Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Trabajo de Ampliación de Redes

    Enviado por

    Alvaro Paul Romero Hoyos
    28 visualizações35 páginas

    Título original

    Ids

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PPT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PPT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    28 visualizações35 páginas

    Trabajo de Ampliación de Redes

    Enviado por

    Alvaro Paul Romero Hoyos

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PPT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 35

    Trabajo de Ampliacin de Redes:

    Sistemas de Deteccin de Intrusos

    Sumario
    Generalidades. Arquitectura de los IDSs. Clasificaciones: fuentes de informacin, tipo de anlisis, respuesta. Localizacin del IDS: organizacin, ISP. Ejemplos de IDSs. Caso prctico. Conclusiones.

    Qu es un IDS?
    Un Sistema de Deteccin de Intrusos o IDS es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informtico en busca de intentos de intrusin. Definimos intento de intrusin como cualquier intento de comprometer la confidencialidad, integridad o disponibilidad de un sistema informtico, o de eludir los mecanismos de seguridad de ste.

    Por qu utilizar un IDS?


    Prevenir problemas al disuadir a individuos hostiles.
    Detectar violaciones de seguridad que no pueden ser prevenidas por otros medios. Detectar prembulos de ataques. Documentar el riesgo de la organizacin. Proveer informacin til sobre las intrusiones que ocurren.

    Sumario
    Generalidades. Arquitectura de los IDSs. Clasificaciones: fuentes de informacin, tipo de anlisis, respuesta. Localizacin del IDS: organizacin, ISP. Ejemplos de IDSs. Caso prctico. Conclusiones.

    CIDF (Common Intrusion Detection Framework)


    Componentes:
    Equipos E: generadores de eventos. Equipos A: mquinas de anlisis.

    Equipos D: componentes de BBDD.


    Equipos R: equipos de respuesta. CISL (Common Intrusion Specification Language): lenguaje desarrollado para interconectar estos componentes. CIDF no fue aceptado por el IETF.

    Diagrama de la arquitectura CIDF

    AusCERT Automated Report Processing


    Sistema sencillo:
    Source: 216.36.45.84 Ports: tcp 111 Incident type: Network_scan re-distribute: yes timezone: GMT + 1300 reply: no Time: Web 15 Mar 2000 at 14:01 (UTC)

    Alta interoperabilidad, pero ofrece muy poco nivel de detalle. www.auscert.org/Information/Auscert_info/probe.html

    IDWG (Intrusion Detection Working Group)


    Grupo de trabajo del IETF. Objetivos: definir formatos y procedimientos de intercambio para la informacin que han de compartir IDSs y sistemas de respuesta. Tres borradores esperando ser aceptados. www.ietf.org/html.charters/idwg-charter.html

    Sumario
    Generalidades. Arquitectura de los IDSs. Clasificaciones: fuentes de informacin, tipo de anlisis, respuesta. Localizacin del IDS: organizacin, ISP. Ejemplos de IDSs. Caso prctico. Conclusiones.

    Fuentes de informacin
    IDSs basados en red (NIDS)
    Monitorizan el trfico de red que afecta a mltiples hosts. Ventajas: Un IDS bien localizado puede monitorizar una red grande.

    Tiene un impacto pequeo en la red.


    Inconvenientes: Problemas en redes con trfico elevado (soluciones hardware). No analizan informacin encriptada. No saben si el ataque ha tenido xito o no. Problemas con paquetes fragmentados.

    IDSs basados en host (HIDS)


    Operan sobre los logs del sistema. Ventajas: Detectan ataques que no pueden ser vistos por un NIDS. Pueden operar en entornos con trfico encriptado. Inconvenientes: Ms costosos de administrar que los NIDS. Puede ser deshabilitado si el ataque logra tener xito (penetracin o DoS).

    No son adecuados para detectar ataques en toda una red.


    Disminuyen el rendimiento del sistema monitorizado.

    Tipo de anlisis
    Deteccin de abusos o firmas
    Buscan eventos que coincidan con un patrn predefinido o firma que describe un ataque conocido. Ventajas: Son efectivos sin generar muchas falsas alarmas. Diagnostica rpidamente el uso de un ataque especfico. Inconvenientes: Deben de ser actualizados continuamente. Firmas ajustadas les privan de detectar variantes comunes.

    Deteccin de anomalas.
    Se centra en identificar comportamientos inusuales en un host en una red. Ventajas: Capacidad de detectar ataques para los cuales no tiene conocimiento especfico.

    La informacin que producen puede ser utilizada para definir firmas en la deteccin de abusos.
    Inconvenientes:

    Gran nmero de falsas alarmas.


    Requieren conjuntos de entrenamiento muy grandes.

    Respuesta
    Activa
    Al detectar un ataque se toman acciones de forma automtica: Recogida de informacin adicional. Cambio del entorno

    Pasiva
    El IDS avisa al analista, al administrador del sistema atacado, al CERT de la organizacin.

    Sumario
    Generalidades. Arquitectura de los IDSs. Clasificaciones: fuentes de informacin, tipo de anlisis, respuesta. Localizacin del IDS: organizacin, ISP. Ejemplos de IDSs. Caso prctico. Conclusiones.

    Localizacin de un IDS dentro de una organizacin


    Internet

    IDS

    ZONA ROJA

    ZONA VERDE IDS

    IDS

    ZONA AZUL

    Red Privada

    Localizacin de un IDS dentro de un ISP

    Canal seguro
    E

    Estacin de anlisis + BBDD

    BBD D

    Sensor monitorizando el trfico de la organizacin

    Sumario
    Generalidades. Arquitectura de los IDSs. Clasificaciones: fuentes de informacin, tipo de anlisis, respuesta. Localizacin del IDS: organizacin, ISP. Ejemplos de IDSs. Caso prctico. Conclusiones.

    No comerciales
    Snort
    Disponible en UNIX y Windows. Nmero uno en IDSs en este momento. Balanceo de carga complicado (hasta la fecha). www.snort.org

    Shadow
    Idea: construir interfaz rpida para una DMZ caliente. No es en tiempo real no es til para anlisis forense. www.nswc.navy.mil/ISSEC/CID/

    Comerciales
    RealSecure
    Sistema comercial ms desplegado. Dividido en dos partes: directores y sensores. Permite definir normativas que se configuran en el director y se descargan en los sensores. Back-end: Microsoft Access

    NetRanger
    Dispone de equipos R con capacidad de respuesta. Sensores, director y equipos R se comunican por medio de un protocolo patentado. Ventajas: gran integracin con routers Cisco y sensores avanzados. Inconvenientes: coste, bajo rendimiento del director.

    Sensores NetRanger
    Modulo IDS Catalyst 6000:
    Monitoriza 100Mbps de trfico. Aprox. 47,000 paquetes por segundo.

    IDS 4230:
    Hasta 100 Mbps de trfico. Processor: Dual PIII - 600 MHz. RAM: 512 MB.

    IDS 4210:
    Hasta 45 Mbps de trfico. Processor: Celeron 566 MHz. RAM: 256 MB.

    Sumario
    Generalidades. Arquitectura de los IDSs. Clasificaciones: fuentes de informacin, tipo de anlisis, respuesta. Localizacin del IDS: organizacin, ISP. Ejemplos de IDSs. Caso prctico. Conclusiones.

    VLAN A

    Localizacin del IDS para monitorizar una VLAN

    VLAN B

    f.o.

    INTERNET
    f.o.

    f.o.
    UTP

    VLAN de servidores

    Interfaz Gestin Interfaz Monitorizacin IDS

    Localizacin del IDS para monitorizar la red de la UV


    RedIRIS

    INTERNET

    UV
    IDS

    PVC multipunto STM-1 (155 Mbps)

    Ejemplos de anlisis
    COUNT SIG_ID NUM_SRC NUM_DST SIG_NAME (REF) --------------------------------------------------------------------------585889 17660 981 301 WEB-IIS cmd.exe access 68499 17661 1025 316 WEB-IIS CodeRed v2 root.exe access 51818 17689 1 1 EXPLOIT ssh CRC32 overflow NOOP (bugtraq 2347) 16720 275 47 47 INFO msn chat access 543 716 21 28 SCAN nmap TCP (arachnids 28) 380 17686 3 269 spp_stream4: STEALTH ACTIVITY (SYN FIN scan) 341 1950 26 77 FTP Bad login 309 58 9 60 TELNET Bad Login 254 28 10 160 INFO Napster Client Data 164 119 34 50 SHELLCODE x86 setuid 0 (arachnids 436) 142 11823 24 11 SHELLCODE x86 unicode NOOP 41 3852 7 1 DNS zone transfer (arachnids 212) 33 4687 4 5 spp_stream4: STEALTH ACTIVITY (FIN scan) detection 14 667 8 5 spp_stream4: STEALTH ACTIVITY (NULL scan) detection 14 5507 3 11 RPC EXPLOIT statdx (arachnids 442) 14 17687 2 7 FTP CWD / - possible warez site 14 5931 6 4 BAD TRAFFIC tcp port 0 traffic 13 17674 1 1 MISC Tiny Fragments 12 6114 8 4 SCAN FIN (arachnids 27) 9 17659 5 4 spp_stream4: STEALTH ACTIVITY (nmap XMAS scan) 8 17658 4 3 spp_stream4: NMAP FINGERPRINT (stateful) detection 6 5503 2 6 FTP EXPLOIT format string (arachnids 453)

    Ejemplo 1: Transferencia de zona


    ## DNS zone transfer ## 3852 ## COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN SRC --------------------------------------------------------------------------25 2775 8658 2001-12-21 09:34:58 2001-12-21 09:48:10 slabii.informat.uv.es 4 4 0 2001-12-11 12:51:37 2001-12-27 16:04:24 hostcount.ripe.net 2 8 2 2001-12-05 00:48:23 2001-12-05 00:48:23 194.85.9.53 2 2 0 2001-12-20 11:11:54 2001-12-20 11:11:54 acfpp06.acfp.upv.es 2 2 0 2001-12-29 01:03:35 2001-12-29 01:03:35 ineco.nic.es 2 2 0 2002-01-02 18:26:57 2002-01-02 18:26:57 208-5-183-250.twmaine.com 2 2 0 2002-01-12 07:20:45 2002-01-12 07:20:45 ariston.netcraft.com COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN DST --------------------------------------------------------------------------43 2389 174130 2001-12-05 00:48:23 2002-01-12 07:20:45 qfgate.quifis.uv.es

    Registros de 194.85.9.53 en la BD
    5 5503 FTP EXPLOIT format string 2001-12-08 08:11:48 194.85.9.53 -> apotkpr.ffarma.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:64 ID:2978 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:54106 [TCP] SPort:3086, DPort:21 Seq:2147483647 Ack:2147483647 Offset:5 Res:0 Flags:0x18 Win:32120 Cksum:63768 Urp:0 Res:0 2001-12-08 09:33:37 194.85.9.53 -> aficio2.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:38242 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:17912 [TCP] SPort:2184, DPort:21 Seq:618981048 Ack:2110736262 Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:36706 Urp:0 Res:0 2001-12-08 09:34:25 194.85.9.53 -> nexus.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:38628 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:17462 [TCP] SPort:2254, DPort:21 Seq:669818701 Ack:1998022812 Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:7593 Urp:0 Res:0 2001-12-08 09:34:58 194.85.9.53 -> teruca.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:38828 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:17216 [TCP] SPort:2304, DPort:21 Seq:697739214 Ack:2147483647 Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:14328 Urp:0 Res:0 2001-12-08 11:37:09 194.85.9.53 -> capone.informat.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:76 ID:12685 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:43730 [TCP] SPort:4158, DPort:21 Seq:2147483647 Ack:2147483647 Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:30413 Urp:0 Res:0 2 3852 DNS zone transfer 2001-12-05 00:48:23 194.85.9.53 -> qfgate.quifis.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:75 ID:52910 Flags:0 Offset:0 TTL:47 Proto:6 Cksum:41847 [TCP] SPort:3657, DPort:53 Seq:2147483647 Ack:1718339697 Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:52791 Urp:0 Res:0 2001-12-05 00:48:23 194.85.9.53 -> qfgate.quifis.uv.es [IP] Ver:4 HLen:5 Tos:32 Len:75 ID:52910 Flags:0 Offset:0 TTL:46 Proto:6 Cksum:42103 [TCP] SPort:3657, DPort:53 Seq:2147483647 Ack:1718339697 Offset:8 Res:0 Flags:0x18 Win:32120 Cksum:52791 Urp:0 Res:0

    Informacin sobre 194.85.9.53


    www.ripe.net inetnum: 194.85.8.0 - 194.85.9.255 netname: SIOBC descr: ShemyakinOvchinnikov Institute of Bioorganic Chemistry descr: Russian Academy of Sciences descr: Moscow country: RU admin-c: IVM11-RIPE tech-c: DEN2-RIPE rev-srv: wowa.siobc.ras.ru rev-srv: nss.ras.ru status: ASSIGNED PI notify: noc@nc.ras.ru notify: root@wowa.siobc.ras.ru mnt-by: AS3058-MNT changed: eugene@nc.ras.ru 20010103 source: RIPE

    www.visualroute.com

    Ejemplo 2: Exploit statdx


    ## RPC EXPLOIT statdx ## 5507 ## COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN SRC --------------------------------------------------------------------------------7 22 0 2001-12-08 08:39:45 2001-12-08 08:42:01 61.182.50.241 6 20 0 2001-12-26 07:53:22 2001-12-26 07:53:40 caetano.empresa.net 1 7 0 2001-12-26 09:27:31 2001-12-26 09:27:31 65.107.106.51 COUNT TOT_SRC TOT_DST TIME_INI TIME_FIN DST --------------------------------------------------------------------------------2 365 340 2001-12-08 08:39:48 2001-12-26 07:53:26 bugs.informat.uv.es 2 39 45 2001-12-08 08:39:45 2001-12-26 07:53:22 iris.quiorg.uv.es 2 2389 174287 2001-12-08 08:41:12 2001-12-08 08:41:12 qfgate.quifis.uv.es 1 6 33 2001-12-26 09:27:31 2001-12-26 09:27:31 crean.red.uv.es 1 0 22 2001-12-26 07:53:40 2001-12-26 07:53:40 wild.red.uv.es 1 84 4647 2001-12-26 07:53:27 2001-12-26 07:53:27 marvin.informat.uv.es 1 1326 5619 2001-12-26 07:53:27 2001-12-26 07:53:27 taz.informat.uv.es 1 44 7158 2001-12-26 07:53:27 2001-12-26 07:53:27 tro.informat.uv.es 1 4199 22 2001-12-08 08:39:50 2001-12-08 08:39:50 crac.informat.uv.es 1 0 13 2001-12-08 08:42:00 2001-12-08 08:42:00 hussey.red.uv.es

    Registros de 61.182.50.241 en la BD
    14 1 RPC portmap request rstatd 2001-12-08 08:39:44 61.182.50.241 -> iris.quiorg.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:21911 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:47 61.182.50.241-> slabii.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22917 Flags:0 Offset:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:48 61.182.50.241-> sdisco.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22942 Flags:0 Offset:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:48 61.182.50.241 -> bugs.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22950 Flags:0 Offset:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:49 61.182.50.241 ->slopez.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22965 Flags:0 Offset:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:49 61.182.50.241 -> bunny.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22968 Flags:0 Offset:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:49 61.182.50.241 -> crac.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:84 ID:22971 Flags:0 Offset:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 7 5507 RPC EXPLOIT statdx 2001-12-08 08:39:45 61.182.50.241 -> iris.quiorg.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:21912 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:48 61.182.50.241 -> bugs.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:22962 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:39:50 61.182.50.241 -> crac.informat.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:22973 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:41:12 61.182.50.241 -> qfgate.quifis.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:54670 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:41:12 61.182.50.241 -> qfgate.quifis.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:54670 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:42:00 61.182.50.241 -> hussey.red.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:7569 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0 2001-12-08 08:42:01 61.182.50.241 -> macklin.red.uv.es [IP] Ver:4 HLen:5 Tos:0 Len:1104 ID:7581 Flags:0 [UDP] Sport:0 Dport:0 Len:0 Cksum:0

    Informacin sobre 61.182.50.241


    www.apnic.net
    inetnum 61.182.0.0 -61.182.255.255 netname CHINANET-HE descr CHINANET Hebei province network descr Data Communication Division descr China Telecom country CN admin-c DK26-AP, inverse tech-c ZC24-AP, inverse mnt-by MAINT-CHINANET, inverse mnt-lower MAINT-CHINANET-HE, inverse changed hostmaster@ns.chinanet.cn.net 20010216 source APNIC

    www.visualroute.com

    Sumario
    Generalidades. Arquitectura de los IDSs. Clasificaciones: fuentes de informacin, tipo de anlisis, respuesta. Localizacin del IDS: organizacin, ISP. Ejemplos de IDSs. Caso prctico. Conclusiones.

    Conclusiones
    Los IDS han de utilizarse junto a otras herramientas de seguridad poltica de seguridad. NIDS en la red + HIDS en servidores visibles desde fuera. Proceso de anlisis costoso herramientas de gran ayuda: BBDD, entorno amigable ...

    Referencias
    [1] Deteccin de intrusos. 2a Ed.. S. Northcutt, Judy Novak. Prentice Hall. 2001 [2] Intrusion Detection Systems. R. Bace, P. Mell. NIST (National Intitute of Standards and Technology) Special Publication. Agosto 2001. (http://csrc.nist.gov/publications/nistpubs/800-31/sp800-31.pdf) [3] An Introduction to Intrusion Detection Systems. P. Inella, O. McMillan. Tetrad Digital Integrity, LLC. Diciembre 2001. (http://www.securityfocus.com/infocus/1520) [4] Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. T.H. Ptacek, T. N. Newsham. Secure Networks, Inc. Enero 1998. (http://secinf.net/info/ids/idspaper/idspaper.html) [5] Introduction to Security Policies. C. van der Walt. SecurityFocus. Agosto 2001. Parte 1:http://www.securityfocus.com/infocus/1193 Parte 2:http://www.securityfocus.com/infocus/1473 Parte 3:http://www.securityfocus.com/infocus/1487 Parte 4:http://www.securityfocus.com/infocus/1497 [6] Web security and commerce, 2nd Ed.. S. Garfinkel, G. Spafford. OReilly & Associates, Inc. Noviembre 2001 [7] Building Internet Firewalls, 2nd Ed.. D.Brent Chapman, Elizabeth D.Zwicky. OReilly & Associates, Inc. Junio 2000.. [8] Incident Response. Kenneth R. vanWyk, Richard Forno. OReilly & Associates, Inc. Agosto 2001. [9] Network Security: Private communication in a public world. C. Kaufman, R. Perlman, M. Speciner. Prentice Hall. 1995. [10] Intrusion Detection Resources - http://www.cerias.purdue.edu/coast/ids/ids-body.html

    Você também pode gostar