Sistemas de Detección de Intrusos Emilio José Mira Alfaro [email protected]13 de Enero de 2002 1 Introducción a los IDS 1.1 ¿Qué es un IDS? Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es una herramienta de seguri- dad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión. Definimos intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informático, o de eludir los mecanismos de seguridad de éste. Las intrusiones se pueden producir de varias formas: Atacantes que acceden a los sistemas desde Internet. Usuarios autorizados del sistema que intentan ganar privilegios adicionales para los cuales no están autorizados. Usuarios autorizados que hacen un mal uso de los privilegios o recursos que se les ha sido asignados. Para diferenciar de forma clara lo que es intrusión de lo que no lo es, una organización debería establecer una política de seguridad, donde se deje claro qué está permitido y qué no. Para más información sobre este tema ver [5]. 1.2 ¿Por qué utilizar un IDS? La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que apare- cen al incrementar la conectividad entre las redes. Los ataques de DoS (denegación de servicio) en febrero de 2000 ante Amazon.com y E-Bay entre otras, revelaron la necesidad de herramientas efectivas para la detección de intrusos, especialmente en empresas on-line públicas y de comercio electrónico. Se estima que el 85% de los ataques que se producen en una red vienen desde dentro. El resto son ataques externos en forma de ataques DoS o intentos de penetración en la infraestructura de la red. Los IDS han ganado aceptación como una adición necesaria para toda infraestructura de seguridad de la organización. Hay varias razones para adquirir y usar un IDS: Prevenir problemas al disuadir a individuos hostiles: Al incrementar la posibilidad de descubrir y castigar a los atacantes, el comportamiento de algunos cam- biará de forma que muchos ataques no llegarán a producirse. Esto también puede jugar en nuestra contra, puesto que la presencia de un sistema de seguridad sofisticado puede hacer crecer la curiosidad del atacante por ver qué es eso que tanto intentamos proteger. 1
29
Embed
Sistemas de Detección de Intrusos - Muralmural.uv.es/emial/informatica/pdf/IDS.pdfde transmitir los siguientes tipos de información: Información de eventos en bruto. Auditoría
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Seestimaqueel 85%delos ataquesqueseproducenenunaredvienendesdedentro.El restosonataquesexternosen formadeataquesDoSo intentosdepenetraciónen la infraestructurade la red. Los IDS hanganadoaceptacióncomounaadiciónnecesariaparatodainfraestructuradeseguridadde la organización.Hayvariasrazonesparaadquiriry usarun IDS:
Prevenir problemasal disuadir a individuos hostiles:
Al incrementarla posibilidaddedescubriry castigara los atacantes,el comportamientodealgunoscam-biarádeformaquemuchosataquesno llegarána producirse.Estotambiénpuedejugarennuestracontra,puestoquela presenciadeunsistemadeseguridadsofisticadopuedehacercrecerla curiosidaddelatacanteporverquéesesoquetantointentamosproteger.
Los atacantespuedenconseguir accesosno autorizadosa muchossistemascuandovulnerabilidadescono-cidasno soncorregidas.Estacorrecciónno siempreesposible,ya seapor problemasdetiempopor partedeladministradoro simplementeporunfallo deconfiguración.AunqueunIDS NO puededetectarcuandoun atacanteen un sistemaha tenidoéxito explotandoun fallo no corregido, sí quepodríamosavisar aladministradorparaque llevaraa caboinmediatamenteun backupdel sistemay evitar asíquesepierdainformaciónvaliosa.
Detectarpreámbulosde ataques.
Cuandoun individuo atacaun sistema,lo hacetípicamenteen fasespredecibles.En la primerafase,unatacantehacepruebasy examinael sistemao redenbuscadeun puntodeentradaóptimo. En sistemasoredesqueno disponendeun IDS, el atacanteeslibre deexaminarel sistemaconun riesgomínimodeserdetectado.Estole facilita la búsquedadeun puntodébil ennuestrared.
La mismared con un IDS monitorizandosusoperacionesle presentaunamayordificultad. Aunqueelatacantepuedeexaminarla red,el IDS observaráestasacciones,lasidentificarácomosospechosas,podráactivamentebloquearel accesodel atacanteal sistemaobjetivo y avisaráal personalde seguridadde loocurridoparaquetomelasaccionespertinentes.
Documentarel riesgode la organización.
Cuandosehaceunpresupuestoparala gestióndeseguridaddela red,esnecesarioconocercualesel riesgodela organizacióna posiblesamenazas,la probabilidaddeseratacadao si inclusoestásiendoatacada.
Un IDS nospuedeayudara conocerla amenazadesdefueray dentrode la organización,ayudándonosahacerdecisionesa cercadelos recursosdeseguridadquedeberemosemplearennuestrared.
Proveer información útil sobre las intrusionesqueocurren.
Incluso cuandolos IDSs no son capacesde bloquearataques,puedenrecogerinformacióndetalladayrelevantesobreéstos.Estainformaciónpuede,bajociertascircunstancias,serutilizadacomopruebasenactuacioneslegales. Tambiénsepuedeusarestainformaciónparadetectarfallos en la configuracióndeseguridado enla políticadeseguridaddela organización.
El MarcodeDetecciónde IntrusosComúnfue un primer intentodeestandarizaciónde la arquitecturadeun IDS. No logró suaceptacióncomoestándar, peroestablecióun modeloy un vocabulario paradiscutirsobrelas intrusiones.Muchagentequetrabajóenel esfuerzooriginal estáfuertementeinvolucradaenlosesfuerzosdelGrupodeTrabajodeDeteccióndeIntrusos(IntrusionDetectionWorking Group,IDWG) delInternetEngineeringTaskForce(IETF).
Existenvariasfuentespor lasqueun IDS puedetomareventos.AlgunosIDSsanalizanpaquetesdered,capturadosdelbackbonedela redo desegmentosLAN, mientrasqueotrosIDSsanalizaneventosgenera-dospor los sistemasoperativoso softwaredeaplicaciónenbuscadeseñalesdeintrusión.
IDSsbasadosen red (NIDS)
La mayorpartedelos sistemasdedeteccióndeintrusosestánbasadosenred.EstosIDSsdetectanataquescapturandoy analizandopaquetesdered.Escuchandoenun segmentodered,un NIDS puedemonitorizarel traficoderedqueafectaamúltipleshostsqueestánconectadosaesesegmentodered,protegiendoasíaestoshosts.
Los IDSs basadosen red a menudoestánformadospor un conjuntode sensoreslocalizadosen variospuntosdela red. Estossensoresmonitorizanel traficodela red,realizandoanálisislocal deestetraficoeinformandoataquesa la consoladegestión.Comolos sensoresestánlimitadosa ejecutarel IDS, puedensermasfácilmenteaseguradosanteataques.Muchosdeestossensoressondiseñadosparacorrerenmodooculto,detal formaqueseamásdifícil paraunatacantedeterminarsupresenciay localización.
Ventajas:
4
� Un IDS bienlocalizadopuedemonitorizarunaredgrande.
� Los NIDSs tienenun impactopequeñoen la red, siendonormalmentedispositivospasivos quenointerfierenenlasoperacioneshabitualesdeésta.
� Puedentenerdificultadesprocesandotodoslos paquetesen unared grandeo con muchotrafico ypuedenfallar en reconocerataqueslanzadosduranteperiodosde tráfico alto. Algunosvendedoresestánintentandoresolver esteproblemaimplementandoIDSs completamenteen hardware,lo cualloshacemuchomásrápidos.
� LosIDSsbasadosenrednoanalizanla informaciónencriptada.Esteproblemaseincrementacuandola organizaciónutiliza encriptaciónen el propio nivel de red (IPSec)entrehosts,pero se puederesolverconunapolíticadeseguridadmásrelajada(porejemploIPSecenmodotúnel).
� La mayoríade los IDSsbasadosenredno sabensi el ataquetuvo o no éxito, lo únicoquepuedensaberesqueel ataquefue lanzado.Estosignificaquedespuésde queun NIDS detecteun ataque,losadministradoresdebenmanualmenteinvestigarcadahostatacadoparadeterminarsi el intentodepenetracióntuvo éxito o no.
� AlgunosNIDS tienenproblemasal tratarcon ataquesbasadosen red queviajan en paquetesfrag-mentados.Estospaqueteshacenqueel IDS no detectedicho ataqueo queseainestabley puedacaer.
IDSsbasadosen host(HIDS)
Los HIDS fueron el primer tipo de IDSs desarrolladose implementados.Operansobrela informaciónrecogidadesdedentrodeunacomputadora,comopuedaserlosficherosdeauditoríadelsistemaoperativo.Estopermitequeel IDS analicelasactividadesqueseproducenconunagranprecisión,determinandoex-actamentequéprocesosy usuariosestáninvolucradosenunataqueparticulardentrodel sistemaoperativo.A diferenciadelosNIDSs,los HIDSspuedenverel resultadodeun intentodeataque,al igualquepuedenaccederdirectamentey monitorizarlos ficherosdedatosy procesosdel sistemaatacado.
Ventajas:
� Los IDSs basadosen host,al tenerla capacidadde monitorizareventoslocalesa un host,puedendetectarataquesqueno puedenservistosporun IDS basadoenred.
Haydosacercamientosal análisisdeeventosparala deteccióndeataques:deteccióndeabusosy detecciónde anomalías.La detecciónde abusoses la técnicausadapor la mayoríade sistemascomerciales.Ladetecciónde anomalías,en la queel análisisbuscapatronesanormalesde actividad, ha sido y continuasiendoobjetode investigación.La detecciónde anomalíasesusadade forma limitada por un pequeñonúmerodeIDSs.
Deteccióndeabusoso firmas
Los detectoresdeabusosanalizanla actividaddel sistemabuscandoeventosquecoincidanconun patrónpredefinidoo firmaquedescribeun ataqueconocido.
Ventajas:
� Los detectoresde firmassonmuy efectivosen la detecciónde ataquessin quegenerenun númeroelevadodefalsasalarmas.
� Puedenrápidamentey de formaprecisadiagnosticarel usodeunaherramientao técnicadeataqueespecífico.Estopuedeayudara losencargadosdela seguridadapriorizarmedidascorrectivas.
� Puedenpermitir a los administradoresde seguridad,sin importarsu nivel o su experienciaen estecampo,el seguir la pistadelos problemasdeseguridaddesussistemas.
Desventajas:
� Solodetectanaquellosataquesqueconocen,por lo quedebenserconstantementeactualizadosconfirmasdenuevosataques.
� Detecciónde un umbralsobreciertosatributosdel comportamientodel usuario.Talesatributosdecomportamientopuedenincluir el numerode ficherosaccedidospor un usuarioen un periododetiempodado,el numerode intentosfallidosparaentrarenel sistema,la cantidaddeCPUutilizadaporun proceso,etc.Estenivel puedeserestáticoo heurístico.
� Medidasestadísticas,quepuedenserparamétricas,dondela distribuciónde los atributosperfiladosseasumequeencajacon un determinadopatrón,o no paramétricas,dondela distribución de losatributos perfiladoses aprendidade un conjuntode valoreshistóricos,observadosa lo largo deltiempo.
� Cambio del entorno: otra respuestaactiva puedeser la de pararel ataquecerrandola conexiónestablecidainyectandosegmentosTCPRSTal atacantey a la víctimay/o bloquearal instrusoparaevitar futurosataquesbloqueandola IP queel intrusoestáutilizandoreconfigurandolos routersyfirewallsparaquefiltren esteorigeno puertosatacados.
Respuestaspasivas
En estetipo de respuestasse notifica al analista,al usuariodel sistemaatacadoo a algún CERT de losucedido.Tambiénesposibleavisaral administradordelsitio desdeel cualseprodujoel ataqueavisándolede lo ocurrido,peroesposiblequeel atacantemonitoriceel correoelectrónicodeesaorganizacióno quehayausadounaIP falsaparasuataque.
1.5 ¿Dóndeponer un IDS?
La decisióndedondelocalizarel IDS esalgoquesedeberíahacerantesquecualquierotracosa.De estadecisióndependerátantoel equipoqueusemos,comoel softwareIDS o la basededatos.
7
1.5.1 Organización
Existenprincipalmentetreszonasen las quepodríamosponerun IDS, tal y comomuestrala siguientefigura:
� Zona verde: El IDS deberíaserconfiguradoparatenerunasensibilidadun pocomayorqueen lazonaroja,puestoqueahora,el firewall deberásercapazdefiltrar algunosaccesosdefinidosmediantela política de nuestraorganización.En estazonaapareceun menornúmerode falsasalarmasqueen la zonaroja, puestoque en estepunto solo estándeberíanpermitidosaccesoshacianuestrosservidores.
� Zona azul: Estaesla zonadeconfianza.Cualquiertráficoanómaloquelleguehastaaquídebeserconsideradocomohostil. En estepuntodela redseproduciránel menornúmerodefalsasalarmas,por lo quecualquieralarmadel IDS debedeserinmediatamenteestudiada.
Esimportantedestacarquela zonaazulno espartedela redinterna.Todolo quellegueal IDS dela zonaazulira haciael firewall (porejemplo,si utilizamosunproxy-cacheparanuestrosusuariosdeweb)o haciael exterior. El IDS noescucharáningúntipo detráficointernodentrodenuestrared.
8
Enel casodetenerunIDS escuchandotráficointerno(porejemplo,colocadoentreunaVLAN y surouter),lasfalsasalarmasvendránprovocadasensumayorpartepor máquinasinternasal accedera los servidoresde nuestrared, por servidoresnuestros(DNS sobretodo) y escaneadoresde red, por lo quehabráqueconfigurarel IDS paraqueno seamuysensible.
1.5.2 ISP
¿Quéocurreahorasi nuestraorganizaciónesun ISP?.Esposiblequeel traficoa la entradadeesteISPseademasiadograndecomoparasertécnicamenteimposibleinstalarun únicoIDS quelo analicetodo. Paraestoscasosesnecesarioun sistemadedeteccióndeintrusosquepuedasepararlos sensoresdela estacióndeanálisis.Unaposiblesoluciónpodríaserla deinstalarunsensorencadaunodelosnodosqueconectanfísicamentecon las organizacionesa las que da servicio el ISP, y queestossensoresenvíen las alertasgeneradasa la estacióndeanálisis(verfigura3).
Figura3: Distribucióndelos sensoresdentrodeun ISP
Estatransmisióndeberealizarsedeformasegura(y estoquieredecir’encriptada’)y a intervalosregulares,puestoquesi el sensoravisa de la alertanadamáséstaseha producido,un atacantepodríamonitorizarel tráficoquegenerael sensorhaciala estacióndeanálisisy deducirsi un ataquehasidodetectadopor elsensoro no.
1.6 IDSs existentes
1.6.1 Snort
Es un IDS en tiemporeal desarrolladopor Marty Roeschy disponiblebajo GPL. SepuedeejecutarenmáquinasUNIX y Windows. Esel númerounoensistemasdedeteccióndeintrusosenestemomento[1].Disponeactualmentede1.200filtros y demultituddeaplicacionesparael análisisdesusalertas.
En Snortno esposiblesepararel componentedeanálisisy los sensoresenmáquinasdistintas.Sí queesposibleejecutarSnortatendiendoavariosinterfacesa la vez(cadaunopodríaestarmonitorizandolugaresdistintosdentrodeunared),puestoquesebasaenla libreríapcap1, peroestonopermiteningúnrepartode
Fuedesarrolladocomorespuestaa los falsospositivosdeun IDS anterior, NID. La ideaeraconstruirunainterfazrápidaquefuncionarabienenunaDMZ caliente(unaDMZ quesufremuchoataques).La interfazpermitiríaal analistaevaluargrancantidaddeinformaciónderedy decidirdequéeventosinformar.
No esen tiemporeal. Los diseñadoresde Shadow sabíanqueno iban a estardisponiblesparavigilar elsistemadedetecciónde intrusos7 díasa lassemana,24 horasal día. Shadow almacenael tráficoderedenunabasededatosy seejecutapor la noche.Los resultadosesperana queel analistalleguea la mañanasiguiente.
Al no serentiemporeal,esinviablequeShadow analiceel contenidodelos paquetes,por lo quetansolosecentraenlascabeceras.Estole haceincapazdeserútil paraanálisisforense.
Estádividido endospartes:directores,queseutilizan paratareasadministrativasy operativas,y sensores,queson los generadoresde eventos. Estándisponibleslos sensoresbasadosen red y basadosen host.TienenversionesparaUNIX y paraWindowsNT/2000,perola consolasóloseejecutaenNT/2000.Tenerun sensory unaestacióndeanálisisseparadosesun arquitecturaóptima.
NetRanger(deCiscoSystems),esunejemplodeIDS concapacidaddeequipo’R’. Ciscolo llama’compo-nentedeseguridaddinámico’.Podemosconfigurarel sistemaparadetectar, informary responderautomáti-camentea eventosde interés. Las capacidadesde alertapuedenserbeeps,ventanasdesplegadas,alertasde buscao e-mails. La respuestaautomáticaincluye la capacidadde reiniciar conexioneso reconfigurarenrutadores.
Los componentesdel sistemaincluyensensores,unaestacióndeanálisisy equiposR. Estoscomponentessecomunicanmedianteun protocolopatentado.
El sensorestádiseñadopararevisar registrosde sistemade routersCisco(syslogs),ademásde los datosdepaquetesenbrutode la red. Esel sensorIDS disponiblecomercialmentemáscompetente[1]. Soportareensamblajede paquetes,por lo quelos ataquesquecolocanunapartede la cadenaen un fragmentoyla segundaparteenun segundofragmento,seguiránsiendodetectados.Estacaracterísticadeimportanciacríticano estádisponibleentodoslos sistemasdedeteccióndeintrusos.
Comocasoprácticoveremosla implantaciónde un NIDS dentrode la Universidadde Valencia,obten-dremosalgunasalertasy lasanalizaremosenbuscadeposiblesataques.
2.1 Eleccióndel sistema
El sistemaa utilizar seraun potentePCLinux condosinterfacesFastEthernet.Unadeestasinterfaceslautilizaremosparamonitorizacióny la otraparagestiónremotadel IDS.
El softwareempleadoseraSnortpor serel másampliamenteutilizadoenlasorganizaciones.Tambiénus-aremosunabasededatosrelacionalqueactuarácomoback-enddelsistema,MySQL, la cualnospermitiráhacerbúsquedascomplejasde lasalertasdel Snort. EsposibleconfigurarSnortparaotrasbasesdedatoscomoOracleo PostgreSQL,perola elecciónde MySQL vino dadapor la suposiciónde quela basededatosno tendríamuchasentradas,tansolo lasprovocadaspor ataquesy algunasfalsasalarmas.(MySQLofreceun mejorrendimientoquePostgreSQLparaBBDD pequeñas).
2.2 Localización
El NIDS seencuentracustodiandola VLAN defarmacia( VLAN B enla figura4). Al serun IDS interno,las falsasalarmasvan a sermásnumerosas,puestoqueel tráfico internoesmayory másvariadoqueeltráficode la redconel exterior. Por lo tanto,la modificaciónde los filtros quevienenpor defectoconelsoftwareIDS seraenocasionesnecesaria.
11
Figura4: IDS monitorizandounaVLAN
El IDS tieneconfiguradasdosinterfaces,la de monitorizacióny la de gestión. La de monitorizaciónseencuentraenmodopromiscuo,lo cual le permitiráescuchartodoel traficoquesalgay entredela VLANB. No esnecesariodarleunadirecciónIP, deestaformanuestroIDS serainvisible(nocontestaráaconsultasARP).
La partesombreadadentrodela elipseesunañadidoquehuboquehacerparacolocarel IDS eneselugar.LasVLANs queseencuentranenotrosedificiosestánunidasal conmutadorprincipalpormediodeenlacesGigabitEthernetdefibra óptica. En eseconmutadorprincipalesposiblehacercopiadel tráficodeunoovariosinterfacessobreotro cualquiera.De estaforma,podríahabersidoposiblevolcartodoel traficodelinterfaz de la VLAN B al interfaz dondeseencuentraconectadoel interfaz de monitorizacióndel IDS.El problemaesqueestainterfaz esFastEthernet,y el conmutadorno permitehacerestevolcadode uninterfazGE a otroFE.La soluciónfue la queapareceenla figura.
Lo quesucedeahoraesqueestamoslimitandola velocidadde1GbpsFD queteniaantesla VLAN B haciael exterior a 100MbpsHD, peroahoranosaseguramosdequeel interfazdemonitorizacióndel IDS no vaa perdernadadetráfico
La interfazdegestiónseencuentraenla VLAN deservidoresy seutilizaráparagestiónremotadelequipo.Para estoes necesariodarle una dirección IP válida, lo cual haceahoraque nuestroIDS seavisible.Además,al no disponerdeun firewall enla UniversidaddeValencia,somosincapacesdecontrolardesdedondesepuedeaccedera él desdeel exterior. Estohacequelasmedidasdeseguridadquetengamosqueadoptarseanseveras,puestoqueunaintrusiónenel propioIDS no solonosdejaindefensosparadetectarposiblesataquesanuestrared,sinoquele daal intrusounacopiadetodoel traficoquecirculaporella.
Otra posible localizaciónde nuestroIDS seríaa la entradade la Universidad,como se muestraen lasiguientefigura.
ParaestaconfiguraciónnecesitariamosunatarjetaATM enel IDS y reconfigurarel conmutadorATM delaUV parahacermultipuntolos doscircuitosvirtualesquehayentreel routerdeRedIRISy el dela UV.
Existenmultitud de entornosgráficosparala visualizaciónde las alertasgeneradaspor Snort,entrelosmásdestacadosACID, IDScenter, SnortReporty SnortMonitor, todosdisponiblesen la web de Snort[11]. EstosentornosfuncionanconPHP, asíquesehacenecesariala instalacióndeunservidorwebdentrodel IDS, lo cual le da máscarga y le restaseguridad. Paraevitar esto,la forma en la queaccederemosa las alertasgeneradaspor Snortalmacenadasen MySQL serápor mediode unosscriptsen Perl. Estosscriptsnospermitenobtenerinformacióndeunaformamásflexible y rápidaquelosbonitosperocostososprogramasPHP.
El scriptprincipalesranking, quenosmuestraparacadaalertalo siguiente:
� COUNT: el númerototaldevecesqueapareceenla BD.
� SIG_ID: el identificadorconel queaparece.
� NUM_SRC: el númerodedireccionesIP origendistintasdeesaalarma.
13
� NUM_DST: el númerodedirecciónesIP destinodistintasdeesaalarma.
Paraver por quésehanproducidolas alertasesde granayudaecharun vistazoa la regla quela definedentrodeSnort(ficherosdeconfiguración*.rules). No haremosunanálisisdetalladodecadaalarma,tansoloveremosalgunas:
585889 17660 981 301 WEB-IIS cmd.exe access
Estareglasaltacuandoenel contenidodeunasesiónTCPaparecela cadenacmd.exe y el destinoesunpuerto80.
Snorttambiénnospermiteconfigurarlodeformaqueestetipo dereglas(WEB-IIS) solosaltencuandoeldestinoseauno de nuestrosservidoresweb, por mediode unavariable$HTTP_SEVERS quehabremosrellenadocontodosnuestrosservidoresweb. Estoralentizarámenosel IDS puestoquela regla estámásacotada(cuantosmenosgradosde libertadtengaunaregla, másrápidaseejecutará).El problemaesqueenunaorganizaciónnosiempreesposiblellevar la cuentadetodaslasmáquinasquehaycomoservidoresweb(por ejemplo,muchosusuariosinstalanensuPCdeescritorioWindows2000Serversin saberqueelIIS estaráactivo por defecto),por lo queel mejorvalorpara$HTTP_SERVERS esANY.
El encontrarcmd.exeenunaconexión TCPdirigidaal puerto80 deunservidorwebsuelesignificarqueelgusanonimdaestáintentandocolarseeneseservidor. El gusanosolocomprometesistemasqueejecutanIIS 4.0e IIS 5.0enlos sistemasoperativosWindowsNT y Windows2000.
El gusanoenvía su códigocomoun requerimientoHTTP. El requerimientoHTTP ejecutaun exploit so-bre unavulnerabilidadconocidadel IIS, lo cual permitequeel gusanoseejecuteen el sistemavíctima,depositando3 archivos:
El queestaalarmahayasaltadocasi600,000vecessignificaqueestevirus estáaunmuy vivo ennuestraredy/o enInternet.Veamosconel comandoshsiglos 10primerosorígenesy destinosdeestosataques:
� Activa: enel momentoenel quedetectamosqueunamáquinaintentainfectara otras,el IDS podríaterminarla conexión en ambosladosmedianteun segmentoTCP RST. Esto lo hacefalseandosudirecciónIP (quepuedeno tener)paraengañara ambaspartes.A estatécnicatambiénsele conocecomoTCPhijacking y paraquefuncionedebemosasegurarnosdequelas interfacesde los routerspor los quepasamosno tenganfiltros anti-spoofing.
� Pasiva: el IDS podríaestarconfiguradoparabuscarenunaBD la direccióndecorreodel responsabley avisarledequesumáquinaestáinfectada.
Lo quepuedeestarocurriendoesque,al tratarsedeunacomunicaciónencriptada,estacadenaaparezcaendichacomunicación,y el IDS deun falsopositivo pensandoquehadetectadoun ataque.
Estaregla buscael código hexadecimalcorrespondientea la llamadaal sistema’setuid 0’ en unaarquitecturax86, estoes’b017 cd80’. Estallamadaesejecutadanormalmentepor losshellcodesde la mayoríade los exploits, pero su firma es demasiadocorta como paraasegurar quecadavez quela encontremosen unaconexión TCP seadebidoa un intentode penetraciónen un sistema,por lo queprovocarámuchasfalsasalarmas.
Podemosver la fecha,la hora,y el tipo de paquetequeseenvió. Era un segmentoTCP desdeel puerto1214dirigido al 1097. No parecequehayanservidoresimportantesenesteúltimo puerto,asíquepuedetratarsedeun falsopositivo.
41 3852 7 1 DNS zone transfer (arachnids 212)
LastransferenciasdezonasolodeberíantenercomoorigenservidoresDNS secundarios.Cuandoapareceunatransferenciade zonainiciadadesdefuerade la organización,esmuy probablequealguienestére-uniendoinformaciónparallevara caboun ataquesobrenuestrared.
En estecaso,qfgate.quifis.uv.es esun servidorDNS secundariodela UV queestámal configu-radoy aceptapeticionesdetransferenciadezonahaciamáquinasquenosonDNS dela UV.
Lo quepodríamoshacerahoraes,conel comandoshsip,ver si algunadeestasIPshaestadoinvolucradaenotrosataques.Al mirar sobre194.85.9.53 obtenemoslo siguiente:
SOURCENUM SIG_ID SIG_NAME------------------------5 5503 FTP EXPLOIT format string
EstaIP seha hechocon la lista de IPs-nombresde la UV desdeun DNS secundario,y a los 3 díashalanzadoexploitsFTPsobrealgunasmáquinas.TambiénhaintentadoentrarenalgunosservidoresFTPconun login incorrecto.
No podemossabersi los ataquesexploit tuvieronéxito, por lo quedeberíamosinformaral administradordeestasmáquinasdequehuboun intentodepenetrarenellas.
20
Si tenemoscuriosidad,podriamostratarde averiguarde dondeesestaIP, aunquedebemossaberqueelatacantepuedeestarmanipulandosuIP origen.Paraello, podemosconsultarlasBBDD Whoisexistentes,quesonlassiguientes:
� Europa:www.ripe.net
� América:www.arin.net
� Asiay pacífico:www.apnic.net
Haciendounabúsquedadela IP 194.85.9.53 enRIPE,obtenemoslos siguiente:
inetnum: 194.85.8.0 - 194.85.9.255netname: SIOBCdescr: Shemyakin-Ovchinnikov Institute of Bioorganic Chemistrydescr: Russian Academy of Sciencesdescr: Moscowcountry: RUadmin-c: IVM11-RIPEtech-c: DEN2-RIPErev-srv: wowa.siobc.ras.rurev-srv: nss.ras.rustatus: ASSIGNED PInotify: [email protected]: [email protected]: AS3058-MNTchanged: [email protected] 20010103source: RIPE
Existenherramientasgráficasquenospermitenver la rutageográficaqueatravesamosparallegara unaIPdestino.Un ejemplopuedeserVisualRoute,deVisualware(www.visualware.com/visualroute/index.html). Probamosestaaplicaciónparala IP 194.85.9.53 y obtenemoslo siguiente:
Despuésdehaberdetectadoel ataquey haberobtenidoinformacióndel atacante,podríamosdarcuentadelo ocurridoa nuestroCERT. En el casode la UV avisariamosa IRIS-CERT (de RedIRIS),miembrodelFIRST(Forumof IncidentResponseandSecurityTeams,www.first.org) desde1997.
La IP 61.182.50.241 hagenerado7 alarmasenun periododealgomásde2 minutosy aparececomoorigende22 alarmasentotal. Vamosaverestasalarmasconunpocomásdedetalle:
Vemoscomoademásdelanzarexploits,haemitidopeticionesal servidorrpc.statd, seguramenteparacomprobarsi se encontrabaactivo. Veamoscon másdetalleestasalarmasy nos fijaremosen las IPsatacadasy enel ordentemporaldelosataques:
Esposiblequeesteataquecompruebeprimeroquela estacióntieneserviciosRPCcorriendo,y deserasípaseentoncesa buscarel rpc.statd. Esapuedeser la causapor la queel tiempotranscurridoentreconsultasseaunpocodesigual.
A mododecuriosidadvemosqueestaIP pertenecea algúnlugardeChina:
24
Es posible que el mismo programaque uso la IP 61.182.50.241 fueseusadotambiénpor cae-tano.empresa.net y por65.107.106.51, puestoquelospatronesdealertasonlosmismos:
Las dosprimerasalertasvienendadaspor reglasquedetectanpaquetessospechosos,comopor ejemploun paqueteICMP de masde 800 bytesde carga útil. No estámuy claro a quésedebenestospaquetesy deberíanserobjetodeun estudioposterior, puestoquesonpaquetesICMP Echo reply quevande134.208.23.118 haciala IP atacada.Vemostambiénqueaparecenvariossegundosantesdel ataqueexploit al servidorFTP.
De nuevo, utilizamosVisualRouteparaverdedondeprovieneel ataquey vemosquevienedeTaiwan:
� escaneoFIN, XMAS, NULL: estosescaneosactivandistintosflagsenuninicio deconexión paraversi el puertoen cuestiónestáabierto. FIN usaun segmentoFIN comoprueba,XMAS (comosi deun árboldeNavidadsetratase)usaFIN, URG y PUSH.NULL no usaninguno.Segúnel RFC793,cuandoestossegmentosinicianunaconexión deberíanserrespondidosconRSTsi el puertodestinoestacerradoe ignoradossi estabaabierto,por lo queya tenemosunaformadeescanearun puertosiutilizar el flagSYN.
� FragmentarlascabecerasTCP:la ideaesfragmentarel paqueteIP quecontieneel primersegmentoTCP de forma que la cabeceraTCP seencuentreen varios fragmentos.Estohaceque los filtrosdepaquetes,IDSsy firewalls no seancapacesdedetectarestosescaneossi ensusoftwareno sehaimplementadoel reensambladodepaquetes.
Además,tambiénesposibleconocerel sistemaoperativo de unamáquinaremotaviendola forma en laquerespondena peticionesTCPextrañas.Estatécnicaseconocecomo’identificaciónvía huelladactilarTCP/IP’ o TCP/IPfingerprint.
En cualquiercaso,sehacenecesarioredactarla política de seguridadde la organización.Estapolítica,entreotrascosas,dictaráal firewall lo quedebedejarpasary lo queno, y le dirá al IDS dequénostienequeavisar.
El procesode análisisescostosoy dedicado.El IDS guardalas huellasdejadaspor los intrusosen susataquesy somosnosotroslos quedebemosbuscarlase interpretarlas.Paraello, cualquierherramientaseradegranayuda:BBDD relacionales,entornosgráficosy automatizados,etc.
Porúltimo, recordarqueun IDS nosabesi el ataquehatenidoéxito o no. Sehacennecesariosmétodosderespuestaautomáticoso manualesparaavisara los administradoresde los sistemasatacadosde lo quehaocurrido.