Sistemas IDS/IPS

Defensa reactiva a los

ataques en red

IDS vs IPS
Un sistema IDS (Intruder detection
system) detecta acceso o uso no
autorizado a una red o equipo.
Trataremos IDS de red.
Sniffa la informacin de la red en busca
de incidencias, NO NECESARIAMENTE
DE ATAQUES.
Detecta la incidencia y registra
informacin asociada. Puede o no lanzar
una alerta.

IDS vs IPS
Un sistema IPS (Intruder protection
system) toma decisiones inteligentes
cuando encuentra una incidencia.
Solo existen IPS para redes.
Evolucin natural de los sistemas IDS.
Sniffa la informacin de la red en busca de
incidencias. Cuando encuentra una,
adems de registrarla y mandar una alerta,
puede tomar una decisin.

IDS vs IPS
El IPS decidir si hacer drop o reject al
paquete. Puede haber alguna otra opcin,
como forward, segn el IPS.
Drop elimina el paquete, mientras que
reject adems reinicia la conexin TCP. Si
no fuese TCP, mandar un mensaje de
destino inalcanzable.

Sistemas IPS
Cuatro formas de anlisis o actuacin.
Deteccin basada en firmas: Analiza el
trafico en busca de patrones coincidentes
con una base de datos de firmas. Es un
funcionamiento similar al de los antivirus.
Pro: Pocos falsos positivos, permite
detectar exploits u otro cdigo malicioso.
Contra: Hay que actualizar las firmas
frecuentemente.

Sistemas IPS
Deteccin basada en polticas: Se declaran
polticas de forma parecida a un firewall.
El sistema IPS analizar el tipo y destino
de los paquetes de red para saber como
actuar.
Ej: Prohibido el acceso tcp al puerto 80
desde la subred 192.168.3.0/24
Contra: Limitaciones de un firewall.

Sistemas IPS
Deteccin basada en anomalas: Crea
perfiles de uso de la red a travs del
anlisis estadstico y el aprendizaje
automtico.
Perfiles por usuarios y redes.
Reaccionar cuando detecta un
comportamiento anmalo.

Sistemas IPS
Ej: Un usuario habitualmente solo crea
conexiones TCP a nuestro servidor por el
puerto 80. De repente, empieza a mandar
mensajes UDP a muchos puertos de
nuestro servidor. Posible ataque?
Pro: Se pueden detectar ataques
desconocidos o muy recientes sin que
estn en nuestras firmas.
Contra: Propenso a falsos positivos.

Sistemas IPS
Deteccin por honeypot.
Un honeypot es un equipo que, a primera
vista, parece ser vulnerable e interesante
para un atacante. Se equipan con
herramientas de sandboxing y analisis
forense.
Podemos obtener mucha informacin de
los ataques sufridos por un honeypot.

IPS o IDS/IPS
Algunos autores afirman que un IPS es la
continuacin de los sistemas IDS. Por
otro lado, los hay que afirman que un IPS
y un IDS son sistemas distintos.
Cuestin: IPS lleva implcito o no IDS en
el nombre.
Un IDS no podr actuar como IPS. Un IPS
si como IDS.

IPS vs Firewall
Un IPS NO ES un cortafuegos.
Cortafuegos: Siguen reglas de forma
esttica, basadas en direcciones y puertos.
IPS: Toman decisiones de forma dinmica,
basadas en reglas y en funcin del trafico.
Ej: Prohibir trafico http al puerto 8090 si y
solo el nmero de secuencia TCP es 100.

Por qu un IPS?
MAGERIT: Metodologa de Anlisis y
Gestin de Riesgos de los Sistemas de
Informacin, del esquema nacional de
seguridad.
Propone H.tools.IDS IDS/IPS:
Herramienta de deteccin / prevencin
de intrusin como salvaguarda de tipo
general para nuestros sistemas.

Por qu un IPS?

En entornos industriales es inviable el uso

de antivirus de propsito general. Se debe
a:
Equipos antiguos con capacidad limitada.
No se pueden desperdiciar recursos.
Altos costes de actualizacin del
equipamiento.

Muchos protocolos industriales no

implementan seguridad.

Por qu un IPS?

Solucin: Externalizar la proteccin a la

red, a travs de equipos especficos.
Sistemas IPS y Firewalls.

En redes de grandes organizaciones la

topologa de la red y los cortafuegos no
puede ser suficiente: Ataques desde
dentro, uso incorrecto de la red o nuevas
tcnicas de ataque. Un IPS puede mitigar
el problema.

Por qu un IPS?
En grandes redes publicas donde se
conectarn multitud de usuarios que
pueden no ser de nuestra confianza, un
sistema IPS proporcionar una nueva capa
de proteccin a la red.
Un sistema IPS basado en sensores puede
ofrecernos una proteccin centralizada a
nuestros servidores en la nube. Cada
servidor analiza su propio trafico y
volcar registros en un destino comn.

Dnde situar el IPS?

Es una cuestin importante: Depender
de las redes que se quieren proteger, y la
topologa de las mismas.
El sistema IPS deber tener acceso y
conectividad a todas las redes que se
quieren proteger.
En redes de medio cableado o separadas
geogrficamente aparece un problema.

Dnde situar el IPS?

Se pueden instalar en serie o en lnea, o
en paralelo.
En paralelo se pierden funcionalidades del
IPS. En serie se perder velocidad de la
conexin.

Conectado en paralelo

Conectado en serie

Dnde situar el IPS?

Algunos dispositivos, como switches,
disponen de facilidades para los IPS.
Los switch de CISCO permiten crear una
VLAN a la que replicar todo el trafico.
Otras marcas disponen de un puerto
especial.

Dnde situar el IPS?

Solucin: Usar un IPS basado en sensores,
distribuidos en los distintos puntos de
inters.
Los sensores analizarn el trafico que les
llega de forma independiente, pero
tomarn decisiones basadas en reglas
comunes (No siempre).
Entregarn los resultados en un destino
comn.

IPS: Hardware o software?

Existen IPS hardware y software.
Los basados en hardware son ms caros,
pero al estar instalados en un dispositivo
especializado en analizar el trafico, suelen
tener mayor potencia (Tiempo empleado
en analizar y capacidad de anlisis).
Pensados para grandes servidores o redes
de servidores, donde una alta capacidad
del IPS resulta crtica.

IPS: Hardware o Software?

Los basados en software son ms baratos,
ya que podemos instalarlo en un equipo
convencional. Su capacidad de
funcionamiento estar limitada por el
hardware otorgado.
Existen soluciones libres basadas en
Software muy buenas.
Los sensores IPS tambin pueden ser
basados en hardware o software.

Soluciones IPS
Stonesoft 3206
Desarrollada por McAfee
Basada en hardware
Firewall + IPS
Analiza a 10Gbps
Hay que renovar una suscripcin anual a
las firmas y reglas

Soluciones IPS
IBM GX7800
Desarrollada por IBM
Basada en hardware
Prometen bloquear un 97,7% de ataques
Analiza a 20Gbps
No especifica si requiere suscripcin o si
las firmas son actualizables

Soluciones IPS
Cisco IPS 4270
Analiza a 4Gbps
Basada en hardware
Cada unidad hardware es un sensor.
Solucin pensada para distribuir varios
sensores.
Suscripcin gratuita a reglas. Permite
administrar tus propias reglas.

Soluciones IPS
Cisco IOS IPS
Basada en Software
Se instala en el firmware de los routers
Cisco
Actualizaciones a firmas gratuitas y
automatizadas
Deteccin basada en firmas y anomalas

Soluciones IPS
Suricata
Open source, desarrollado por Open
Information Security Foundation
Sistema de reputacin por IP, aceleracin
por GPU, deteccin automtica de los
protocolos.
Scripts lua avanzados para cuando el lenguaje
de reglas no es suficiente.
Alertas en Json
Anlisis basado en reglas

Soluciones IPS
Snort
Open source, desarrollado por
SourceFire.
Anlisis basado en reglas, firmas y
anomalas.
Sistema muy ligero. Permite ser ejecutado
como sensor.
Distribucin de reglas oficial gratuita
(30 das de retraso).

Snort

Vamos a conocer a Snort

Open source (Licencia GNU-GPL v2)

Fcil de usar
Muy potente
Comunidad muy activa desde 1998
Ms de 4 millones de descargas
En 2009, el 4 IPS ms usado, por debajo
de tres soluciones propietarias.

Snort
Snort se divide en dos componentes:
Snort Engine y los Snort Rules
Snort Engine es el motor bsico que se
encarga de interceptar el trafico y
analizarlo, en funcin unas reglas y firmas.
Como se ha dicho, se encuentra bajo
licencia GNU-GPL v2.

Snort
Snort Rules son un conjunto de ficheros
que contienen las reglas de Snort. Las
reglas indican al IPS como hacer la
deteccin basada en firmas as como la
deteccin basada en polticas.
Es importante actualizar las reglas de
forma habitual, para estar al tanto de las
ltimas amenazas.

Snort
Existen varios rule sets que pueden
dividirse en tres grandes grupos.
Las community rules son las reglas que
por defecto de Snort. Se actualizan con
baja frecuencia y tienen un conjunto de
reglas muy bsico. Cualquier persona
puede descargarlas para uso no
comercial.

Snort
Reglas VRT
VRT (Vulnerability Research Team) es un
grupo de profesionales en seguridad
respaldado por Snort cuyo fin es
encontrar y estudiar amenazas de red.
Desarrollan un conjunto de reglas
complejo, de alta calidad y que se actualiza
tan pronto como aparece una nueva
amenaza.

Snort
Las reglas VRT, de uso propietario, las
puede descargar cualquier usuario que se
registre de forma gratuita en la web de
Snort.
As mismo, un usuario puede comprar una
suscripcin a las reglas de VRT.
El precio es de 30 para fines didcticos
o de investigacin, y 300 para uso en
produccin.

Snort

Diferencias entre versin gratuita y de

pago:
La versin gratuita recibe las actualizaciones
30 das ms tarde que los usuarios
suscriptores.
Los usuarios suscriptores pueden contactar
con el VRT para obtener soporte (falsos
positivos/negativos, ayuda en la creacin de
reglas, etc)

Snort
Por ltimo, existen distribuciones no
oficiales. Son distribuciones de reglas
realizadas por terceros, ya sea de forma
gratuita o de pago.
Cualquiera puede programar sus propias
reglas a travs del lenguaje de reglas de
Snort.

Snort
Las reglas de Snort se pueden dividir en
polticas. Snort nos permite cambiar de
una poltica a otra fcilmente.
Existen tres polticas en las reglas VRT y
comunitarias.
Conectividad sobre Seguridad
Balanceada
Seguridad sobre conectividad

Snort
Conectividad sobre Seguridad intentar
reducir los tiempos de anlisis, as como
prohibir al usuario lo menos posible.
Solo se buscarn vulnerabilidades
aparecidas en los ltimos 3 aos.

Snort
La poltica balanceada es la poltica por
defecto los conjuntos de reglas.
Buscar vulnerabilidades de los ltimos
tres aos, as como malware, kits de
explotacion y SQL injections.

Snort
La poltica seguridad sobre conectividad
dar prioridad a la seguridad por encima
de todo.
Buscar vulnerabilidades desde el
principio de los tiempos.
Buscar malware, kits de explotacin, sql
injections, e intentar detectar el software
detrs de cada conexin.

Snort
Las firmas de Snort se pueden distribuir
en varios archivos en formato .rules
Esto permitir tenerlas mejor organizadas,
o tener un sistema IPS que solo atender
a reglas de un tipo.
Los archivos se suelen dividir por
protocolo o contenido. Ej: Http, serverapache, server-mail, policy-spam, os-linux,
pua-adware, blacklist, browser-firefox.

Snort
Es mejor usar un conjunto de reglas por
defecto? O utilizar un conjunto
personalizado?
Un mayor nmero de reglas implica
mayor seguridad. Adems implica mayor
tiempo de anlisis, mayor latencia en la
conexin
Hay que encontrar un equilibrio segn la
situacin!

Snort
Lenguaje de construccin de reglas muy
sencillo.
En la pgina oficial de Snort existe un
manual bien documentado sobre la
construccin de reglas.
Veamos una de ejemplo

Snort

alert tcp any any -> any 21 (content:"site

exec"; content:"%"; msg:"site exec buffer
overflow attempt";)

Esta regla intenta alertar de un posible

intento de ataque en un servidor FTP.

Snort
Cabecera, en color rojo. Formato:
Parametro1[alert, log, pass] protocolo
origen puerto -> destino puerto
(parametros)
Alertar si hubiera una conexin TCP de
cualquier lugar y cualquier puerto, a
nuestros equipos en el puerto 21, si y
solo si en el paquete se encuentran las
cadenas site exec y %. El mensaje de
alerta ser el valor de msg.

Snort

Se crearn reglas de mayor complejidad

utilizando operadores lgicos y los
distintos parmetros que acepta el
lenguaje.

Snort
Existe un archivo de configuracin de
Snort llamado snort.conf
Entre otras cosas, podemos configurar
donde escribir las alertas.
Las alertas normalmente se escriben en
consola (para tareas de prueba y
mantenimiento), en archivos log o en una
base de datos MySQL.

Snort

Snort se puede ejecutar como sensor

fcilmente.
Para utilizar Snort como sensor, cambiamos
en snort.conf el destino de las alertas a una
base de datos MySQL centralizada.
output database: log, mysql, user=snort
password=snortpass dbname=snort
host=mysql.host
Multitud de instalaciones de Snort pueden
escribir en la misma base de datos.

Snort
Escribir en una base de datos, adems, nos
permitir integrar Snort con multitud de
aplicaciones de alerta, estadsticas, etc
Los pocos recursos que necesita Snort
para ejecutarse, lo hacen ideal para
instalar un sensor en cada servidor de
produccin.
Ej: Servidor de email con un sensor que
ejecuta reglas de email, y servidor web
que ejecuta reglas de servidor web.

Snort
Snort, como la mayora de los IPS, volcar
informacin que necesitamos trabajar
para que sea til. Existen aplicaciones que
harn este trabajo por nosotros.
BASE es una interfaz web de licencia
GPLv2 que ejecuta consultas en una base
de datos de Snort y generar informes.

Snort
Existe una gran comunidad de desarrollo
de plugins para Snort.
Algunos ejemplos:
PE Sig: Genera firmas para archivos
ejecutables que podemos usar en nuevas
reglas.
Pulled_Pork: Un administrador de reglas.
Permite descargar actualizaciones y
activar/desactivar reglas facilmente.

Snort
ThePigDoktah: Otra herramienta de
generacin de informes a partir de los
registros de Snort.
SnoGE: Representa el trafico (origen y
destino) de los registros sobre Google
Earth.
DumbPig: Detecta fallos de sintaxis en las
reglas de Snort.

Snort
Snort, y otros IDS/IPS, empiezan a
incorporar tcnicas de fingerprinting.
Estas tcnicas les permiten detectar, en
ocasiones, el software que realiza la
conexin.
til para rechazar conexiones de
software que, si bien puede no ser
malicioso, puede ser no deseado.

Gracias por su atencin!