Implementación de un IDS

Que son los IDS?

• Sistemas de monitoreo computacional que buscan señales de la presencia de usuarios no autorizados, o de usuarios abusando de sus privilegios

Que hace un IDS

• Monitorea diversas fuentes de información de los sistemas analizando de varias maneras esta información

• Compara el tráfico con patrones de ataques• Identifica problemas relacionados con el

abuso de privilegios• Realiza análisis estadístico en busca de

patrones de actividad anormal

Para que un IDS si ya tenemos Firewall?

• La mayoría de Firewalls funcionan como guardias frontales únicamente

• Los IDS son el equivalente a los sistemas de alarma con multiples sensores y monitoreo por circuito cerrado de video

• Muchas veces el enemigo ya está dentro• Algunos productos de Firewall han incluido

IDS pero se siguen llamando Firewalls.

Categorización de IDS

• Sistemas basados en Red o NIDS• Sistemas basados en Red o NIDS

NIDS

• Monitorean el tráfico de red, pero solo en porciones de estas

• Utilizan sniffers y modo promiscuo que requieren privilegios locales

• Pueden fácilmente monitorear mapeos de puertos, ataques conocidos y sustitución de direcciones ip

HIDS

• Solo se preocupan por los eventos locales a una máquina monitoreando el tráfico de red o elementos de la misma máquina

• Monitorean:– Sesiones de usuarios– Actividades de los usuarios privilegiados– Cambios en el sistema de archivos

¿Que es snort?

• NIDS: Un sistema de detección de intrusiones de red (NIDS) que intenta detectar actividades maliciosas tales como ataques de denegación de servicio, análisis de puertos o incluso intentos de entrar ilegalmente en ordenadores por el tráfico de la red de monitoreo.

• Snort: un sistema de código de red de prevención y detección de intrusiones abierto. Utiliza un lenguaje basado en reglas que combina métodos de firma, protocolo e inspección anomalía

• Snort: el mayor despliegue de detección de intrusiones y tecnología de prevención y se ha convertido en la tecnología estándar de facto en todo el mundo en la industria.

¿De donde viene?

• Desarrollado por la necesidad evolutiva de realizar el análisis de tráfico de red, tanto en tiempo real y para el procesamiento posterior forense

• Detección de intrusiones con éxito depende de la política y la gestión tanto como la tecnología

• Política de Seguridad (la definición de lo que es aceptable y lo que se está defendiendo) es el primer paso

• notificación• Quién, qué tan rápido?• Coordinación de Respuesta

¿De que depende su éxito?

• Detección de intrusiones con éxito depende de la política y la gestión tanto como la tecnología

• Política de Seguridad (la definición de lo que es aceptable y lo que se está defendiendo) es el primer paso

• notificación• Quién, qué tan rápido?• Coordinación de Respuesta

Snort

• Un analizador de paquetes: captura y visualización de paquetes de la red con diferentes niveles de detalle en la consola

• Registrador de paquetes: los datos de registro en un archivo de texto

• NIDS: red del sistema de detección de intrusiones

Tipica arquitectura de red Snort

Principales ventajas

• Portable (Linux, Windows, MacOS X, Solaris, BSD, IRIX, Tru64, HP-UX, etc)

• Rapido (alta probabilidad de detección de un ataque dado en las redes de 100 Mbps)

• (Fácil idiomas reglas, muchas opciones de informes / registro configurables

• Gratis (GPL / Open Source Software)

Caracteristicas

• Detección de paquetes del sistema de detección de intrusiones de red "ligero"

• Interfaz sniffing basado en Libpcap• Motor de detección basado en normas• Sistema Plug-in permite la flexibilidad infinita

¿En que capa del modelo OSI trabaja?

Arquitectura interna

¿Cómo funciona?

• Packet Decoder : toma los paquetes de diferentes tipos de interfaces de red (Ethernet, SLIP, PPP, ...), preparar paquetes para su proceso

• Preprocesador : (1) preparar los datos para el motor de detección, (2) detectar anomalías en los encabezados de paquetes, (3) la desfragmentación de paquetes, (4) decodifica HTTP URI; (5) vuelve a montar flujos TCP.

• Detection Engine: la parte más importante, se aplica reglas a los paquetes

• Logging and Alerts : Generados por el sistema• Output Modules : alertas de proceso y registros y

generar la salida final.

Implementación

1 ) Ubicar físicamente el IDS en nuestra arquitectura de red.

2) Plataforma de instalación y HardwareDISCO DURO:Kingston SSD de 16 GB de disco duro SSDNOW100SPLACA MADRE / CPUSUPERMICRO MBD-X7SPA-HF-O Placa base Mini ITX Intel Atom D510 procesador del servidor- Intel Atom 510 procesador de doble núcleo- Dual Intel 82574L Ethernet Puertos- Ranura PCI Express x16- Soporta hasta 4 GB de Ram DDR2 SO-DIMM 667- 6 SATA 3.0Gb / s puertos que se han incorporado en el soporte RAID- Sin ventiladores es necesario, equipo totalmente silencioso se enfríen- Bajo consumo de energía- IPMI 2.0 integradoRAM:Kingston 2GB 200-Pin DDR2 SO-DIMM DDR2 667 (PC2 5300) KVR667D2S5/2G:ALIMENTACIÓN:PicoPSU-150-XT Con Kit 102WPOWER Incluye Pico PSU de 150W DC-DC ATX PSU

3) Instalacion

• Principalmente requiere de las librerías DAQ y Libdnet y Libpcap , para el procesamiento de sniffer y descargar Snort y las reglas de los desarrolladores gratuitamente https://www.snort.org/signup

4) ConfiguraciónPara la configuración de Snort el archivo que hay que modificar es snort.conf que se encuentra en la carpeta /etc/snort. #vim /etc/snort/snort.conf

Aquí se declara la red que queremos proteger:ipvar HOME_NET any

El directorio de reglas: var RULE_PATH ../rulesvar SO_RULE_PATH ../so_rules

Y como se guardan los archivos o logs:output unified2: filename snort.log, limit 128

Y activamos las reglas del SO y las del snort:include $SO_RULE_PATH/******

Finalizamos con la compilación:#snort -c /etc/snort/snort.conf –T

Administrando Snort

• Las reglas crean patrones o signatures• Elementos modulares de detección se

combinan para formar estos patrones• Es posible la detección de actividad anómala;

stealth scans, OS fingerprinting, buffer overflows, back doors, vulnerabilidades en cgis, códigos ICMP inválidos, entre otros

• El sistema de reglas es muy flexible y la creación de nuevas reglas es sencilla

• Puede generar; Alert, Log o Pass sobre dirección/puerto origen/destino para IP, UPD e ICMP, anomalías estadísticas o verificaciones sobre protocolos

• A menos que se tengan necesidades muy específicas no es necesario escribir nuevas reglas; actualmente hay mas de 2000 disponibles en línea

Creando reglas

Las reglas se crean en el directorio :#vim /etc/snort/rules/*

Las reglas para nuestra red se crearan en local.rules

alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 any (flags: SF; msg: “SYN-FIN Scan”;)

Explicacion

Tipo de registro

Todos los paquetes

Ip origen

Puerto origen

Ip destino

Puerto destino

Opcion

Cabecera

Resultados• 11/20-15:20:57.960134 [**] [1:1000001:1] TEAM VIEWER CONNECTION

APLICACION TCP [**] [Priority: 0] {TCP} 10.200.110.84:49491 -> 190.120.226.198:5938

• 11/20-15:20:56.360500 [**] [129:15:1] Reset outside window [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 134.170.21.247:443 -> 10.202.45.35:1308

• 11/20-15:19:47.835458 [**] [139:1:1] (spp_sdf) SDF Combination Alert [**] [Classification: Sensitive Data was Transmitted Across the Network] [Priority: 2] {PROTO:254} 10.200.100.176 -> 200.37.28.91

Recomendaciones

• Organizar las reglas bien conocidas en una mejor estructura de datos para lograr un mejor rendimiento

• Un detector con la probabilidad de detección aceptable permitirá darle mas seguridad a tu institución.

Conclusiones

• Snort es una herramienta poderosa, pero la maximización de su utilidad requiere de un operador entrenado

• Dominar con detección de intrusiones de red tarda 12 meses, "experto" 2 años a mas.

• Snort es considerado una muy buena NIDS en comparación con la mayoría de los sistemas comerciales

• Los proveedores de seguridad de red administrados deben recopilar la información suficiente para tomar decisiones sin tener que llamar a los clientes a preguntar qué pasó.

Gracias