Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURIDAD SNORT
Búsqueda de ataques ocultos con el sistema de detección de intrusos Cada vez que el IDS encuentra una coinci-
dencia en una regla, se dispara una acción
Snort. POR CHRIS RILEY preconfigurada. La acción varía depen-
diendo de la configuración de dicha regla,
aunque en modo IDS básico, el sistema sim-
H
ace poco implementamos un Sis- obvio, observando estos logs, que los servi- plemente registra el tráfico peligroso o envía
tema de Detección de Intrusos (IDS) dores no estaban recibiendo la atención ade- una alerta. Un sensor, es decir, un equipo
para una granja de webs alojada cuada. situado en el perímetro de la red, permanece
remotamente. Tras la configuración inicial, La moraleja de esta historia es que siem- vigilante al tráfico que el cortafuegos deja
pcphotos, Fotolia
comenzamos a hacer pruebas y a optimizar pre hay que tener un ojo puesto en la red. pasar; con otro sensor, situado en el exterior
el sistema. Tan pronto como se conectó, Incluso aunque no tengamos el problema de del cortafuegos, se pueden ver los intentos
detectamos un tipo de tráfico que no debería un cortafuegos mal configurado, nuestros de acceso.
pasar del DMZ. El cortafuegos controlado sistemas pueden beneficiarse de la vigilancia Snort [1] es un IDS alternativo de código
por el ISP estaba mal configurado y permitía de un IDS. En el nivel más básico, lo que un abierto, y al igual que otros proyectos de
la entrada de casi todo el tráfico. IDS hace es capturar todo el tráfico de una código abierto, cuenta ahora con una rama
Durante el poco tiempo en que estuvo el red. Luego compara el contenido de los corporativa, Sourcefire [2]. Lo bueno es que
test en funcionamiento, el IDS registró un paquetes con reglas específicas para ver si Snort sigue estando disponible bajo licencia
gran número de escaneos de puertos e inten- existen vulnerabilidades conocidas o código GPL.
tos de acceso a los servidores principales. Era malicioso.
60 Número 46 WWW.LINUX-MAGAZINE.ES
Snort • ADMINISTRACIÓN
WWW.LINUX-MAGAZINE.ES Número 46 61
ADMINISTRACIÓN • Snort
62 Número 46 WWW.LINUX-MAGAZINE.ES
Snort • ADMINISTRACIÓN
WWW.LINUX-MAGAZINE.ES Número 46 63
ADMINISTRACIÓN • Snort
64 Número 46 WWW.LINUX-MAGAZINE.ES
ADMINISTRACIÓN • Snort
a la base de datos (Figura 4). Habremos de tra lista blanca podría falsear ataques para
introducir la ruta a los archivos de ADOdb,
Listado 2: Dependencias de que pareciesen venir desde una dirección en
así como el nombre del servidor MySQL, el
BASE la que confiamos, sin temor a quedar blo-
nombre de usuario y la contraseña. • apache(-ssl) queado.
Si la página web de BASE dice que no • php5 La última opción es permitir a Snort des-
tiene permiso de escritura sobre los archivos • php5-mysql conectar las conexiones no deseadas
de configuración, comprobaremos el chmod • php5-gd mediante el envío de paquetes TCP-RST (a
que acabamos de ejecutar. BASE añade con- través del parche flexresp2). Con esto
• libphp-adodb
tenido a la base de datos MySQL para regis- podemos terminar una conexión no dese-
trar los reportes y, una vez completados ada desde ambos extremos de la misma.
éstos, la instalación estará completa. Si tene- snort -vd -rU De todas formas, esta solución provoca
mos problemas, probablemente tengamos snort.log.1206804587U una condición de carrera entre nuestro IPS
que descomentar la extensión mysql.so de not host 192.168.0.1 y el tráfico malicioso. El IPS tratará de
nuestro archivo php.ini. No hay que olvidar cerrar la conexión antes de que el atacante
restablecer los permisos al directorio /var/ Prevención o Detección complete el ataque. El atacante tiene una
www/base para que sea legible por nuestro Snort ofrece varias opciones para la preven- ventaja en este caso, debido a que el trá-
servidor Apache. Es importante que desta- ción (y detección) de intrusiones. Los tres fico malicioso ya se encuentra dentro de
quemos que BASE no proporciona ninguna modos principales para la prevención de nuestra red antes de que Snort pueda
seguridad integrada para la interfaz web. Por intrusiones son el filtrado integrado, la coo- actuar. Este modo de operar previene cier-
lo que, de ser posible, habilitaremos SSL y peración con un cortafuegos existente tos ataques, pero puede resultar menos fia-
nos aseguraremos de que hay un archivo basado en iptables y el modo TCP-RST. ble que las otras técnicas.
.htpasswd en el directorio de BASE. Cuando Snort trabaja como filtro inte- La configuración de nuestro IDS/IPS
Además de en la base de datos, encontra- grado, todo el tráfico debe pasar a través del dependerá de nuestros requisitos en materia
remos registros y alertas en /var/log/snort. sistema con Snort antes de que llegue a la de seguridad. Si pretendemos instalar un
Estos archivos de registro contienen los red interna. Si el tráfico dispara una regla de Snort como IPS, primero probaremos el ser-
datos de registro completos en formato Snort, se desechan los paquetes que la acti- vidor en modo IDS hasta haber ajustado
tcpdump. Si así lo quisiésemos, podríamos varon. La solución integrada ofrece seguri- bien la configuración y haber reducido el
escribir un script para informarnos cada vez dad avanzada a modo de cortafuegos con un número de falsos positivos.
que se registra una nueva alerta. Para traba- juego de reglas actualizado regularmente. Una vez satisfechos con la configuración,
jar con estos archivos, usamos snort -r para Aún con todo, la prevención de intrusiones ya podemos dejar que Snort asuma su nuevo
procesar el archivo tcpdump y convertirlo en puede impedir el acceso a los sistemas rol de sistema de prevención.
algo más comprensible. Los parámetros -vd debido a falsos positivos, o ralentizar la red
proporcionan información adicional. Para en caso de que haya más tráfico del que el Conclusión
facilitar un poco las cosas, Snort soporta ade- sensor de Snort fuese capaz de manejar. Para Snort tiene muchas otras funcionalidades
más el uso de BPF [5] (Berkeley Packet Fil- el modo integrado, tendremos que añadir — aún por descubrir. Por ejemplo, nunca men-
ter) para filtrar la salida de la línea de coman- enable-inline a la hora de hacer ./configure. cionamos el cerdito en arte ASCII retro
dos. Si ya disponemos de un cortafuegos (Figura 5).
basado en iptables, podemos configurar Hay muchos libros y recursos en línea que
snort -vd -rU Snort para modificar reglas dinámicamente. nos ayudarán a iniciarnos en el sistema de
snort.log.1206804587U La opción de iptables reduce algunos de los detección de intrusos Snort. El sitio web del
tcp and src port 22 retardos en el tráfico entrante, pero en gene- proyecto Snort contiene un gran número de
ral, el sistema será más lento en la respuesta documentos para ayudarnos a resolver pro-
¿Qué es MD5? a los ataques. Cada vez que el tráfico mali- blemas. También aqui disponemos de un
MD5 es una función de suma criptográ- cioso dispara una alerta, Snort envía un foro en el que encontraremos noticias y asis-
fica que proporciona una suma de 128 comando al sistema que tiene iptables para tencia al usuario. ■
bits basada en el contenido de un que bloquee al atacante. Este estilo de IPS, si
archivo. Al descargar un programa o un no se configura correctamente, podría ser RECURSOS
documento, podemos usar el comando manipulado por un atacante con dotes crea-
md5sum para garantizar que el archivo [1] Página de inicio de Snort: http://www.
tivas para provocar una denegación de servi- snort.org
descargado es idéntico al original.
cio a nuestros propios sistemas.
Md5sum compara el valor de la suma [2] Sourcefire: http://www.sourcefire.
Si un atacante falsease tráfico malicioso com
de la descarga con una suma MD5 pro-
porcionada por la versión oficial. Son para que pareciese provenir de la pasarela de
[3] BASE: Basic Analysis and Security
muchos los proyectos de software que nuestro proveedor de servicios de internet, o
Motor: http://base.secureideas.net
proporcionan sumas MD5 de sus bina- desde nuestro servidor de DNS, podría aca-
[4] ADOdb, librería de abstracción para
rios. El MD5 normalmente se encuentra bar poniendo servicios necesarios en la lista
bases de datos para PHP: http://
en la sección de descargas del sitio web negra. Para combatirlo, usamos una lista
adodb.sourceforge.net
del proyecto. Esta comprobación nos blanca con direcciones que nunca baneare-
puede ayudar a evitar la instalación de [5] BPF (Berkeley Packet Filter): http://
mos. Como contrapartida, un atacante que
software dañado o malicioso. tcpdump.org
conociese alguna de las direcciones de nues-
66 Número 46 WWW.LINUX-MAGAZINE.ES