ataques en red IDS vs IPS Un sistema IDS (Intruder detection system) detecta acceso o uso no autorizado a una red o equipo. Trataremos IDS de red. Sniffa la informacin de la red en busca de incidencias, NO NECESARIAMENTE DE ATAQUES. Detecta la incidencia y registra informacin asociada. Puede o no lanzar una alerta. IDS vs IPS Un sistema IPS (Intruder protection system) toma decisiones inteligentes cuando encuentra una incidencia. Solo existen IPS para redes. Evolucin natural de los sistemas IDS. Sniffa la informacin de la red en busca de incidencias. Cuando encuentra una, adems de registrarla y mandar una alerta, puede tomar una decisin. IDS vs IPS El IPS decidir si hacer drop o reject al paquete. Puede haber alguna otra opcin, como forward, segn el IPS. Drop elimina el paquete, mientras que reject adems reinicia la conexin TCP. Si no fuese TCP, mandar un mensaje de destino inalcanzable. Sistemas IPS Cuatro formas de anlisis o actuacin. Deteccin basada en firmas: Analiza el trafico en busca de patrones coincidentes con una base de datos de firmas. Es un funcionamiento similar al de los antivirus. Pro: Pocos falsos positivos, permite detectar exploits u otro cdigo malicioso. Contra: Hay que actualizar las firmas frecuentemente. Sistemas IPS Deteccin basada en polticas: Se declaran polticas de forma parecida a un firewall. El sistema IPS analizar el tipo y destino de los paquetes de red para saber como actuar. Ej: Prohibido el acceso tcp al puerto 80 desde la subred 192.168.3.0/24 Contra: Limitaciones de un firewall. Sistemas IPS Deteccin basada en anomalas: Crea perfiles de uso de la red a travs del anlisis estadstico y el aprendizaje automtico. Perfiles por usuarios y redes. Reaccionar cuando detecta un comportamiento anmalo. Sistemas IPS Ej: Un usuario habitualmente solo crea conexiones TCP a nuestro servidor por el puerto 80. De repente, empieza a mandar mensajes UDP a muchos puertos de nuestro servidor. Posible ataque? Pro: Se pueden detectar ataques desconocidos o muy recientes sin que estn en nuestras firmas. Contra: Propenso a falsos positivos. Sistemas IPS Deteccin por honeypot. Un honeypot es un equipo que, a primera vista, parece ser vulnerable e interesante para un atacante. Se equipan con herramientas de sandboxing y analisis forense. Podemos obtener mucha informacin de los ataques sufridos por un honeypot. IPS o IDS/IPS Algunos autores afirman que un IPS es la continuacin de los sistemas IDS. Por otro lado, los hay que afirman que un IPS y un IDS son sistemas distintos. Cuestin: IPS lleva implcito o no IDS en el nombre. Un IDS no podr actuar como IPS. Un IPS si como IDS. IPS vs Firewall Un IPS NO ES un cortafuegos. Cortafuegos: Siguen reglas de forma esttica, basadas en direcciones y puertos. IPS: Toman decisiones de forma dinmica, basadas en reglas y en funcin del trafico. Ej: Prohibir trafico http al puerto 8090 si y solo el nmero de secuencia TCP es 100. Por qu un IPS? MAGERIT: Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, del esquema nacional de seguridad. Propone H.tools.IDS IDS/IPS: Herramienta de deteccin / prevencin de intrusin como salvaguarda de tipo general para nuestros sistemas. Por qu un IPS? En entornos industriales es inviable el uso de antivirus de propsito general. Se debe a: Equipos antiguos con capacidad limitada. No se pueden desperdiciar recursos. Altos costes de actualizacin del equipamiento. Muchos protocolos industriales no implementan seguridad. Por qu un IPS? Solucin: Externalizar la proteccin a la red, a travs de equipos especficos. Sistemas IPS y Firewalls.
En redes de grandes organizaciones la
topologa de la red y los cortafuegos no puede ser suficiente: Ataques desde dentro, uso incorrecto de la red o nuevas tcnicas de ataque. Un IPS puede mitigar el problema. Por qu un IPS? En grandes redes publicas donde se conectarn multitud de usuarios que pueden no ser de nuestra confianza, un sistema IPS proporcionar una nueva capa de proteccin a la red. Un sistema IPS basado en sensores puede ofrecernos una proteccin centralizada a nuestros servidores en la nube. Cada servidor analiza su propio trafico y volcar registros en un destino comn. Dnde situar el IPS? Es una cuestin importante: Depender de las redes que se quieren proteger, y la topologa de las mismas. El sistema IPS deber tener acceso y conectividad a todas las redes que se quieren proteger. En redes de medio cableado o separadas geogrficamente aparece un problema. Dnde situar el IPS? Se pueden instalar en serie o en lnea, o en paralelo. En paralelo se pierden funcionalidades del IPS. En serie se perder velocidad de la conexin. Conectado en paralelo Conectado en serie Dnde situar el IPS? Algunos dispositivos, como switches, disponen de facilidades para los IPS. Los switch de CISCO permiten crear una VLAN a la que replicar todo el trafico. Otras marcas disponen de un puerto especial. Dnde situar el IPS? Solucin: Usar un IPS basado en sensores, distribuidos en los distintos puntos de inters. Los sensores analizarn el trafico que les llega de forma independiente, pero tomarn decisiones basadas en reglas comunes (No siempre). Entregarn los resultados en un destino comn. IPS: Hardware o software? Existen IPS hardware y software. Los basados en hardware son ms caros, pero al estar instalados en un dispositivo especializado en analizar el trafico, suelen tener mayor potencia (Tiempo empleado en analizar y capacidad de anlisis). Pensados para grandes servidores o redes de servidores, donde una alta capacidad del IPS resulta crtica. IPS: Hardware o Software? Los basados en software son ms baratos, ya que podemos instalarlo en un equipo convencional. Su capacidad de funcionamiento estar limitada por el hardware otorgado. Existen soluciones libres basadas en Software muy buenas. Los sensores IPS tambin pueden ser basados en hardware o software. Soluciones IPS Stonesoft 3206 Desarrollada por McAfee Basada en hardware Firewall + IPS Analiza a 10Gbps Hay que renovar una suscripcin anual a las firmas y reglas Soluciones IPS IBM GX7800 Desarrollada por IBM Basada en hardware Prometen bloquear un 97,7% de ataques Analiza a 20Gbps No especifica si requiere suscripcin o si las firmas son actualizables Soluciones IPS Cisco IPS 4270 Analiza a 4Gbps Basada en hardware Cada unidad hardware es un sensor. Solucin pensada para distribuir varios sensores. Suscripcin gratuita a reglas. Permite administrar tus propias reglas. Soluciones IPS Cisco IOS IPS Basada en Software Se instala en el firmware de los routers Cisco Actualizaciones a firmas gratuitas y automatizadas Deteccin basada en firmas y anomalas Soluciones IPS Suricata Open source, desarrollado por Open Information Security Foundation Sistema de reputacin por IP, aceleracin por GPU, deteccin automtica de los protocolos. Scripts lua avanzados para cuando el lenguaje de reglas no es suficiente. Alertas en Json Anlisis basado en reglas Soluciones IPS Snort Open source, desarrollado por SourceFire. Anlisis basado en reglas, firmas y anomalas. Sistema muy ligero. Permite ser ejecutado como sensor. Distribucin de reglas oficial gratuita (30 das de retraso). Snort Vamos a conocer a Snort
Open source (Licencia GNU-GPL v2)
Fcil de usar Muy potente Comunidad muy activa desde 1998 Ms de 4 millones de descargas En 2009, el 4 IPS ms usado, por debajo de tres soluciones propietarias. Snort Snort se divide en dos componentes: Snort Engine y los Snort Rules Snort Engine es el motor bsico que se encarga de interceptar el trafico y analizarlo, en funcin unas reglas y firmas. Como se ha dicho, se encuentra bajo licencia GNU-GPL v2. Snort Snort Rules son un conjunto de ficheros que contienen las reglas de Snort. Las reglas indican al IPS como hacer la deteccin basada en firmas as como la deteccin basada en polticas. Es importante actualizar las reglas de forma habitual, para estar al tanto de las ltimas amenazas. Snort Existen varios rule sets que pueden dividirse en tres grandes grupos. Las community rules son las reglas que por defecto de Snort. Se actualizan con baja frecuencia y tienen un conjunto de reglas muy bsico. Cualquier persona puede descargarlas para uso no comercial. Snort Reglas VRT VRT (Vulnerability Research Team) es un grupo de profesionales en seguridad respaldado por Snort cuyo fin es encontrar y estudiar amenazas de red. Desarrollan un conjunto de reglas complejo, de alta calidad y que se actualiza tan pronto como aparece una nueva amenaza. Snort Las reglas VRT, de uso propietario, las puede descargar cualquier usuario que se registre de forma gratuita en la web de Snort. As mismo, un usuario puede comprar una suscripcin a las reglas de VRT. El precio es de 30 para fines didcticos o de investigacin, y 300 para uso en produccin. Snort Diferencias entre versin gratuita y de pago: La versin gratuita recibe las actualizaciones 30 das ms tarde que los usuarios suscriptores. Los usuarios suscriptores pueden contactar con el VRT para obtener soporte (falsos positivos/negativos, ayuda en la creacin de reglas, etc) Snort Por ltimo, existen distribuciones no oficiales. Son distribuciones de reglas realizadas por terceros, ya sea de forma gratuita o de pago. Cualquiera puede programar sus propias reglas a travs del lenguaje de reglas de Snort. Snort Las reglas de Snort se pueden dividir en polticas. Snort nos permite cambiar de una poltica a otra fcilmente. Existen tres polticas en las reglas VRT y comunitarias. Conectividad sobre Seguridad Balanceada Seguridad sobre conectividad Snort Conectividad sobre Seguridad intentar reducir los tiempos de anlisis, as como prohibir al usuario lo menos posible. Solo se buscarn vulnerabilidades aparecidas en los ltimos 3 aos. Snort La poltica balanceada es la poltica por defecto los conjuntos de reglas. Buscar vulnerabilidades de los ltimos tres aos, as como malware, kits de explotacion y SQL injections. Snort La poltica seguridad sobre conectividad dar prioridad a la seguridad por encima de todo. Buscar vulnerabilidades desde el principio de los tiempos. Buscar malware, kits de explotacin, sql injections, e intentar detectar el software detrs de cada conexin. Snort Las firmas de Snort se pueden distribuir en varios archivos en formato .rules Esto permitir tenerlas mejor organizadas, o tener un sistema IPS que solo atender a reglas de un tipo. Los archivos se suelen dividir por protocolo o contenido. Ej: Http, server- apache, server-mail, policy-spam, os-linux, pua-adware, blacklist, browser-firefox. Snort Es mejor usar un conjunto de reglas por defecto? O utilizar un conjunto personalizado? Un mayor nmero de reglas implica mayor seguridad. Adems implica mayor tiempo de anlisis, mayor latencia en la conexin Hay que encontrar un equilibrio segn la situacin! Snort Lenguaje de construccin de reglas muy sencillo. En la pgina oficial de Snort existe un manual bien documentado sobre la construccin de reglas. Veamos una de ejemplo Snort alert tcp any any -> any 21 (content:"site exec"; content:"%"; msg:"site exec buffer overflow attempt";)
Esta regla intenta alertar de un posible
intento de ataque en un servidor FTP. Snort Cabecera, en color rojo. Formato: Parametro1[alert, log, pass] protocolo origen puerto -> destino puerto (parametros) Alertar si hubiera una conexin TCP de cualquier lugar y cualquier puerto, a nuestros equipos en el puerto 21, si y solo si en el paquete se encuentran las cadenas site exec y %. El mensaje de alerta ser el valor de msg. Snort Se crearn reglas de mayor complejidad utilizando operadores lgicos y los distintos parmetros que acepta el lenguaje. Snort Existe un archivo de configuracin de Snort llamado snort.conf Entre otras cosas, podemos configurar donde escribir las alertas. Las alertas normalmente se escriben en consola (para tareas de prueba y mantenimiento), en archivos log o en una base de datos MySQL. Snort Snort se puede ejecutar como sensor fcilmente. Para utilizar Snort como sensor, cambiamos en snort.conf el destino de las alertas a una base de datos MySQL centralizada. output database: log, mysql, user=snort password=snortpass dbname=snort host=mysql.host Multitud de instalaciones de Snort pueden escribir en la misma base de datos. Snort Escribir en una base de datos, adems, nos permitir integrar Snort con multitud de aplicaciones de alerta, estadsticas, etc Los pocos recursos que necesita Snort para ejecutarse, lo hacen ideal para instalar un sensor en cada servidor de produccin. Ej: Servidor de email con un sensor que ejecuta reglas de email, y servidor web que ejecuta reglas de servidor web. Snort Snort, como la mayora de los IPS, volcar informacin que necesitamos trabajar para que sea til. Existen aplicaciones que harn este trabajo por nosotros. BASE es una interfaz web de licencia GPLv2 que ejecuta consultas en una base de datos de Snort y generar informes. Snort Existe una gran comunidad de desarrollo de plugins para Snort. Algunos ejemplos: PE Sig: Genera firmas para archivos ejecutables que podemos usar en nuevas reglas. Pulled_Pork: Un administrador de reglas. Permite descargar actualizaciones y activar/desactivar reglas facilmente. Snort ThePigDoktah: Otra herramienta de generacin de informes a partir de los registros de Snort. SnoGE: Representa el trafico (origen y destino) de los registros sobre Google Earth. DumbPig: Detecta fallos de sintaxis en las reglas de Snort. Snort Snort, y otros IDS/IPS, empiezan a incorporar tcnicas de fingerprinting. Estas tcnicas les permiten detectar, en ocasiones, el software que realiza la conexin. til para rechazar conexiones de software que, si bien puede no ser malicioso, puede ser no deseado. Gracias por su atencin!