INSTALACIN, CONFIGURACIN Y FUNCIONAMIENTO DEL IDS SNORT

DANIEL SEBASTIAN TORRES VARGAS Cdigo: 1150214

Trabajo presentado como parte del segundo previo

Profesor: Jean Polo Cequeda Olago

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIAS INGENIERIA DE SISTEMAS SAN JOS DE CCUTA 2012

INTRODUCCIN

El presente documento trata acerca de un Sistema de Deteccin de Intrusos (IDS, siglas en Ingls) llamado Snort desarrollado por SourceFire. Para llegar a hablar de dicho sistema se definir lo que es un IDS primeramente. A continuacin, se hablar de lo que es Snort, como funciona y todos los aspectos bsicos del mismo.

Como requerimiento de la entrega de ste informe, se explicar detalladamente el proceso de instalacin y configuracin de Snort, al mismo tiempo que se ilustrarn ejemplos de algunos de los comandos que ste sistema IDS tiene como funcionalidades.

1. QU ES UN IDS?

Cortafuegos vs IDS

Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusin a toda actividad no autorizada o no que no debera ocurrir en ese sistema. Segn esta definicin, muchos podran pensar que ese trabajo ya se realiza mediante los cortafuegos o firewalls.

La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicacin de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques tunneling(saltos de barrera) a los ataques basados en las aplicacio nes. Los cortafuegos filtran los paquetes y permiten su paso o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra una base de datos que determina si est permitido un protocolo determinado y permite o no el paso del paquete basndose en atributos tales como las direcciones de origen y de destino, el nmero de puerto, etc... Esto se convierte en un problema cuando un atacante enmascara el trfico que debera ser analizado por el cortafuegos o utiliza un programa para comunicarse directamente con una aplicacin remota. Estos aspectos se escapan a las funcionalidades previstas en el diseo inicial de los cortafuegos. Es aqu dnde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos.

Definicin Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta, gracias a dichos sensores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas. Algunas de las caractersticas deseables para un IDS son: Deben estar continuamente en ejecucin con un mnimo de supervisin.

Se deben recuperar de las posibles cadas o problemas con la red. Debe poderse analizar l mismo y detectar si ha sido modificado por un atacante. Debe utilizar los mnimos recursos posibles. Debe estar configurado acorde con la poltica de seguridad seguida por la

organizacin. Debe de adaptarse a los cambios de sistemas y usuarios y ser fcilmente actualizable.

Funcionamiento

El funcionamiento de estas herramientas se basa en el anlisis pormenorizado del trfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no slo analiza qu tipo de trfico es, sino que tambin revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por s solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtindose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocid os. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el trfico normal de la red y el trfico que puede ser resultado de un ataque o intento del mismo. Tipos de IDS

Existen varios tipos de IDS, clasificados segn el tipo de situacin fsica, del tipo de deteccin que posee o de su naturaleza y reaccin cuando detecta un posible ataque.

Clasificacin por situacin

Segn la funcin del software IDS, estos pueden ser:

NIDS (Network Intrusion Detection System) HIDS (Host Intrusion Detection System)

Los NIDS analizan el trfico de la red completa, examinando los paquetes individualmente, comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseados para no ser detectados por los cortafuegos. Pueden buscar cual es el programa en particular del servidor de web al que se est accediendo y con que opciones y producir alertas cuando un atacante intenta explotar algn fallo en este programa. Los NIDS tienen dos componentes: Un sensor: situado en un segmento de la red, la monitoriza en busca de trfico sospechoso Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la configuracin reacciona a las alarmas recibidas. Las principales ventajas del NIDS son: Detectan accesos no deseados a la red. No necesitan instalar software adicional en los servidores en produccin. Fcil instalacin y actualizacin por que se ejecutan en un sistema dedicado. Como principales desventajas se encuentran: Examinan el trfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque en diferentes segmentos de la red. La solucin ms sencilla es colocar diversos sensores. Pueden generar trfico en la red. Ataques con sesiones encriptadas son difciles de detectar.

En cambio, los HIDS analizan el trfico sobre un servidor o un PC, se preocupan de lo que est sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en archivos considerados crticos. Las ventajas que aporta el HIDS son: Herramienta potente, registra comandos utilizados, ficheros abiertos,... Tiende a tener menor nmero de falsos-positivos que los NIDS, entendiendo falsos-positivos a los paquetes etiquetados como posibles ataques cuando no lo son. Menor riesgo en las respuestas activas que los IDS de red. Los inconvenientes son: Requiere instalacin en la mquina local que se quiere proteger, lo que supone una carga

adicional para el sistema. Tienden a confiar en las capacidades de auditoria y logging de la mquina en s.

Clasificacin segn los modelos de detecciones

Los dos tipos de detecciones que pueden realizar los IDS son: Deteccin del mal uso. Deteccin del uso anmalo.

La deteccin del mal uso involucra la verificacin sobre tipos ilegales de trfico de red, por ejemplo, combinaciones dentro de un paquete que no se podran dar legtimamente. Este tipo de deteccin puede incluir los intentos de un usuario por ejecutar programas sin permiso (por ejemplo, sniffers). Los modelos de deteccin basado en el mal uso se implementan observando como se pueden explotar los puntos dbiles de los sistemas, describindolos mediante unos patrones o una secuencia de eventos o datos (firma) que sern interpretados por el IDS.

La deteccin de actividades anmalas se apoya en estadsticas tras comprender cual es el trfico normal en la red del que no lo es. Un claro ejemplo de actividad anmala sera la deteccin de trfico fuera de horario de oficina o el acceso repetitivo desde una mquina remota (rastreo de puertos). Este modelo de deteccin se realiza detectando cambios en los patrones de utilizacin o comportamiento del sistema. Esto se consigue realizando un modelo estadstico que contenga una mtrica definida y compararlo con los datos reales analizados en busca de desviaciones estadsticas significantes.

Clasificacin segn su naturaleza

Un tercer y ltimo tipo bsico de clasificacin sera respecto a la reaccin del IDS frente a un posible ataque: Pasivos. Reactivos.

Los IDS pasivos detectan una posible violacin de la seguridad, registran la informacin y genera una alerta.

Los IDS reactivos estn diseados para responder ante una actividad ilegal, por ejemplo, sacando al usuario del sistema o mediante la reprogramacin del cortafuegos para impedir el trfico desde una fuente hostil.

2. QU ES SNORT?

Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS implementa un lenguaje de creacin de reglas flexible, potente y sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap... Puede funcionar como sniffer (podemos ver en consola y en tiempo real qu ocurre en nuestra red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algn patrn establecido en las reglas de configuracin, se logea. As se sabe cundo, de dnde y cmo se produjo el ataque. An cuando tcpdump es considerada una herramienta de auditora muy til, no se considera un verdadero IDS puesto que no analiza ni seala paquetes por anomalas. tcpdump imprime toda la informacin de paquetes a la salida en pantalla o a un archivo de registro sin ningn tipo de anlisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente maliciosas y las almacena en un registro formateado, as, Snort utiliza la biblioteca estndar libcap y tcpdump como registro de paquetes en el fondo. Snort est disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, as como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a travs de los distintos boletines de seguridad.

La caracterstica ms apreciada de Snort, adems de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se est actualizando constantemente y a la cual se puede aadir o actualizar a travs de la Internet. Los usuarios pueden crear 'firmas' basadas en las caractersticas de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que as todos los usuarios de Snort se puedan beneficiar. Esta tica de comunidad y compartir ha convertido a Snort en uno de los IDSes basados en red ms populares, actualizados y robustos.

3. CMO FUNCIONA SNORT?

En la versin de Windows, es necesario instalar WinPcap. Este software consiste en un driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librera que facilita a las aplicaciones acceder a la capa de enlace saltndose la pila de protocolos.

Snort puede funcionar en:

Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la

red en que Snort es configurado. Modo packet logger (registro de paquetes), en el que se almacena en un sistema de

log toda la actividad de la red en que se ha configurado Snort para un posterior anlisis. Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la

actividad de la red a travs de un fichero de configuracin en el que se especifican las reglas y patrones a filtrar para estudiar los posibles ataques. Una vez hemos instalado correctamente el programa y lo ponemos en funcionamiento, debemos introducir en la base de patrones de ataques los que queremos utilizar para detectar actividades sospechosas contra nuestra red.

Intuitivamente, el usuario tiende a utilizar un elevado nmero patrones para protegerse, pero paradjicamente esto puede perjudicar la seguridad, ya que no todos los ataques que Snort es capaz de detectar son tiles (para el atacante) en el segmento de red que monitorizamos y en cambio corremos el riesgo de sobrecargar la herramienta, que dejar pasar todos los paquetes que no pueda analizar.

Para utilizarlo correctamente, tambin es necesario estudiar los patrones de trfico que circulan por el segmento donde el sensor escucha para detectar falsos positivos y, o bien reconfigurar la base de datos, o bien eliminar los patrones que los generan.

En definitiva, pese a todas las facilidades y automatizaciones y como casi todas las herramientas de seguridad, es un apoyo que no puede sustituir la tarea del responsable de seguridad que es quien debe analizar toda la informacin de forma minuciosa y continuada.

Funcionamiento del motor de Snort

El motor de Snort se divide en los siguientes componentes:

Decodificador del paquete. Preprocesadores. Motor de deteccin (Comparacin contra firmas). Loggin y sistema de alerta. Plugins de salida. El decodificador de paquete, toma los paquetes de diferentes tipos de interfaces de

red, y prepara el paquete para ser preprocesado o enviado al motor de deteccin.

Los preprocesadores son componentes o plugins que pueden ser usados con Snort para arreglar, rearmar o modificar datos, antes que el motor de deteccin haga alguna operacin para encontrar si el paquete esta siendo enviado por un intruso. Algunos preprocesadores realizan deteccin buscando anomalas en las cabeceras de los paquetes y generando alertas. Son muy importantes porque preparan los datos para ser analizados contra reglas en el motor de deteccin.

El motor de deteccin es la responsable de detectar si alguna actividad de intrusin existe en un paquete. El motor utiliza las reglas que han sido definidas para este propsito. Las reglas (o cadenas) son macheadas contra todos los paquetes. Si un paquete machea una regla, la accin configurada en la misma es ejecutada.

Dependiendo que detecte el motor dentro de un paquete, el logging y sistema de alerta, se encarga de loguear o generar una alerta. Los logs son almacenados en archivos de texto, archivos con formato tcpdump u otro formato.

Los plugins de salida toman la salida del sistema de alerta y permiten almacenarlas en distintos formatos o reaccionar antes el mismo. Por ejemplo: enviar emails, traps SNMP, syslog, insertar en una base de datos, etc. Plugins de salida:

Bases de datos (MySql, Postgres, etc) Syslog XML Traps SNMP Mensajes SMB

4. COMANDOS DE SNORT

Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes funcionalidades:

-A Set alert mode: fast, full, console, or none //(alert file alerts only)// -b Log packets in tcpdump format //(much faster!)// -c <rules> Use Rules File <rules> -C Print out payloads with character data only //(no hex)// -d Dump the Application Layer -e Display the second layer header info -E Log alert messages to NT Eventlog. //(Win32 only)// -f Turn off fflush() calls after binary log writes -F <bpf> Read BPF filters from file <bpf> -h <hn> Home network = <hn> -i <if> Listen on interface <if> -I Add Interface name to alert output -k <mode> Checksum mode //(all,noip,notcp,noudp,noicmp,none)// -l <ld> Log to directory <ld> -L <file> Log to this tcpdump file -n <cnt> Exit after receiving <cnt> packets -N Turn off logging (alerts still work) -o Change the rule testing order to Pass|Alert|Log -O Obfuscate the logged IP addresses -p Disable promiscuous mode sniffing -P <snap> Set explicit snaplen of packet //(default: 1514)// -q Quiet. Don't show banner and status report -r <tf> Read and process tcpdump file <tf> -R <id> Include 'id' in snort_intf<id>.pid file name -s Log alert messages to syslog -S <n=v> Set rules file variable n equal to value v -T Test and report on the current Snort configuration

-U Use UTC for timestamps -v Be verbose -V Show version number -W Lists available interfaces. //(Win32 only)// -w Dump 802.11 management and control frames -X Dump the raw packet data starting at the link layer -y Include year in timestamp in the alert and log files -z Set assurance mode, match on established sesions //(for TCP)// -? Show this information

4. INSTALACIN Y CONFIGURACIN DEL IDS SNORT

La instalacin se realiz una distribucin Linux (Ubuntu 12.04 propiamente dicho) por medio de la terminal de lnea de comandos. Se siguieron los siguientes pasos: 1. Abrir una terminal 2. Escribir el comando de instalacin de paquete sudo apt-get install snort

Dando permisos de superusuario para poder realizar la instalacin (debido al sistema de permisos utilizado por las distribuciones de Linux), escribiendo la contrasea en la siguiente lnea. En seguida se iniciar la instalacin.

3. A continuacin pedir la siguiente opcin de configuracin

En este paso pide la direccin de red local (la cual va a ser la que se estar monitoreando). En este punto puede haber 3 opciones de configuracin: Si es una nica direccin se colocar con mscara de sub red /32 Si es un bloque de 256 IPs se utilizar la mscara /24 Si es una red ms amplia se utilizar la mscara /16

4. Una vez finalizado el proceso de instalacin se puede realizar la configuracin completa por medio del comando.

Lo cual har que se pidan las configuraciones, que sern guardadas en el archivo /etc/snort/snort.debian.conf

5. Preguntar que opcin de arranque se desea configurar:

Se ve explicado claramente qu es cada tipo de arranque. En este caso se escoger la configuracin del arranque manual. 6. Siguiente viene una ventana de explicacin de lo que ser el prximo requisito a pedir, la interface de red que se escanear.

Se explica que se puede utilizar el siguiente comando para encontrar la interface

Con lo cual se nota que la interface necesaria en la wlan0 (ya que la conexin se est realizando de manera inalmbrica).

7. En la siguiente opcin se escribe la interface obtenida en la anterior instruccin

8. Ahora se deber escribir la direccin de red que se desea escanear (paso similar al realizado durante la instalacin, paso 3).

9. Opcin de habilitar o deshabilitar el Modo promiscuo

Modo Promiscuo significa que se analizar todos los paquetes que pasen por el segmento aunque no sean de una conexin propia. 10.

11. Recibir resmenes electrnicos por correo de las alertas encontradas.

12. Se especifica el correo electrnico en que se desea recibir los resmenes diarios.

13. Ahora se pregunta la cantidad de informes que se incluyen por alerta

14. Finalmente la solicitud del comando al finalizar para recargar las configuraciones hechas.

15. Una vez finalizado el asistente de configuracin, se ejecuta el comando mostrado en la anterior instruccin

PROCESO PARA LA INSERCIN DE UNA NUEVA REGLA 1. Crear un nuevo archivo .rules en la carpeta /etc/snort/rules/

En este ejemplo se est creando el archivo sites.rules el cual contendr reglas sobre: El usuario ingresa a la pgina de google El usuario ingresa a la pgina de facebook Se est realizando un ping sobre la mquina host. 2. El anterior comando abrir un nuevo archivo del programa gedit con el nombre dado.

Como se dijo en el anterior paso se est realizando las 3 reglas. Se guarda y se cierra el archivo.

3. De vuelta en la terminal se abrir ahora el archivo de configuracin de snort. El cual se encuentra en la ruta mostrada en la siguiente imagen.

4. Al ejecutar el comando se abrir nuevamente gedit con el archivo de configuracin de snort.

De esta manera se ingresa la regla recientemente creada en el archivo de configuracin y ya est cargada para ser revisada.

5. Ejemplo de las reglas anteriormente creadas en funcionamiento:

En este ejemplo se pueden notar tanto la regla de Facebook como la regla de Ping en funcionamiento.

Ejecucin de snort 1. Nos dirigimos hacia el directorio de snort

2. Ejecutamos snort

En ste caso estamos utilizando los comandos A, -c y i con lo cuales estamos estableciendo las salidas, el archivo de configuracin a utilizar y la interface a escanear. 3. Inicia el proceso de snort

4. Nuevamente se muestra la aplicacin mostrando las reglas establecidas anteriormente