero de sesiones tanto abiertas como mximas. Por su parte, el flujo de eventos por segundo mostrado en la grfica 25-28 muestra que slo se han producido flujos limpios y no defectuosos. La evolucin de est grfica se mantiene ms o menos constante si bien aparecen picos pronunciados en los das 2, 6 y 11 de octubre. La grfica 5-29 que representa los eventos de fragmentos por segundo creados,completos, insertados, eliminados, limpiados y los timeouts producidoa muestra que entre los das 4 y 7 de octubre no se han producido eventos de fragmentos y en el resto de das el nmero de eventos de este tipo ha sido bastante irregular. En cuanto a la media de Bytes que contiene cada paquete (vase Figura 5-30) suele oscilar entre 1 y 1.5 Kbytes por paquete.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
248
Por ltimo en las estadsticas de CPU, mostradas en la Figura 5-31, se puede observar el uso de CPU de usuario, de sistema y el porcentaje en el cual no ha habido uso de CPU. Como se muestra todo el tiempo el uso de CPU ha estado ocioso, lo cual nos indica que el sistema ha tenido un rendimiento muy elevado para procesar el trfico recibido. As pues, se puede concluir que el rendimiento del sistema durante estas dos semanas de ejecucin ha sido bastante alto. Ya que en primer lugar, no se han descartado prcticamente paquetes, por lo que el sistema de deteccin ha podido analizar gran parte de los paquetes que han atravesado la red. Asimismo, el hecho de que la CPU haya estado ociosa ante el trfico al que ha estado sometida, es una seal de que el rendimiento del sistema ha sido elevado. Tambin hay que tener en cuenta que se han producido bastantes eventos, y bastante actividad: paquetes SYN y ACK, sesiones abiertas, flujo de eventos, gran cantidad de alertas, paquetes de tamao considerable, etc.
CAPTULO 6
Introduccin
La prevencin de intrusin consiste en detectar (encontrar) y entonces prevenir (parar) los ataques conocidos especficos a las aplicaciones. El trmino Sistema de Prevencin de Intrusin, es usado para combinar o unificar los conceptos de sistema de deteccin y de sistema de prevencin. Es importante tener en cuenta que la definicin slo se ajusta a ataques conocidos. As pues, un sistema de prevencin de intrusos inline o de red es cualquier dispositivo de hardware o software que tiene la capacidad de detectar y prevenir ataques conocidos. Los sistemas de prevencin de intrusos deben bloquear las acciones maliciosas usando mltiples algoritmos, que incluyen el bloqueo basado en firmas de ataques conocidos. Tambin deben trasladar las aproximaciones simples basadas en firmas a los algoritmos de deteccin basados en anomalas. Estos algoritmos deben operar en el nivel de aplicacin, adems del nivel estndar de red, en el que procesan los firewall. Los sistemas de prevencin de intrusos o IPS, son una nueva tecnologa de seguridad informtica para la proteccin de redes que actan previniendo o bloqueando de forma eficiente ataques externos e internos y todo tipo de amenazas. Los IDS han sido usados ampliamente a lo largo de estos ltimos aos por muchas compaas porque han proporcionado una capa adicional de seguridad, sin embargo se ha encontrado que estos elementos proporcionan una seguridad reactiva, es decir, para que haya proteccin debe existir primero un ataque. Ante estos hechos han surgido los IPS como resultado de la evolucin de los IDS. Los IPS no se limitan a escuchar y monitorear el trfico de la red sino que intervienen activamente ya que el trfico circula a travs del sistema y cualquier intento de ataque ser bloqueado por el IPS. La tecnologa IPS permite a las organizaciones proteger la informacin crtica de forma proactiva, es decir, sin limitarse a mostrar alertas tras ocurrir un ataque, sino que ofrecen prevencin ante estos ataques. Esta tecnologa supone un beneficio continuo e inteligente para cualquier entorno de red, as mismo protegen infraestructuras, aplicaciones y en muchos casos mejora el rendimiento de las redes porque a travs de ella no circular cdigo daino. Un buen sistema IPS debe cumplir como mnimo con caractersticas tales como bloqueo automtico de ataques, proteccin de sistemas no parcheados, y optimizacin del rendimiento de la red. Sin estas condiciones la operabilidad y productividad del sistema no se podra garantizar.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
250
Arquitectura de red
A continuacin se pretende poner en funcionamiento un esquema bsico de red que utilice un Sistema de Prevencin de Intrusos (IPS) para que proteja a la red interna y los servidores de cualquier tipo de ataque. Como se vi en el Captulo 1. Introduccin a los Sistemas de Deteccin de Intrusos existen diferentes soluciones para implementar un IPS. Se ha elegido SnortSam como IPS que realiza una accin bloqueante sobre las direcciones IP atacantes y Snort_Inline como sistema de filtrado que permite descartar paquetes malignos. As se podrn comparar el funcionamiento y la capacidad de prevencin que ofrecen dos tipos distintos de sistemas. Ambas soluciones constituyen dos formas distintas de llevar a cabo la prevencin ante las intrusiones y son dentro de sus respectivos tipos de IPS las soluciones ms conocidas. Seguidamente se explicar la instalacin, configuracin y la ejecucin de las mismas, as como la implementacin y la puesta en funcionamiento de estas herramientas en un esquema de red tpico.
SnortSam
Como se ha mencionado anteriormente, SnortSam consta de un agente y de un parche que se aplica al propio Snort. SnortSam, funciona junto con iptables para obtener un NIDS con respuesta activa que realice en ocasiones la solucin de cortafuegos. En esencia, cuando el Snort detecte un ataque de determinada relevancia enva un comando al IPTables para que ste bloquee, durante un tiempo determinado, la direccin IP de donde proviene el ataque. La comunicacin entre ambas herramientas se hace a travs del Snortsam. Seguidamente se describen tanto el proceso de instalacin y configuracin del agente y del parche de snort, as como su ejecucin y las pruebas realizadas para su funcionamiento.
3.1
251
A continuacin se copian los ejecutables de snortsam al directorio /usr/local/bin: cp /usr/local/src/snortsam/snortsam* /usr/local/bin Se copia el archivo de configuracin en el directorio /etc.
cp /usr/local/src/snortsam/conf/snortsam.conf.sample /etc/
3.2
Para configurar SnortSam se edita el archivo de configuracin /etc/snortsam/snortsam.conf para que se llevan a cabo las modificaciones necesarias. Entre las distintas opciones de configuracin a continuacin se muestran las principales: En primer lugar se deben de indicar el puerto donde escuchar SnortSam. Por defecto este puerto es el 898. Se debe de indicar de la siguiente forma: port num_puerto. A continuacin se deben de listar todos los sensores Snort de los cuales SnortSam aceptar paquetes. Se puede especificar un nombre de host, una direccin IP, una direccin IP y su mscara y opcionalmente se puede especificar una clave de encriptacin usada para configurar este host o red. Ejemplos: accept 10.10.0.0/16, officepassword accept snort1, hostpassword accept 192.168.1.1 Otra opcin que SnortSam permite configurar es especificar las direcciones IP que no se quieren bloquear. As los hosts que estn incluidos en esta lista sern ignorados y no sern bloqueados. Ejemplos: dontblock a.root-servers.net dontblock 192.168.10.0/24 Seguidamente se especifica el archivo para almacenar las alertas de snortsam. As, snortsam usar este archivo para registrar los eventos tales como el inicio del programa, las acciones de bloqueo y desbloqueo y los eventos de error. logfile /var/log/snortsam.log Un parmetro importante es la opcin bind, para indicar en qu direcciones IP o interfaces SnortSam debe escuchar. Si se omite esta opcin escuchar en todas las interfaces/direcciones. La sintaxis es la siguiente: bindip Dir_ip Tambin se tienen que especificar las opciones especficas del firewall, con el que SnortSam se comunicar para realizar las acciones de bloqueo/desbloqueo. Entre estas opciones se puede especificar los siguientes firewall:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
252
o Fwexec. SnortSam puede llamar al ejecutable fw.exe para crear los bloqueos en el Firewall-1. o Fwsam. Esta opcin comunica a SnortSam el uso del paquete OPSEC para iniciar los bloqueso. Se tiene que especificar el nombre o la direccin IP del firewall al cual se enviarn los bloqueos. o Fwsamipflip. El mtodo fwsam debe de bloquear la direccin IP correcta si SnortSam se ejecuta en el host del firewall. Sin embargo si SnortSam se ejecuta en un pequeo host, y el fireall FW-1 se ejecuta en un gran host, puede bloquear la direccin IP reservada. Para estos casos se usa la opcin. o opsec <file>. Esta opcin habilita a SnortSam para usar las funciones OPSEC API del plugin OPSEC, configurado a travs del archivo de configuracin especificado por file. Algunos de los plugins que se pueden usar son los siguientes: o Plugin pix. Este plugin habilita SnortSam para usar el plugin PIX. o Ciscoacl. SnortSam usar el plugin CISCO ACL para bloquear las direcciones IP en un router Cisco. o Cisconullroute. SnortSam har uso del plugin the CISCO Null-Route para bloquear las direcciones IP en un router Cisco. o Email. Este plugin enva un email para cada evento de bloque o y desbloqueo. o email-blocks-only. Con este plugin slo se enviarn emails de bloqueo. o Ipf. Este plugin ejecutar el comando ipf localmente y bloquear el host aadiendo una regla a la poltica de ipf. o Ipchains. El plugin ipchains usar una llamada setsockopt para controlar las opciones del ipchains para bloquear el host aadiendo una regla para el conjunto de reglas. o Iptables. Este plugin llamar al ejecutable iptables para bloquear el hostaadiendo una regla al conjunto de reglas. Se debe especificar el adaptador por donde se deben de hacer las acciones de bloqueo/desbloqueo. Asimismo se puede aadir la opcin de log. o Forward. Permite realizar forward a una peticin de bloqueo/desbloqueo a otro agente Snortsam ejecutndose en ste o en otro host. Otra opcin que se puede aadir es la opcin daemon, que permite ejecutar snortsam en modo daemon.
253
En el Anexo [2] incluido en el CD-ROM, se puede obtener el archivo de configuracin del agente snortsam que se ha utilizado.
3.3
254
3.4
Configuracin de Snort
Una vez que se ha instalado y se ha aplicado adecuadamente el parche Snortsam, se deben de realizar ciertas modificaciones en el Snort, para utilizar el plugin de salida de SnortSam. Para ello se debe de modificar en primer lugar, el archivo snort.conf para aadir el plugin de salida fwsam aadiendo la siguiente lnea: output alert_fwsam: DireccionIp:Puerto:/Snortpass Donde Snortpass es la clave definida en la configuracin del Snortsam para la comunicacin encriptada, DireccionIp es la interfaz por la que el agente de bloqueo escucha a los sensores del Snort y Puerto es el puerto donde se realizar la comunicacin. Si no se especifica puerto lacomunicacin se realizar por el 898. Adems de modificar el archivo snort.conf, se debern de modificar las reglas de deteccin del snort que se desea que provoquen una accin de bloqueo a travs del agente. A cada regla que se desee modificar se le debe aadir lo siguiente: fwsam: who [how], timeslot Donde: o who. Es el elemento a bloquear, representado por un campo del paquete o una direccin IP. Puede ser: src, source, dst, dest, destination. o how. Es un campo opcional que especifica, generalmente, el sentido en que debe ser bloqueado el trfico para la direccin IP who. Puede ser: in, out, src, dest, either, both, this, conn. o timeslot. Es el perodo de tiempo de bloqueo efectivo, por defecto en segundos. Se representa por un nmero entero y una de las siguientes cadenas: days, weeks, months, years, seconds, minutes, hours. Tambin puede definirse bloqueo permanente a travs de los trminos PERManent, INFinite o ALWAYS.
3.5
Ejecucin
Tras haber configurado el agente SnortSam y haber aadido el plugin de salida al Snort, se mostrar el funcionamiento del sistema. En primer lugar se debe de arrancar Snort de la siguiente forma: snort -D -c /etc/snort/snort.conf -l /var/log/snort -i eth0 Una vez arrancado Snort, se inicio SnortSam: /usr/local/bin/snortsam /etc/snortsam.conf Donde /etc/snortsam.conf indica el archivo de configuracin de snortsam. A continuacin en la Figura 6-1, se puede ver este ejemplo de ejecucin de SnortSam.
255
Como se puede observar en primer lugar se muestran los plugins que SnortSam utilizar para realizar el bloqueo/desbloqueo y comienza a escuchar las conexiones provenientes de los plug-in de salida de los sensores Snort. Si se ha especificado la opcin daemon en el archivo de configuracin se ejecutar como demonio, si no se mostrar por pantalla su ejecucin. Tambin se puede ejecutar como daemon aadiendo el parmetro D al comando anterior y se puede ver el proceso de ejecucin de SnortSam a tavs de un archivo de log si se ha especificado dicha opcin en el archivo de configuracin.
3.6
Prueba
Para comprobar el funcionamiento de SnortSam como IPS, se ha instalado el Agente de SnortSam en el mismo computador donde reside el Snort y se ha utilizado como plugin iptables para bloquear a las direcciones IP atacantes. A pesar de que SnortSam permite una instalacin separada del agente y de los sensores snort, para la realizacin de este ejemplo sencillo se implementarn en el mismo host, puesto que slo se posee un sensor Snort y nos interesa ver simplemente su funcionamiento. A continuacin, se muestra en la figura 6-2 el esquema que se ha empleado para ver el funcionamiento de SnortSam.
256
Para configurar SnortSam para este ejemplo, se edita el archivo de configuracin /etc/snortsam/snortsam.conf y se llevan a cabo las siguientes modificaciones: En primer lugar se deben de indicar el puerto donde escuchar SnortSam. Por defecto este puerto es el 898. En este caso se ha elegido el puerto 899 de la siguiente forma: port 899. Se listan todos los sensores Snort de los cuales SnortSam aceptar paquetes. En este caso como slo tenemos un sensor de Snort se pone simplemente: accept 192.168.1.179 Seguidamente se especifica el archivo para almacenar las alertas de Snortsam: logfile /var/log/snortsam.log Se especifica la opcin bind para que SnortSam escuche en la direccin IP 192.168.1.179 que es la direccin del IPS. bindip 192.168.1.179 En cuanto a las opciones del firewall, con el que SnortSam se comunicar para realizar las acciones de bloqueo/desbloqueo se ha escogido fwsam, indicndole la direccin IP del firewall que en este caso es la misma que la del IPS: fwsam 192.168.1.179 Se indica el plugin que utilizar SnortSam. En este caso se ha escogido iptables para bloquear/desbloquear las direcciones IP atacantes. Se debe especificar el adaptador por donde hacer las acciones de bloqueo/desbloqueo como se muestra a continuacin:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
257
iptables eth0 Los cambios que habr que realizar en la configuracin de Snort son los siguientes: Se modifica el archivo snort.conf aadiendo el plugin de salida fwsam, indicando la direccin IP y el puerto (en este caso no se ha usado contrasea) como se indica: output alert_fwsam: 192.168.1.179:899 Tambin se deben de modificar las reglas de Snort. En este caso se han modificado todas las reglas del Snort aadiendo al final de cada regla de cada fichero .rules de Snort los siguientes parmetros: fwsam:src, 5minutes De esta forma cuando se detecte un ataque que coincida con cualquier regla de Snort, se activar el plugin fwsam para bloquear la direccin IP atacante origen (indicado por src) durante un tiempo de 5 minutos. Para automatizar el proceso de modificar todas las reglas se puede ejecutar en lnea de comando las siguientes sentencias: cd /etc/snort/rules for file in $(ls -1 *.rules) do cat $file |sed "s/;)$/; fwsam:src,5 minutes;)/g" > $file.new mv $file.new $file -f done Simplemente se ha utilizado la funcin sed que permite reemplazar el contenido de los ficheros. As, como cada regla finaliza con ;) se reemplaza por fwsam:src,5 minutes;) para aadirlo al final de cada regla. Y esto se realiza para cada fichero con extensin .rules. Se va creando un nuevo fichero y luego se reemplaza cada fichero de reglas por el nuevo que se ha creado. Adems de los cambios anteriores, se llevarn a cabo las siguientes modificaciones: Se modifica el fichero /etc/rc.local para indicar que la interfaz por donde escuchar SnortSam (en este caso eth0), se ejecutar en modo promiscuo: ifconfig eth0 promisc Tambin se debe configurar IPtables para permitir el trfico de SnortSam por el puerto donde se est ejecutando el mismo, en este caso el 899. Para ello se modifica el archivo /etc/sysconfig/iptables aadiendo la siguiente lnea: -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 899 -j ACCEPT
Finalmente se pone en funcionamiento el sistema: Primero, se arranca snort: snort -c /etc/snort/snort.conf -l /var/log/snort -i eth0
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
258
Seguidamete se puede ver en la figura 6-3, la ejecucin del sensor Snort y del agente SnortSam.
Por otro lado, desde otro ordenador con direccin IP 192.168.1.34 se enva un ataque al IPS 192.168.1.179 como se puede ver en la figura 6-4, con idswakeup, ejecutando: ./idswakeup 192.168.1.34 192.168.1.179 100 64
Cuando se est enviando el ataque se puede apreciar en el SnortSam como se realiza el bloqueo a la direccin IP 192.168.1.34 que es la del atacante. Asimismo se puede apreciar cmo se modifica Iptables para bloquear esa direccin IP durante los 5 minutos que se ha indicado en las reglas como se ve en la figura 6-5.
259
Si se ejecuta iptables L se puede ver las reglas de iptables una vez que se ha realizado el ataque y ha sido bloqueado en la figura 6-6.
260
Como se puede observar se descartan todos los paquetes procedentes de la direccin del atacante 192.168.1.34. Si se miran las alertas del Snort en la figura 6-7, se pueden ver alertas de ICMP de destino inalcanzable ya que SnortSam ha bloqueado al atacante.
Snort_inline
Snort Inline toma paquetes desde iptables, entonces usa nuevos tipos de reglas basados en snort para ayudar a iptables a decidir si el paquete debe atravesar la red o debe ser descartado en base al conjunto de reglas snort. Se trata de un IPS basado en red, que posee dos interfaces de red, una interna y otra externa. Los paquetes que se detectan como sospechosos se descartan antes de que pasen a la interfaz interna y a la red protegida, para realizar est accin Snort_inline va encolando los paquetes para analizarlos utilizando las reglas de iptables. Seguidamente se explicar su instalacin, su configuracin y su modo de ejecucin, as como su puesta en funcionamiento.
4.1
Instalacin
Seguidamente se describen los pasos para la instalacin de SnortInline:
Iptables En primer lugar se instala iptables. Para ello, se ejecutan los siguientes comandos: yum install iptables yum install iptables-devel
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
261
Libnet Se instala la librera libnet. Para ello, se siguen los siguientes pasos: o Se descarga el paquete libnet-1.0.2a.tar.gz de la siguiente pgina web: www.packetfactory.net o Se ejecutan los siguientes comandos: mv /root/libnet-1.0.2a.tar.gz /usr/src cd /usr/src tar xzvf libnet-1.0.2a.tar.gz cd /usr/src/Libnet-1.0.2a ./configure make make install Pcre Se instala la librera pcre. Para ello, realizamos los siguientes pasos: o Se descarga el paquete pcre-7.4.tar.gz de Internet (www.pcre.org) o Se descomprime el paquete: tar xvfz pcre-7.4.tar.gz. o Finalmente se compila y se instala la librera, ejecutando los comandos: cd pcre-7.4 ./configure. make. make install. Snort_Inline Se descarga snort_inline de la siguiente pgina web: http://sourceforge.net/project/downloading.php?groupname=snortinline&filename=snort_inline-2.3.0-RC1.tar.gz&use_mirror=garr&testing=1 Se instala el paquete snort_inline, realizando el proceso que se muestra a continuacin. tar xzvf snort_inline-2.3.0-RC1.tar.gz cd snort_inline-2.3.0-RC1 ./configure --enable-inline make make install Se copia los archivos de snort_inline-2.3.0-RC1/etc/classification.config y reference.config a snort_inline-2.3.0-RC1/rules cp /root/snort_inline-2.3.0-RC1/etc/classification.config /root/snort_inline-2.3.0RC1/rules/ cp /root/snort_inline-2.3.0-RC1/etc/reference.config /root/snort_inline-2.3.0RC1/rules/
262
Se crea el directorio de trabajo para snort_inline: mkdir /etc/snort_inline Se copia el contenido del directorio /etc y la carpeta rules en el directorio de trabajo de snort_inline: cp /root/snort_inline-2.3.0-RC1/etc/* /etc/snort_inline/ cp /root/snort_inline-2.3.0-RC1/rules /etc/snort_inline/ -R mkdir /var/log/snort_inline
4.2
Configuracin
Para configurar snort_inline se siguen los siguientes pasos: En el archivo de configuracin /etc/snort_inline.conf, realizamos los siguientes cambios para configurar snort_inline: Cambiar: var RULE_PATH /etc/snort_inline/drop_rules (lnea 41) por: var RULE_PATH /etc/snort_inline/rules Se modifica el fichero de reglas. Snort_inline soporta tres tipos de reglas: drop, reject y sdrop. A continuacin se explican cada una de ellas: o Drop. El tipo de regla drop comunicar a iptables que descarte los paquetes y lo comunique a travs de log. o Reject. El tipo de regla reject significa que iptables descartar el paquete, lo comunicar a travs de log y adems enviar un reset TCP si el protocolo es TCP o un mensaje de ICMP puerto inalcanzable si el protocolo es UDP. o Sdrop. El tipo de regla sdrop le dir a iptables que elimina el paquete y no realizar ninguna operacin adicional. Un ejemplo de regla snort_inline es: drop tcp any any -> any 80 (classtype:attempted-user; msg:"Port 80 connection initiated";) Esta regla descartar toda la actividad con destino el puerto 80. Esta regla se puede aadir al archivo de reglas web-attacks.rules. As pues habr que modificar las reglas de snort que son de tipo alert, para convertirlas a las reglas de tipo snort_inline. Se pueden convertir todas las reglas de Snort a modo inline ejecutando las siguientes sentencias en lnea de comando que hacen uso de la funcin sed para reemplazar la palabra alert por drop de la siguiente forma:
263
cd /etc/snort_inline/rules/ for file in $(ls -1 *.rules) do sed -e 's:^alert:drop:g' ${file} > ${file}.new mv ${file}.new ${file} -f done En el Anexo [3] del CD-ROM se adjunta el archivo de configuracin empleado para Snort_Inline.
4.3
Ejecucin
A continuacin se explican los pasos necesarios para la ejecucin de snort_inline: Snort_Inline debe interceptar todo el trfico que pasa por el kernel y redirigirlo al espacio de usuario para comprobar los posibles paquetes de red maliciosos. El kernel logra realizar esto poniendo los datos dentro de una cola usando el mdulo ip_queue. Se puede cargar ip_queue y verificar su presencia como se indica a continuacin: modprobe ip_queue lsmod | grep ip_queue El siguiente paso es configurar iptables, para enviar el trfico a ip_queue, por ejemplo, de la siguiente forma: iptables -I INPUT -p tcp -j QUEUE Seguidamente se ejecuta snort_inline: snort_inline D -c /etc/snort_inline/snort_inline.conf -Q -N -l /var/log/snort_inline -v En la figura 6-8, se puede ver la ejecucin de snort_inline.
264
Para parar snort_inline habr en primer lugar que matar el proceso como sigue: ps aux | grep snort_inline Devolver el num_proceso kill num_proceso Esto terminar snort, pero ip_queue todava estar recibiendo paquetes y analizando el trfico. Para volver a iptables a su estado normal se utiliza: iptables -D INPUT -p tcp -j QUEUE
Para la ejecucin automtica de snort_inline se puede utilizar el siguiente script: Script de Arranque de Snort_Inline # Descripcion: Snort_inline es una implementacin de IPS del popular paquete Snort # # IDS. # Nombre del Proceso: snort_inline # config: /etc/snort_inline/snort_inline.conf # Origen de las libreras de funciones. . /etc/init.d/functions # Origen de la Configuracin de la Red . /etc/sysconfig/network [ -f /usr/local/bin/snort_inline ] || exit 0 start() { # Inicio de daemons. echo -n $"Starting ip_queue module:" lsmod | grep ip_queue >/dev/null || /sbin/modprobe ip_queue; echo -e '\t\t\t\t [ \033[32mOK\033[37m ]' echo -n $"Starting iptables rules:" iptables -N ip_queue iptables -I INPUT -p tcp -j ip_queue #Aadir nuevas reglas IPTABLES aqu y se aadirn al conjunto de reglas ip_queue iptables -I ip_queue -p tcp -j QUEUE echo -e '\t\t\t\t [ \033[32mOK\033[37m ]' echo -n $"Starting snort_inline: " daemon /usr/local/bin/snort_inline -c /etc/snort_inline/snort_inline.conf -Q -N -l /var/log/snort_inline -t /var/log/snort_inline -D RETVAL=$? echo [ $RETVAL = 0 ] && touch /var/lock/subsys/snort_inline } stop() { # Parar los daemons echo -n $"Shutting down snort_inline: " killproc snort_inline echo -ne $"\nRemoving iptables rules:" iptables -F ip_queue iptables -D INPUT -p tcp -j ip_queue
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
265
iptables -X ip_queue echo -e '\t\t\t\t [ \033[32mOK\033[37m ]' echo -n $"Unloading ip_queue module:" rmmod ip_queue echo -en '\t\t\t\t [ \033[32mOK\033[37m ]' RETVAL=$? echo [ $RETVAL = 0 ] && rm -f /var/lock/subsys/snort_inline } restart() { stop start } # Argumentos pasados. case "$1" in start) start ;; stop) stop ;; restart) restart ;; *) echo $"Usage: $0 {start|stop|restart|}" exit 1 esac exit $RETVAL
Una vez que se ha creado el script snort_inline, se copia en /etc/init.d y se le dan permisos de ejecucin: chmod 755 /etc/init.d/snort_inline Ya se puede arrancar snort_inline como servicio ejecutando service snort_inline start como se muestra en la figura 6-9.
266
4.4
Prueba
Para comprobar el funcionamiento de snort_inline se ha utilizado el esquema de red que se puede ver en la figura 6-10.
Como se puede ver se tiene el IPS ejecutando snort_inline e iptables escuchando el trfico de la red Interna. En la red interna se encuentra un servidor web. Lo que se pretende es que si un atacante de la red externa pretende atacar el servidor web interno el IPS snort_inline, que tambin actua como router y ejecuta iptables, descarte los paquetes maliciosos y deje pasar el resto de paquetes al servidor web. Para ver el funcionamiento de snort_inline en este escenario en primer lugar se muestra la configuracin de cada mquina. Configuracin A continuacin se muestra la configuracin de cada host que interviene en el esquema de red que se ha puesto como ejemplo: Atacante. Posee una interfaz de red: eth0 con direccin IP pblica 192.168.228.128. Esta mquina deber de tener instalado la herramienta idswakeup (u otra herramienta que sirva para enviar ataques) para poder realizar los ataques. Servidor Web. El servidor web consta de una interfaz de red eth1 con IP privada 192.168.1.32. Este servidor deber de ejecutar el servidor web apache. Tambin posee instalado Snort, para comprobar el nmero de alertas que le llegan a dicho servidor cuando se produce el ataque.
267
IPS. Posee dos interfaces de red: eth0 con direccin IP pblica 192.168.228.10 y eth1 con direccin IP privada 192.168.1.1. El host que realiza la funcin de IPS, deber de ejecutar snort_inline, iptables y deber de actuar como router.
En primer lugar se configuran las interfaces de red de cada mquina utilizando el comando ifconfig: ifconfig interfaz_Red dir_Ip netmask mascara_Red up Posteriormente se realizan las siguientes modificaciones en el IPS: Primero se habilita el forwarding para que el IPS pueda actuar como router. Para ello se edita el fichero /proc/sys/net/ipv4/ip_forward: less /proc/sys/net/ipv4/ip_forward y se escirbe un 1 para habilitar la funcin de router. Tambin se edita el fichero /etc/sysctl.conf y se pone a 1 el parmetro net.ipv4.ip_forward: net.ipv4.ip_forward =1 A continuacin se modifica iptables para que el trfico se dirija hacia el servidor web. Para ello, en primer lugar se indica que la red interna tenga salida al exterior por NAT: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE Seguidamente se redirige el trfico que entra por la interfaz eht0 al servidor web de la red interna: iptables -t nat -A PREROUTING -i eth0 -p TCP -j DNAT --to 192.168.1.32 Estas reglas cuando se ponga en funcionamiento snort_inline se aadirn al fichero de inicio /etc/init.d/snort_inline como se explicar posteriormente. Si se ejecuta iptables t nat L se pueden ver las reglas que se han aadido como se puede ver en la figura 6-11.
Con estas modificaciones, sin tener snort_inline funcionando an, se puede ver que si el atacante (192.168.228.128) intenta acceder al IPS mediante su direccin IP pblica
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
268
(192.168.228.10) se ver la pgina de bienvenida del servidor web (192.168.1.32), como se ve en la figura 6-12.
Esto quiere decir que el IPS, est redirigiendo correctamente el trfico al servidor web. Funcionamiento A continuacin se va a comprobar el funcionamiento del snort_inline en el ejemplo anterior. Teniendo en cuenta la configuracin que se ha realizado en cada host, queda poner en funcionamiento el sistema y comprobar el funcionamiento de snort_inline. Para ello, en primer lugar se realizan los siguientes pasos en el host del IPS: Se modifican todas las reglas de snort_inline para convertirlas a reglas tipo drop, para que se descarten los paquetes cuya firma coincidan con las rules de snort. En segundo lugar se modifica el script de ejecucin que se ha creado anteriormente aadiendo las siguientes reglas de iptables a continuacin de las ltimas reglas que hay en el script: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE iptables -t nat -A PREROUTING -i eth0 -p TCP -j DNAT --to 192.168.1.32 A continuacin se arranca el servicio snort_inline con: service snort_inline start
En el servidor web, se ejecuta snort para comprobar el nmero de alertas que deja pasar snort_inline. Para ello se ejecuta snort de la siguiente forma: snort c /etc/snort/snort.conf i eth0 v Desde la mquina atacante (192.168.228.128) se enva el siguiente ataque con idswakeup:
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
269
./idswakeup 192.168.228.128 192.168.228.10 10000 100 Se enva un ataque con direccin origen la direccin IP del atacante, con direccin IP destino la direccin pblica del IPS (192.168.228.10), se ejecutan 10000 con un TTL de 100. El tiempo de vida del paquete debe ser alto para que le d tiempo de llegar al destino. Los paquetes descartados se pueden ver en los ficheros de log /var/log/snort_inlinefast y snort_inline full. A continuacin se muestran algunos de los paquetes que snort_inline ha descartado y que estn contenidos en el fichero snort_inline-full: Fragmento del fichero snort_inline-full [**] [116:46:1] (snort_decoder) WARNING: TCP Data Offset is less than 5! [**] 10/30-21:51:51.481268 192.168.228.128:0 -> 192.168.228.10:0 TCP TTL:100 TOS:0xE ID:9500 IpLen:20 DgmLen:63 DF TCP header truncated [**] [116:46:1] (snort_decoder) WARNING: TCP Data Offset is less than 5! [**] 10/30-21:51:51.481968 192.168.228.128:0 -> 192.168.228.10:0 TCP TTL:100 TOS:0xE ID:9500 IpLen:20 DgmLen:63 DF TCP header truncated [**] [116:46:1] (snort_decoder) WARNING: TCP Data Offset is less than 5! [**] 10/30-21:51:51.481969 192.168.228.128:0 -> 192.168.228.10:0 TCP TTL:100 TOS:0xE ID:9500 IpLen:20 DgmLen:63 DF TCP header truncated [**] [116:46:1] (snort_decoder) WARNING: TCP Data Offset is less than 5! [**] 10/30-21:51:51.481969 192.168.228.128:0 -> 192.168.228.10:0 TCP TTL:100 TOS:0xE ID:9500 IpLen:20 DgmLen:63 DF TCP header truncated
Por otro lado, en el servidor web donde se est ejecutando snort, mientras se produce el ataque, se pueden ver el nmero de alertas que se han producido en la figura 6-13.
Esto quiere decir que snort_inline ha dejado pasar 1683 alertas al servidor web. El hecho de que snort_inline no haya podido retener todas las alertas, se debe entre otras
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
270
posibles causas (como el rendimiento de la red donde se est llevando a cabo el ejemplo), a que snort_inline no posee ciertos preprocesadores como ftp_telnet, dcerp, dns, entre otros, y los ataques que idswakeup manda y que seran detectados por estos preprocesadores no podrn ser descartados por snort_inline. Otra prueba que se ha realizado es que mientras, se estn enviando los ataques desde el host Atacante 192.168.228.128, se puede realizar actividad normal sobre el servidor web, al que se estn enviando los paquetes que no descarta el snort_inline. Por ejemplo mientras se est enviando el ataque, se ha probado a descargar al mismo tiempo un archivo situado en el servidor web que se llama prueba.tgz y que es de gran tamao (ms de 700 MB), sin que se haya interrumpido la descarga. En la figura 6-14, se puede ver cmo se descarga el fichero desde el servidor web mientras se enva el ataque.
Figura 6-14. Envo del ataque y descarga de fichero desde el servidor web
Finalmente se van a comparar los resultados de ejecutar snort_inline y de no ejecutarlo en el escenario anterior. Para ello, se para el proceso snort_inline ejecutando: service snort_inline stop. Esto limpiar las reglas de iptables que estn includas en el conjunto ip_queue creado anteriormente, pero no las reglas de iptables t nat. Las reglas de iptables t nat que se han empleado anteriormente no deben de eliminarse porque se pretende que el trfico se siga redirigiendo al servidor web.
271
Si se ejecuta snort en el servidor web del mismo modo que se ha ejecutado anteriormente y se enva el mismo ataque desde el host atacante con idswakeup, los resultados de las alertas en el servidor web son los que se muestran en la figura 6-15.
En este caso, sin ejecutar snort_inline, han pasado ms ataques al servidor web, en concreto han pasado 1054 ataques ms. As pues se han escogido dos tipos distintos de sistemas de prevencin de intrusos uno con accin bloqueante (SnortSam) y otro que filtra el trfico descartando los paquetes maliciosos (Snort_inline). Ambas soluciones se basan en el IDS Snort. Entre las diferencias entre ambos sistemas, aparte de la distinta accin de prevencin que realizan, est el hecho de que SnortSam permite que Snort e Iptables estn en hosts distintos, pudiendo haber varios sensores Snort y Snort_Inline debe ejecutarse en el mismo host que Iptables.
CONCLUSIONES
En este proyecto, se ha pretendido mostrar la importancia de la seguridad y de la proteccin de intrusiones en los sistemas y en las redes. Como se ha visto, son muchos los sistemas de deteccin de intrusos existentes, tanto comerciales, como de libre distribucin que ofrecen soluciones para la seguridad de distintos esquemas de red. Siendo este un sector en auge y necesario para los entornos empresariales. De entre las soluciones de deteccin de intrusos, se ha escogido Snort, un sistema de libre distribucin, ya que por sus caractersticas es considerado uno de los principales detectores de intrusos. Esto se debe a su motor de deteccin, a su versatilidad en distintos entornos de red, a la cantidad de software complementario, anlisis de logs, opciones de configuracin, etc. Adems consta de gran cantidad de filtros o patrones predefinidos y de constantes actualizaciones. Asimismo, hay que destacar la ventaja que representa el uso de herramientas de software libre, ya que proporciona numerosas posibilidades y es muy importante el apoyo que se encuentra en los distintos medios como foros, pginas webs, etc. Si bien el software libre tambin tiene la desventaja de que en numerosas ocasiones, hay mucha informacin poco fiable y por ello, hay que consultar muchas fuentes y cerciorarse de que la informacin obtenida es la adecuada. Se ha visto la importancia de la configuracin del sistema de deteccin de intrusos y de su integracin junto con otras herramientas, para mejorar su rendimiento (como PmGraph), actualizacin (como Oinkmaster) y facilitar el anlisis de los resultados (como ACID, BASE, SnortSMS, SnortSnarf). Tambin se ha visto una solucin de cdigo abierto (OSSIM), que integra varias herramientas, que posee gran funcionalidad y que permite una gestin centralizada del sistema. Asimismo se han utilizado herramientas benchmarks para el testeo y el entrenamiento del sistema para evaluar y poder mejorar su capacidad de deteccin. Se han utilizado herramientas generadoras de ataques y tambin conjuntos de datos que mezclan actividad normal con ataques producidos en entornos reales para entrenar el sistema. Tambin se han visto una serie de herramientas de libre distribucin que realizan la captura de datos, el anlisis de los mismos o que actan manipulando e inyectando paquetes en la red y que han servido para analizar el trfico y el rendimiento de la red. Para comprobar el funcionamiento del IDS, se ha puesto en funcionamiento el sistema en un entorno real expuesto a gran cantidad de intentos de intrusin y amenazas como es un Departamento de la Universidad. El objetivo primordial ha sido ver la capacidad de deteccin del sistema, analizando las alertas que se han producido y los equipos que han intervenido en esos ataques. As como evaluar el rendimiento del sistema durante el periodo de tiempo que ha estado en funcionamiento. Finalmente se han mostrado otras soluciones para la proteccin de las redes, como son los sistemas de prevencin de intrusos. Se han comparado varias de las soluciones
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
274
existentes y se han escogido dos sistemas basados en el IDS Snort, que llevan a cabo la prevencin de dos formas distintas: SnortSam y Snort_Inline. SnortSam acta bloqueando las direccines IP atacantes resultando muy efectivo ya que impedir que el atacante pueda acceder al sistema durante el tiempo especificado o de forma indefinida. Por otra parte, Snort-Inline acta slo descartando los paquetes que suponen amenaza para el sistema segn van circulando a travs de l, si bien tiene que encolar dichos paquetes para poder analizarlos. As pues con este proyecto se ha intentado indagar en las soluciones de deteccin y prevencin de intrusos, utilizando herramientas de libre distribucin para implementar y poner en funcionamiento estas soluciones y evaluar sus resultados en una organizacin expuesta a posibles ataques malintencionados.
TRABAJO FUTURO
En este proyecto se ha iniciado una aproximacin al campo de la deteccin y de la prevencin ante intrusos. Si bien este campo es muy amplio, existiendo gran cantidad de posibilidades sobre las cuales se debe de seguir indagando y avanzando, ya que queda mucho por hacer. Entre las posibles lneas de investigacin se encuentra el reducir los falsos positivos que hacen que en muchas ocasiones se generen numerosas cantidades de alertas que no suponen ataques verdaderos. As pues, se puede trabajar en mejorar el motor de deteccin de los IDS. Otro campo muy interesante es la deteccin de anomalas, en el cual se debe de seguir avanzando ya que suponen un nivel superior de seguridad del cual los sistemas de deteccin de intrusos tradicionales carecen. Su importancia radica en que la deteccin de anomalas se opera slo desde la base de la actividad normal, buscando eventos extraos al sistema. Un IDS usa un conjunto de reglas definido o filtros que han sido seleccionados como un evento especfico malicioso, esto se refiere a la deteccin de uso indebido y slo puede capturar eventos mientras que un sistema capaz de detectar anomalas puede detectar nuevos y desconocidos eventos. Tambin la prevencin de intrusos ofrece muchas posibilidades de mejora en la seguridad. Ya que ofrecen una respuesta activa a los eventos de deteccin de intrusos. Esto permite tomar medidas ante los ataques como reconfigurar o alterar los mecanismos de accesos de control a las redes, sesiones o paquetes individuales basados en las reglas de sistemas de deteccin de intrusos. As pues investigar ms profundamente en este tema puede aportar importantes resultados. Por ltimo mencionar la aplicacin de las tcnicas de la inteligencia artificial al rea de la deteccin de intrusos que ha empezado a sugir hace varios aos. Entre los avances que puede aportar la IA a la deteccin de intrusos cabe citar la reduccin de los datos, mejorar la capacidad de analizar las colecciones de datos obtenidas, la posibilidad de nuevos ataques o pequeas modificaciones de los existentes, la clasificacin, etc. En general hay cuatro campos en los que se puede aplicar la inteligencia artificial y el aprendizaje: Utilizar la capacidad de entrenar un sistema para clasificar elementos en categoras, para distinguir la actividad normal de la intrusiva. Clustering: Particionamiento de los elementos dentro de grupos basados en criterios especficos que se podra aplicar a la clasificacin efectiva de usuarios, grupos, sesiones, etc. Tcnicas de aprendizaje predictivo, que permitiera a los sistemas desarrollar modelos temporales de datos para aprender comportamiento intrusivo desde datos temporales y secuencias de eventos temporales.
276
Capacidad de extraer caractersticas relevantes desde datos irrelevantes y la posibilidad de combinar caractersticas relevantes dentro de funciones que identifican eventos intrusivos.
Finalmente adems de la IA, y el aprendizaje, el empleo de redes neuronales podra mejorar los sistemas de deteccin debido a las capacidades de reconocimiento de patrones que presenta y que se pueden aplicar al campo de la deteccin de intrusos. As pues son muchas las lneas de investigacin que se pueden seguir y muchas las posibilidades que se abren con ellas.
BIBLIOGRAFA
Capitulo 1 Introduccin a los IDS
Artculos [MOS07] Eduardo Mosqueira-Rey, Amparo Alonso-Betanzos, Belen Baldonedo del Ro y Jess Lago Pieiro. Un Agente de Deteccin de Mal Uso para Deteccin de Intrusos en una Arquitectura Multiagente. 2007 [BIS94] Biswanath Mukherjee, L. Todd Heberlein, y Karl N. Network Intrusion Detection. Levitt. 1994 [TSA05] Chi-Ho Tsang, Sam Kwong y Hanli Wang. Anomaly Intrusion Detection using Multi-Objective Genetic Fuzzy System and Agent-based Evolutionary Computation Framework. 2005 [LEE00] Victor C. S. Lee, John A. Stankovic y Sang H. Son. Intrusion Detection in Real-time Database Systems Via Time Signaturas. 2000 [HER03] Omar A. Herrera R., CISSP.Implementacin y Configuracin de Sistemas de Deteccin de Intrusos. Octubre de 2003. [ESC05] Jose Antonio Escartn Vigo, Sistemas de deteccin de intrusiones. Junio 2005. [ABI03] Abiola Abimbola, Qi Shi y Madjid Merabti. NetHost-Sensor: A Novel Concept in Intrusion Detection Systems. 2003 [SIQ06] Lindonete Siqueira y Zair Abdelouahab. A Fault Tolerance Mechanism for Network Intrusion Detection System based on Intelligent Agents (NIDIA). 2006 [CHA07] Hilda Mara Chabl Martnez. Herramientas de monitoreo y deteccin de intrusos en servidores Linux. Febrero de 2007. [VIL04] Antonio Villaln Huerta. Sistemas distribuidos de deteccin de intrusos. Abril, 2004. [JIM] Alejandro Jimnez Picazo, Pedro Jess Gonzlez Escribano.AIRSNORT Manual de instalacin y uso. [SCO04] Charlie Scott, Paul Wolfe y Bert Hayes. Snort for Dummies. 2004 [CAR07] Luis Carlos Caruso, Guilherme Guindan, Hugo Schmitt, Ney Calazans, Fernando Morales. SPP- NIDS A Sea of Processors Platform for Network Intrusion Detection Systems. 2007
278
[ZUR04] Urko Zurutuza Ortega. Mondragn. Estado del Arte. Sistemas de Deteccin de Intrusos. Octubre de 2004. [HUA04] Andrs Huayquil - Mario Moya. Sistemas de Deteccin de Intrusiones. Seguridad Informtica. 2004 [VAN] Yoann Vandoorselaere y Laurent Oudot Prelude: an Open Source, Hybrid Intrusion Detection System. [AND72] Anderson, James, P. Computer Security Technology Planning Study. ESD-TR-73-51, v II. Electronic Systems Division, Air Force Systems Command, Hanscom Filed, Bedford, MA, octubre 1972. [DEN86] Denning, Dorothy E. An Intrusion Detection Model. Proceedings of the 1986 IEEE Symposium on Security and Privacy, Oakland, CA, April 1986. [GIL86] Fred Gilham Jr., Dr. Peter Neumann, Alfonso Valdes, Teresa F. Lunt, Ann Tamaru, R. Jagannathan, Caveh Jalali, Harold S. Javitz & Thomas D. Garvey. A Real-Time Intrusion-Detecion Expert System (IDES). [SMA88] Smaha Steve E. An Intrusion Detection System for the Air Force. Proceedings of the Fourth Aurospace Computer Security Applications Conference, Orlando, FL, December 1988. [HEB95] Heberlein, Todd. Network Security Monitor (NSM) - Final Report. Lawrence Livermore National Laboratory, Davis, CA, February 1995. [Asl95] T. Aslam, A Taxonomy of Security Faults in the UNIX Operating System, Purdue University Master's thesis, August 1995. [Kum95] S. Kumar, Classification and Detection of Computer Intrusion, Computer Science Department, Purdue University Ph.D. dissertation, August 1995. [Lan94] C. Landwehr, A. Bull, J. McDermott and W. Choi, A Taxonomy of Computer Program Security Flaws, ACM Computing Surveys, vol. 26, 3, pp. 211-254, September 1994. [Lind97] U. Lindqvist and E. Jonsson, How to Systematically Classify Computer Security Intrusions, IEEE Security and Privacy, pp. 154-163, 1997. [Lou01] D. Lough. A Taxonomy of Computer Attacks with Applications to Wireless Networks. Virginia Polytechnic Institute PhD Thesis, April 2001. [Att76] C.R. Attanasio, P.W. Markstein and R.J. Phillips, Penetrating an Operating System: A Study of VM/370 Integrity, IBM System Journal, vol. 15, 1, pp. 102-116, 1976. [Par75] D.B. Parker, Computer Abuse Perpetrators and Vulnerabilities of Computer Systems, Stanford Research Institute, Menlo Park, CA 94025 Technical Report, December 1975.
Bibliografa 279
[Neu89a] P.G. Neumann and D.B. Parker. A Summary of Computer Misuse Techniques. In Proceedings of the 12th National Computer Security Conference, 396-407, 1989. [Neu89b] P.G. Neumann and D.B. Parker, COMPUTER CRIME Criminal Justice Resource Manual, U.S. Department of Justice National Institute of Justice Office of Justice Programs, Prepared by SRI International under contract to Abt Associates for National Institute of Justice, U.S. Department of Justice, contract #OJP-86-C-002., 1989. [Neu95] P.G. Neumann. Computer Related Risks. The ACM Press, a division of the Association for Computing Machinery, Inc. (ACM), 1995. [Lind97] U. Lindqvist and E. Jonsson, How to Systematically Classify Computer Security Intrusions, IEEE Security and Privacy, pp. 154-163, 1997. [Jay97] N.D. Jayaram and P.L.R. Morse, Network Security - A Taxonomic View, In Proceedings of the European Conference on Security and Detection, School of Computer Science, University of Westmister, UK, Publication No. 437, 2830, April 1997. [Asl95] T. Aslam, A Taxonomy of Security Faults in the UNIX Operating System, Purdue University Master's thesis, August 1995. [Kum95b] S. Kumar, Classification and Detection of Computer Intrusion, Computer Science Department, Purdue University Ph.D. dissertation, August 1995. [Krs98] I. Krsul, Software Vulnerability Analysis, Purdue University Ph.D. dissertation, May 1998. [Ric99] T. Richardson, J. Davis, D. Jacobson, J. Dickerson and L. Elkin. Developing a Database of Vulnerabilities to Support the Study of Denial of Service Attacks. IEEE Symposium on Security and Privacy, May 1999. [Ric01] T. Richardson, The Development of a Database Taxonomy of Vulnerabilities to Support the Study of Denial of Service Attacks., Iowa State University PhD Thesis, 2001. [DAR04] DARPA Intrusion Detection Evaluation, Lincoln Laboratory, Massachusetts Institute of Technology. http://www.ll.mit.edu/IST/ideval/pubs/pubs_index.html, (07/10/2004). [Mar01] D. Marchette, Computer Intrusion Detection and Network Monitoring, A Statistical Viewpoint. New York, Springer, 2001. [BAC] Rebecca Bace y Peter Mell. NIST Special Publication on Intrusion Detection Systems http://www.21cfrpart11.com/files/library/government/intrusion_detection_syste ms_0201_draft.pdf www.nist.gov/
280
[SRI] SRI International. System Design Laboratory Laboratory - Intrusion Detection. [en lnea]. http://www.sri.com/. 2003 [Noe02] Steven Noel, Duminda Wijesekera, Charles Youman. Modern Intrusion Detection, Data Mining, and Degrees of Attack Guilt. In Applications of Data Mining in Computer Security, D. Barbar and S. Jajodia (eds.), Kluwer Academic Publisher, 2002 [Laz04] Lazarevic, A., Srivastava, J., Kumar, V. A Survey of Intrusion Detection techniques. book "Managing Cyber Threats: Issues, Approaches and Challenges", to be published by Kluwer in spring 2004 [Ye01b] Nong Ye, Emran S.M., Xiangyang Li, Qiang Chen. Statistical process control for computer intrusion detection. DARPA Information Survivability Conference & Exposition II, 2001. DISCEX '01 [BAR01] Daniel Barbara, NingningWu, and Sushil Jajodia. Detecting novel network intrusions using bayes estimators. In Proceedings of First SIAM Conference on Data Mining, Chicago, IL, 2001. [ERT03A] Ertoz, L., Eilertson, E., Lazarevic, A., Tan, P., Dokas, P., Srivastava, J., Kumar, V.: Detection and Summarization of Novel Network Attacks Using Data Mining, Technical Report, 2003. [SEQ02] Karlton Sequeira and Mohammed Zaki. ADMIT: anomaly-based data mining for intrusions. Proceedings of the eighth ACM SIGKDD international conference on Knowledge discovery and data mining. Edmonton, Alberta, Canada, 2002. pp. 386- 395. [Kum94] Sandeep Kumar and Eugene Spafford. An Application of Pattern Matching in Intrusion Detection. Technical Report 94-013, Purdue University, Department of Computer Sciences, March 1994. [BAU88] D.S. Bauer and M.E. Koblentz, NIDX - An Expert System For RealTime, Computer Networking Symposium, 1988. [WAS90] Dowell, Cheri, and Ramstedt, Paul, "The ComputerWatch Data Reduction Tool," Proceedings of the 13th National Computer Security Conference, Washington, D.C., 1990 [WIN90] J.R. Winkler, A UNIX Prototype for Intrusion and Anomaly Detection in Secure Networks, In Proceedings of the 13th National Computer Security Conference, Baltimore, MD, October 1990 [WIN92] J.R. Winkler and L.C. Landry, Intrusion and Anomaly Detection, ISOA Update, In Proceedings of the 15th National Computer Security Conference, Baltimore, MD,October 1992. [ESM97] M. Esmaili, R. Safavi-Naini and B.M. Balachandran, Autoguard: A Continuous Case-Based Intrusion Detection System, In Proceedings of the
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Bibliografa 281
Australian Computer Science Conference, Australian Computer Science Communications, Sydney, Australia, 392-401, February 1997. [NOR98] S. Northcutt, SHADOW, http://www.nswc.navy.mil/ISSEC/CID/, 1998. [SNO04] Snort 2.1 Intrusion Detection Second Edition Autores: Stephen Northcutt and others. [RAN97] M. Ranum, K. Landfield, M. Stolarchuk, M. Sienkiewicz, A. Lambeth and E. Wall. Implementing a generalized tool for network monitoring. Proceedings of LISA '97,USENIX 11th Systems Administration Conference, San Diego, Oct. 1997. [LAW98] Lawrence Livermore National Laboratory (1998). Network Intrusion Detector (NID) Overview. Computer Security Technology Center, http://ciac.llnl.gov/cstc/nid/intro.html. [ILG92] USTAT - A Real-time Intrusion Detection System for UNIX Ilgun 1992 [POR92] P.A. Porras. STAT - A State Transition Analysis Tool for Intrusion Detection. Master's thesis, Computer Science Department, University of California, Santa Barbara. 1992. [VIG98] G. Vigna and R. Kemmerer. NetSTAT: A Network-based Intrusion Detection Approach. In Proceedings of the 14th Annual Computer Security Application Conference, Scottsdale, Arizona, December 1998. [VIG99] G. Vigna and R.A. Kemmerer. NetSTAT: A Network-based Intrusion Detection System. Journal of Computer Security, 7(1), IOS Press, 1999. [Kum94] Sandeep Kumar and Eugene Spafford. An Application of Pattern Matching in Intrusion Detection. Technical Report 94-013, Purdue University, Department of Computer Sciences, March 1994. [MEI03] Meimei Gao, MengChu Zhou. Fuzzy intrusion detection based on fuzzy reasoning Petri nets. IEEE International Conference on Systems, Man and Cybernetics. 5-8 Oct. 2003 Pages:1272-1277 vol.2 [ZUR] Urko Zurutuza y Roberto Uribeetxeberra Revisin Del estado actual de la investigacin en el uso de data mining para la deteccin de intrusiones [ZUR04] Urko Zurutuza Ortega. Mondragn.Estado del Arte. Sistemas de Deteccin de Intrusos. Octubre de 2004. [Cun99] R. K. Cunningham, R. P. Lippmann, D. J. Fried, S. L. Garfinkel, I. Graf, K. R. Kendall, S. E. Webster, D. Wyschogrod, M. A. Zissman. Evaluating Intrusion Detection Systems without Attacking your Friends: The 1998 DARPA Intrusion Detection Evaluation. In Proceedings ID'99, Third Conference and Workshop on Intrusion Detection and Response, San Diego, CA: SANS Institute. 1999.
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
282
[KDD99] The Third International Knowledge Discovery and Data Mining Tools Competition, KDD Cup 1999 Data. http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html (10- 2004). [GOM06] Julio Gmez, Ral Baos. Seguridad en Sistemas Operativos Windows y Linux. Editorial Ra-Ma. [GON03] Diego Gonzlez Gmez. Sistemas de Deteccin de Intrusiones. Julio de 2003. [GRE] ngel Grediagal, Francisco Ibarra, Bernardo Ledesma, Francisco Brotons. Utilizacin de redes neuronales para la deteccin de intrusos. [HUA04] Andres Huayquil, Mario Moya. Sistemas de Deteccin de Intrusiones. Seguridad Informtica 2004. Universidad Nacional del Comahue. [MAR06] Asier Martnez Martnez. Tcnicas de Deteccin de Intrusiones en Redes 802.11. Noviembre de 2006. [VIL05] Antonio Villaln Huerta. Sistemas de deteccin de intrusos. Mayo de 2005. [BAL04] Walter Baluja Garca. Los Sistemas detectores de intrusos. Departamento de Telemtica. CUJAE. Ciudad de la Habana, Cuba. 2004. [ALL] Julia Allen, Alan Christie, William Fithen, John McHugh, Jed Pickel y Ed Stoner. State of the Practice of Intrusion Detection Technologies. [NIC] S. Niccolini A, R. G. Garroppo B, S. Giordano B, G. Risi B, S. Ventura C. SIP Intrusion Detection and Prevention: Recommendations and Prototype Implementation [PUK96] N. J. Puketza, K. Zhang, M. Chung, B. Mukherjee and R. A. Olsson. A Methodology for Testing Intrusion Detection Systems, IEEE Transactions on Software Engineering, 1996 [ATH03] N. Athanasiades, R. Abler, J. Levine, H. Owen and G. Riley. Intrusion Detection Testing and Benchmarking Methodologies, First IEEE International Information Assurance Workshop, 2003 [LOD98] S. Lodin, Intrusion Detection Product Evaluation Criteria, 1998, http://citeseer.nj.nec.com/lodin98intrusion.html [HER03] Pete Herzog, OSSTM 2.1. Open Source Security Testing Methodology manual, The institute for Security and Open Methodology, ISECOM, 2003 [OSS] Neohapsis OSEC, Open Security Evaluation Criteria, Open Security Evaluation Criteria (OSEC) website, http://osec.neohapsis.com/ [McR08] Russ McRee. Fwsnort-1.0.5:iptables intrusion detection. ISSA member, Puget Sound (Seattle), WA, USA chapter. 2008
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Bibliografa 283
[RAS07] Michael Rash Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort. 15 Septiembre 2007. [SMI06] Mike Smith, Sean Dukin y Kaebin Tan. IPS:A Users Guide for an IPS Built from Open Source Products. ITM549. 5/3/2006 [THI05] James E. Thiel. An introduction to intrusion detection and intrusion prevention systems.January 14, 2005 S.W.A.T. Drexel University [SEC03] Secure Computing Corporation Intrusion Prevention Systems (IPS). 2003 [NSS04] Grupo NSS (www.nss.co.uk). Intrusion Prevention Systems (IPS). January 2004 Pginas Web [CIS99] Cisco Systems, Inc. NetRanger Documentation. URL: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/netrangr/ [CIS02] Cisco Systems, Inc.: Cisco - Cisco Intrusion Detection, http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/, 2002. [ENT02] Enterasys Networks, Inc.: http://www.enterasys.com/ids/, 2002. Intrusion Detection Solutions,
[SYM04] Symantec http://www.symantec.com/avcenter/security/Content/2004.09.22.html http://www.webvisions.com/managedservices/ids.html [IIS02] Internet Security Systems, Inc.: RealSecure R _ Network Protection, http://www.iss.net/products_services/enterprise_protection/rsnetwork/index.php, 2002. [PRELUDE] https://trac.prelude-ids.org/ [W&S] http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?arnumber=36302 [SNARE] http://articles.techrepublic.com.com/5100-10878_11-5058784.html [SQUIRE] http://www.intrusion-detection-system-group.co.uk/host.htm [LOGCHECK] http://www.freeos.com/articles/3540/ [SHADOW] http://www.isp-planet.com/services/ids/shadow.html [AID] http://www-rnks.informatik.tu-cottbus.de/de/node/182 [EMERALD] http://www.cs.fsu.edu/~yasinsac/group/slides/leckie.pdf
284
[BLACKICE] http://documents.iss.net/literature/BlackICE/EOL_Support_Notice_BlackICE_Ag ent_Server_3.5_033105.pdf [CISCO] http://www.cisco.com/ http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml [Etrust Intrusion Detection] http://www.ebusiness-security.com/eTrust_Intrusion_detection.htm; http://www.calatam.com/docs/espanol/etrust/eTrust_Intrusion_DetectionDescripcion_producto_esp.pdf [NFR] http://www.blackknife.com/Archive/Deaddrop/Papers/IDSeval.html [ENTERASYS] http://www.enterasys.com/products/advanced-security-apps/dragon-intrusiondetection-protection.aspx http://www.enterasys.com/company/literature/dragon-idps-ds.pdf [BRO] www.nrg.ee.lbl.gov/bro-info.html http://www.bro-ids.org/ [ISA SERVER] http://download.microsoft.com/download/1/b/4/1b4bd751-6eba-4b09-9b822379175fb659/ISA_Server_2006_DS.pdf [RealSecure] http://documents.iss.net/literature/RealSecure/rs_sysreqs.pdf [ISA IDS] http://66.102.9.104/search?q=cache:x9oIl73ynXIJ:www.usm.edu/math/conference s/scc2/papers/Emran-Ye.ps+ISA-IDS&hl=es&ct=clnk&cd=3&gl=es [ADAM] http://www.stormingmedia.us/04/0486/A048654.html http://ise.gmu.edu/~dbarbara/adam.html [ASAX] http://www.info.fundp.ac.be/~cri/DOCS/asax.html [MINDS] http://www.cs.umn.edu/news/SoundByte/S03/minds.html http://www-users.cs.umn.edu/~kumar/papers/minds_chapter.pdf [Securepoint] http://majorgeeks.com/Securepoint_Intrusion_Detection_System_d2759.html [ISA IDS] http://66.102.9.104/search?q=cache:x9oIl73ynXIJ:www.usm.edu/math/conference s/scc2/papers/Emran-Ye.ps+ISA-IDS&hl=es&ct=clnk&cd=3&gl=es
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Bibliografa 285
[IDS EN GENERAL] http://en.wikipedia.org/wiki/Intrusion-detection_system#cite_note-12 http://www.blackknife.com/Archive/Deaddrop/Papers/IDSeval.html http://www.cerias.purdue.edu/about/history/coast_resources/idcontent/ids.html http://en.wikipedia.org/wiki/Intrusion-detection_system#cite_note-12 http://seclab.cs.ucdavis.edu/~chungy/doc/MDS.htm http://en.wikipedia.org/wiki/Intrusion-detection_system http://www.linux-knowledgeportal.org/en/content.php?&content/security/ids1.html http://www.isp-planet.com/services/ids/index.html http://www.blackknife.com/Archive/Deaddrop/Papers/IDSeval.html http://www.cse.sc.edu/research/isl/mirrorSobireys.shtml www.security.focus.com/infocus/1514 http://www.dgonzalez.net/pub/ids/html/cap01.htm http://www.intarwebz.com/snort-ips http://www.linuxsecurity.com/resource_files/intrusion_detection/networkintrusion-detection.html#4.1 http://www.cerias.purdue.edu/about/history/coast/projects/aafid.php http://www.cerias.purdue.edu/about/history/coast_resources/intrusion_detection/ http://www.dgonzalez.net/pub/ids/html/cap01.htm http://www.infosecurity.org.cn/content/ids/Application%20of%20Neural%20Net works%20to%20Intrusion%20Detection.pdf http://www-rnks.informatik.tu-cottbus.de/en/node/209 http://www.windowsecurity.com/articles/IDS-Part2-Classification-methodstechniques.html [Portsentry] www.cisco.com http://tldp.org/LDP/solrhe/Securing-Optimizing-Linux-RH-Editionv1.3/chap14sec116.html http://www.securityfocus.com/infocus/1580 [Honeyd] http://www.honeyd.org/index.php http://www.securityfocus.com/infocus/1659 [Honeypot] http://www.honeypots.net/honeypots/products [DTK] http://www.all.net/dtk/index.html [SPECTER] http://www.specter.com/default50.htm [Hogwash] http://hogwash.sourceforge.net/oldindex.html [DRAGON IPS] https://dragon.enterasys.com/ [FwSnort] http://cipherdyne.org/fwsnort/
286
Capitulo 2 Snort Artculos [BEA] Jay Beale, James C. Foster, Jeffrey Posluns, Brian Caswell. Snort 2.0. Intrusion Detection. [LOP] scar Andrs Lpez, Misael Leonardo Prieto Parra. Arquitectura y Comunicaciones en un Sistema de Deteccin de Intrusos. Universidad de los Andes. Bogot, Colombia [FEL04] Santiago Felici Castell. Mtodos de seguridad en una red: cortafuegos y deteccin de intrusos (IDS). Junio 2004 [SCO04] Charlie Scott, Paul Wolfe y Bert Hayes Snort for Dummies. 2004 [ROE07] El equipo de Snort dirigido por Martin Roech. SnortTMUsers Manual 2.8.0. The Snort Project August, 2007. [KOZ03] Jack Koziol. Intrusin detection with Snort. 2003 [CAM] Luis Campo Giralte. Diseo de Sistemas Distribuidos de Deteccin de Anomalas de Red. [BIL] Detecting the Unknown with Snort and the Statistical Packet Anomaly Detection Engine ( SPADE ). Autor: Simon Biles [PAL] Utilizando Snort_inline. Autores: Pierpaolo Palazzoli, Matteo Valenza [RAH06] Intrusion Detection System using Snort & SAM. Autores: Rahaman y A. Uddin, Abril, 2006 S.
[PRO07] Ryan Proudfoot, Kenneth Kent, Eric Aubanel, y Nan Che. High Performance Software-Hardware Network Intrusion Detection System. 2007 [GAR07] J.E. Daz-Verdejo, Member IEEE, P. Garca-Teodoro, P. Muoz, G. Maci-Fernndez y F. De Toro. Una aproximacin basada en Snort para el desarrollo e implantacin de IDS hbridos. Octubre 2007 [KEN04] Towards a Grid-wide Intrusion Detection System. Autores: Stuart Kenny y Brian Coghlan. Dublin, Irlanda. 2004 Pginas Web [Snort General] www.snort.org http://www.snort.org/docs/ http://www.net-security.org/article.php?id=860 [Elementos] http://www.informit.com/articles/article.aspx?p=101148
Bibliografa 287
[Preprocesadores] http://afrodita.unicauca.edu.co/~cbedon/snort/spp_kickstart.html [Rules] http://www.sourcefire.com/products/snort/rules [Engine] http://www.sourcefire.com/products/snort/engine [SPADE]http://majorgeeks.com/Sam_Spade_d594.html [Snort_Inline]http://snort-inline.sourceforge.net/ [BRO] http://www.bro-ids.org/ [SAM] http://www.darkaslight.com/projects/sam [Snort Log Parser] http://linux-bsd-central.com/index.php/content/view/17/28/ [IDS Policy Manager] http://www.activeworx.org/Default.aspx?tabid=55 [ACID] http://acidlab.sourceforge.net/ [BASE] http://sourceforge.net/projects/secureideas/ Captulo 3 Instalacin y configuracin Artculos [BEL02] Ivn Belmonte. Configuracin de un sistema de deteccin de intrusiones. Configuracin de Snort con interface ACID. Abril de 2002. [BRU03] Bruce Perens. Open Source Series Intrusion Detection Systemswith Snort. Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID 2003 [HAR04] Patrick Harper | CISSP, RHCT, MCSE with contributions and editing by Nick Oliver | CNE 2.004. Snort Install Manual Snort, Apache, SSL, PHP, MySQL, Acid Install on Fedora Core 2 [BIL] Detecting the Unknown with Snort and the Statistical Packet Anomaly Detection Engine ( SPADE ). Autor: Simon Biles [PTA98] Thomas H. Ptacek, Timothy N. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. Newsham.Secure Networks, Inc. January, 1998. [ROE07] El equipo de Snort dirigido por Martin Roech. SnortTMUsers Manual 2.8.0. The Snort Project August, 2007. [KOZ03] Jack Koziol. Intrusin detection with Snort. 2003
288
[ESC05] Jos Antonio Escartn Vigo.Captulo 13. Sistemas de Deteccin de Intrusos.Junio 2005. [SHA] Umesh Shankar- Vern Paxson. Active Mapping: Resisting NIDS EvasionWithout Altering Traffic.University of California at Berkeley- ICSI Center for Internet Research and Lawrence Berkeley National Laboratory [REH] Rafeeq Ur Rehman. Intrusion Detection Systems with Snort. Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID Pginas Web [Snort] www.snort.org http://nautopia.coolfreepages.com/snort.htm http://www.freeos.com/articles/3496/ [OINKMASTER] http://oinkmaster.sourceforge.net/ [PmGraph] http://www.mtsac.edu/~jgau/Download/src/ [Seelinux] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-selinux.html [Apache] http://httpd.apache.org [PHP] http://es.php.net/ [MySQL] http://www.mysql.com/ [ACID] http://www.acid.org/ [BASE] http://base.secureideas.net/ [SnortSMS] http://snortsms.sourceforge.net/dnloads/snortsms_install.html http://www.net-security.org/goto.php?cat=2&id=342 http://www.onestopappsecurity.com/2007/07/snort_sms_168.html [SnortSnarf] http://www.silicondefense.com/software/snortsnarf/index.htm http://www.silicondefense.com/software/snortsnarf/example/index.html http://www.securityfocus.com/tools/1603 http://www.papa-net.info/server/linux/fedora6/snort.htm [OSSIM] http://www.ossim.net/ http://www.lomin.com/taxonomy/term/1 http://www.ossim.net/dokuwiki/doku.php?id=installation:debian_en_espanol http://www.ossim.net/dokuwiki/doku.php?id=installation:debian http://www.ossim.net/whatis_es.php http://www.ossim.net/download.php
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Bibliografa 289
[SPADE] http://www.sans.org/resources/idfaq/statistic_ids.php http://www.majorgeeks.com/Sam_Spade_d594.html http://www.sans.org/resources/idfaq/statistic_ids.php http://www.cs.luc.edu/~pld/courses/447/sum08/class6/README.Spade [Frag3] http://projects.cs.luc.edu/comp412/dredd/docs/software/readmes/frag3 http://www.snort.org/docs/idspaper/ http://www.icir.org/vern/papers/activemap-oak03.pdf Captulo 4 Benchmarks Artculos [NIS02] Security Laboratory NISlab.Using IDSconfigurations Norwegian Information. 2002 benchmarking to improve
[ATH] Nicholas Athanasiades, Randal Abler, John Levine, Henry Owen, and George Riley. Intrusion Detection Testing and Benchmarking Methodologies. School of Electrical and Computer Engineering Georgia Institute of Technology Atlanta, Georgia 30332-0250 USA Pginas Web [IDSWAKEUP] http://www.hsc.fr/ressources/outils/idswakeup/index.html.en [SNEEZE] http://snort.sourceforge.net/sneeze-1.0.tar [STICK] ftp://ftp.st.ryukoku.ac.jp/pub/security/tool/stick/stick.tgz [FTESTER] ftp://ftp.shttp://ftester.sourceforge.net.t.ryukoku.ac.jp/pub/security/tool/stick/stick. tgz [DARPA]http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/i ndex.html [Bittwist] http://bittwist.sourceforge.net/ [Tcpdump] http://www.arrakis.es/~terron/tcpdump.html http://www.tcpdump.org/tcpdump_man.html [Tcpshow] http://linux.die.net/man/1/tcpshow [Tcpreplay] http://tcpreplay.synfin.net/trac/wiki/usage http://seclists.org/focus-ids/2006/Feb/0073.html http://pwet.fr/man/linux/commandes/tcpreplay
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
290
[Sawmill] http://www.sawmill.net/formats/praudit.html [HPING] http://www.unix.com.ua/orelly/networking_2ndEd/tshoot/ch09_01.htm http://www.hacktimes.com/?q=node/18 [Iperf] http://dast.nlanr.net/Projects/Iperf/iperfdocs_1.7.0.php [Packit] http://www.packetfactory.net/projects/packit/ http://foro.portalhacker.net/index.php/topic,78182.0.html [NEMESIS] http://www.packetfactory.net/projects/nemesis/ http://nemesis.sourceforge.net/ [Herramientas Polivalentes General] http://www.cs.columbia.edu/~hgs/internet/tools.html http://www.comlab.uni-rostock.de/research/tools.html http://wiki.wireshark.org/Tools http://www.packetfactory.net/projects/ http://www.softpanorama.org/Net/Network_security/packet_generation_tools.sht ml
Captulo 5 Puesta en Marcha de un IDS en la UAL Artculos: [MIR] E. J. Mira, R. Montaana y F. J. Monserrat. Implantacin de un sistema de deteccin de intrusos en un entorno universitario. Pginas Web: [Informacin IP BASE] http://cqcounter.com/whois/ [CISCO] www.cisco.com [Snort] www.snort.org http://nautopia.coolfreepages.com/snort.htm [OINKMASTER] http://oinkmaster.sourceforge.net/ [PmGraph] http://www.mtsac.edu/~jgau/Download/src/ [Apache] http://httpd.apache.org) [PHP] http://es.php.net/ [MySQL] http://www.mysql.com/
Maria Isabel Gimnez y Julio Gmez http://www.adminso.es
Bibliografa 291
Captulo 6 Puesta en marcha de un IPS Artculos: [PAL] Pierpaolo Palazzoli, Matteo Valenza Utilizando Snort_inline. [RAH06] S. Rahaman y A. Uddin Intrusion Detection System using Snort & SAM., Abril, 2006 [SLI03] Tim Slighter. Configuring IPTABLES for Snort-Inline. January 23, 2003 [MAR07] Luis Alberto Marichal Alcantara, Juan Ariel Zaragozi Jimeno, Walter Baluja Garca. Solucin de cortafuegos basada en la integracin de herramientas de software libre: Snort e IPTables Facultad de Ingeniera Elctrica. ISPJAE.Cuba. 2007 Pginas Web: [IPS GENERAL] http://hakin9.org/prt/view/building-ips.html http://www.securecomputing.com/pdf/Intru-Preven-WP1-Aug03-vF.pdf http://www.channelplanet.com/index.php?idcategoria=13968 [Comandos Iptables] iptables-options.html http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-
[SnortSam] www.snortsam.net http://www.snortsam.net/files/snortsam/ [Snort Inline] http://snort-inline.sourceforge.net/ http://linuxgazette.net/117/savage.html http://linuxgazette.net/118/savage.html http://www.vuurmuur.org/trac/wiki/SnortInline http://cvs.snort.org/viewcvs.cgi/snort/doc/README.INLINE?rev=1.2 http://www.openmaniak.com/inline.php http://www.infosecwriters.com/texts.php?op=display&id=64 http://www.linuxsecure.de/index.php?action=90 http://cipherdyne.org/blog/categories/intrusion-detection-and-iptables.html http://taosecurity.blogspot.com/2004_09_01_taosecurity_archive.html#109474686 145965470
292
http://www.mirrors.wiretapped.net/security/network-intrusiondetection/snort/snort-MANUAL.pdf http://www.iu.hio.no/teaching/materials/MS004A/index.phtml?show=P90.en&we ek=12 http://ubuntuforums.org/archive/index.php/t-250759.html http://eatingsecurity.blogspot.com/2007/09/transparent-bridging-mmap-pcapand.html http://www.iu.hio.no/teaching/materials/MS004A/index.phtml?show=L70.en&we ek=10 http://www.intarwebz.com/snort-ips/ http://johncrackernet.blogspot.com/2006/12/snort-inline-part-2.html http://www.snort.org/archive-1-3119.html http://sourceforge.net/projects/snort-inline/ http://openmaniak.com/inline_final.php