Beruflich Dokumente
Kultur Dokumente
Ataques
Jeimy J. Cano, Ph.D Universidad de los Andes jcano@uniandes.edu.co
Agenda
Introduccin Conceptos bsicos de TCP/IP
Paquete IP Paquete TCP Breves ideas sobre fragmentacin
Introduccin a TCPDump/Windump
Sniffers Convenciones para analizar resultados
Patrones
Normales Anormales - Ataques
Agenda
Firmas y filtros
Conceptos IDS - Intrusion Detection Systems
Introduccin
La evolucin de los ataques a las infraestructuras computacionales cada vez ms son ms sofisticados. Se requiere un entendimiento ms detallado de los ataques y sus consecuencias. Los analistas de seguridad no tienen tiempo para desarrollar habilidades sobre anlisis de trfico de red. Sistemas IDS La ventana de exposicin se hace cada vez mayor: Descubrimiento de la falla Vs. Generacin del parche. Desarrollo de estrategias para anlisis de registros de log. Entrenamiento especializado que detalle las caractersticas tcnicas de los protocolos de comunicaciones, particularmente TCP/IP.
JCM-2001 All rights 4
Aplicacin Presentacin
Sesin
Aplicacin
APLICACIN DE RED Presentacin Sesin
Servicios de Red
Transporte
Red Enlace de datos Fsico
TCP UDP
IP ICMP ARP RARP
Transporte
Red Enlace de datos Fsico
6
OPCIONES
Ruta de origen estricta Marcas de tiempo Seguridad Rellenos DATOS
JCM-2001 All rights 7
Nmero de Secuencia
Nmero de confirmacin Tamao Cabecera Reservado Banderas Ventana Puntero Urgente OPCIONES Suma de control
DATOS
Puerto ORIGEN Puerto DESTINO Bandera de SYN Nmero de secuencia. Se utiliza para ordenar los datos recibidos. Nmero de bytes enviados en el paquete. Ventana. Buffer que se esta recibiendo en bytes de attacker Maximun Segment Size (Campo OPCIONES) Indicar el tamao del mayor trozo de datos que se puede recibir (y reensamblar) en un flujo. Informa que la red fsica en la que esta attacker no debera recibir ms de 1460 bytes de TCP (20 bytes encabezado IP + 20 bytes de encabezado TCP+1460 bytes = 1500 Bytes, que es la MTU de Ethernet. Acusa recibo de la conexin. 4076745461+ 1= 4076745462 ACK final e independiente a target. No fragmentado.
10
(frag 21233:1480@+)
Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos (0 pues es el primer fragmento, ms el signo +, que indica la presencia de ms fragmentos.
Note que se omite la identificacin del paquete. El indicador sigue encendido en el paquete IP, pero no se presenta en windump. El signo + advierte que vienen ms fragmentos. Fragmento No. 21233 seguido de dos puntos. Luego, Longitud de datos del fragmento actual: 1480, seguid por una arroba, luego el desplazamiento de datos:2960. No aparece signo +, lo que sugiere que no hay ms fragmentos.
(frag 21233:1480@1480+)
(frag 21233:1480@2960)
12
Introduccin a TCPDump/Windump
Objetivos
Observar los patrones del trfico de la red. Identificar las direcciones IP origen y destino de los paquetes IP. Determinar relaciones entre mquinas y servicios. Capturar informacin crtica que permita el acceso a otros recursos de la red. Capturar informacin confidencial que circula a travs de la red. Obtener informacin sin generar rastros.
14
Requisitos de instalacin
Packet Driver - Segn si es NT o 2000 Ejecutable: windump.exe
Sintxis
windump -n -S -v
-n Mostar la direccin IP en lugar del nombre del equipo -S Mostrar nmero de secuencia -v Verbose
16
Conexin FTP
Sincronizacin de tres sentidos - (1,2,3) Transmisin de mensaje de bienvenida - (4, 5)
18
1. host.my.com.1716 > dns.my.com.53: 1+ (35) 2. dns.my.com.53 > h.root-servers.net.53: 12420 (30) (DF) 3. h.root-servers.net.53>dns.my.com.53: 12420 - 0/3/3 (153) (DF) 4. dns.my.com.53>server1.sans.org.53 12421+ (30) (DF) 5. server1.sans.org.53> dns.my.com.53:12421* 1/3/3 (172) 6. dns.my.com.53>host.my.com.1716: 1* 1/3/3
Trfico tomado de: Northcutt y Novak (2001) Pg. 100. 1. Host.my.com efecta peticin para resolver la direccin www.sans.org. UDP de 35 bytes 2. Dns.my.com intenta conexin por el puerto 53 con h.root-servers.net por el puerto 53. UDP de 30 bytes. No. peticin 12420 3. h.root-servers.net no obtiene respuesta a la peticin (0/3/3) 0 registros de respuesta, tres registros autorizados y otros tres adiconales. 4. Se obtiene referencia a otro servidor DNS (server1.sans.org) que tiene la respuesta. No. peticin:12421. Solicita recursin (signo +) 5. server1.sans.org es el servidor autorizado que tiene la respuesta. El (* ) Significa que es una respuesta autorizada. 6. dns.my.com responde a host.my.com, con la direccin IP de www.sans.org (no se ve aqui) mas los tres registros autorizados y los adicionales. JCM-2001 All rights 19
Mquina arriba
Ejecucin del comando ping otro.victim.net
20
21
Preguntas de reconocimiento de mquinas en una red LAN. Particularmente en una red NT.
22
Efecto
Negacin de servicio sobre Microsoft NT 4.0 SP.4
Explicacin:
Envio de paquetes datagramas RPC suplantados al puerto 135 (UDP), que aparece como si un RPC server enva datos errneos a otro RPC server. El segundo servidor rechaza (REJECT) el paquete y el primer servidor responde con otro REJECT, creando un loop infinito que compromete la red.
23
Efecto
Negacin de servicio sobre una red. Generalmente la direccin destino de los paquetes es una direccin broadcast.
Explicacin:
Los atacantes crean paquetes donde no utilizan su direccin IP, sino que crean paquetes con direcciones suplantadas. Cuando las mquinas en el sitio intermediario respondan al ICMP echo request, ellos responden al computador vctima. Se presenta congestin en la red y el computador vctima se degrada.
JCM-2001 All rights
24
Efecto
Si efectuamos la resta entre 2021824000 - 2021952000, tenemos como resultado 128.000. Con esto podemos predicir la respuesta de una conexin y la capacidad de silenciar un lado, podemos invadir una sesin entre dos mquinas
Explicacin:
Esta es la fase preliminar de un ataque. Mientras se efecta un SYN Flood, el servidor se congestiona, se utiliza la relacin de confianza que se tenga para efectuar la conexin.
JCM-2001 All rights
25
Efecto
Esta exploracin busca identificar servidores WEB.
Explicacin:
El envo de paquetes a la direccin 0 para tratar de difundir el paquete en ese segmento. Sin embargo, la difusin de paquetes se aplica a protocolos UDP. Por tanto, el envio de paquetes SYN a las direcciones .0 y .255 se interpreta como una direccin nica y ningn host responder esta peticin.
26
Firmas y Filtros
Firmas y Filtros
Conceptos
Firma
Define o describe un patrn de trfico de inters. Est presente en el trfico y la idea es encontrarlas y entenderlas.
Filtros
Si podemos entender los patrones, podemos crear filtros. El filtro transcribe la descripcin de la firma, bien en cdigo legible por una mquina o en las tablas de consulta para que un sensor pueda identificar el trfico.
Falso Negativo
Trfico de red que aparentemente parece normal cuando realmente se est materializando un ataque.
Implicaciones
Requieren correlacin de otras fuentes para verificar si el trfico normal o no. Actualizacin permanente de nuevos patrones. Personal especializado y entrenado en anlisis de trfico. Aumentan sustancialmente la ventana de exposicin. Las firmas son susceptibles de ser manipuladas y falseadas, para confundir al IDS.
JCM-2001 All rights 29
Ejercicios de Anlisis
Ejercicios
El siguiente trfico corresponde a una fragmentacin patolgica de paquetes. Cuando se reemsamblan los paquetes cul es tamao total del paquete?
08:22:49.388906 thumper > 192.168.38.5: icmp echo request (frag 4321:1480@0+) 08:22:49.389005 thumper > 192.168.38.5: (frag 4321:1480@1480+) 08:22:49.389050 thumper > 192.168.38.5: (frag 4321:1480@2960+) . 08:22:49.425543 thumper > 192.168.38.5: (frag 4321:1480@63640+) 08:22:49.425753 thumper > 192.168.38.5: (frag 4321:1480@65120)
31
Ejercicios
Considere el siguiente trfico de red. Este trfico corresponde a:
13:10:33.281198 attack.ip.one.0 > 192.168.26.203.143: SF 374079488: 374079488(0) win 512 13:10:33.334983 attack.ip.one.0>192.168.24.209.143: SF 374079488: 374079488(0) win 512 13:10:33.357565 attack.ip.one.0>192.168.17.197.143: SF 374079488: 374079488(0) win 512 13:10:33.378115 attack.ip.one.0>192.168.16.181.143: SF 374079488: 374079488(0) win 512 13:10:33.474966 attack.ip.one.0>192.168.24.194.143: SF 374079488: 374079488(0) win 512
b. Posible manera para penetrar un Firewall c. Combinacin sospechosa de Flags d. Posible manera de eludir sistemas de filtrado e. Todas las anteriores
32
Reflexiones
Tcnicas
Los analistas de trfico de red, son personal altemente entrenado y especializado en protocolos de red, particularmente TCP/IP Se requiere software especializado. Recuerde que esta tecnologa es naciente y an tiene que madurar.
Organizacionales
Personal tcnico que conoce perfectamente las vulnerabilidades de su red. Alto sentido de la responsabilidad con la informacin. Se requiere una disposicin de la gerencia para que esta funcin de anlisis de trfico se de dentro de la funcin de seguridad informtica como factor complementario a las actividades de dicha funcin.
Legales
El trfico de red es informacin digital de la organizacin. Se est teniendo acceso va medios alternos. Debe estar normada esta actividad y sus alcances para no incurrir en violacin de confidencialidad de los datos. El anlisis de trfico puede ser parte de la evidencia en el proceso de anlisis forense de un incidente de seguridad, como un apoyo al esclarecimiento del incidentes mismo.
JCM-2001 All rights 33
Referencias
Northcutt, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. Northcutt, S y Novak, J. (2001) Deteccin de intrusos. Guia avanzada. 2da. Edicin. Prentice Hall. Chappell, L. (2000) Advanced Network analysis techniques. Podbooks.com. Stevens, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. Gurley, R. (2000) Intrusion Detection. Macmillan Technical Publishing. Anomino. (2000) Linux Mxima Seguridad. Prentice Hall. Northcutt, S. (1999) Network intrusion detection. An analysts handbook. New Riders. Bace, R. (1999) Intrusion detection. Prentice Hall Gollman, D. (1999) Computer security. John Wiley & Son. Feit, S. (1998) TCP/IP. McGraw Hill. Chapman, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. OReally. Pfleeger, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edicin.
Referencias
Frederick, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html Frederick, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html Spitzner, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html Johnson, J. (2000) The joys of incident handling response process. Mayo 15. Securityportal.com Casey, E. (2000) Digital evidence and computer crime. Academic Press. Icove, D., Seger, K. y VonStorch, W. (1995) Computer crime. A crimefighters handbook. OReally. Weber, R. (1999) Information Systems control and audit. Prentice Hall. Stehpheson, P. (1999) Investigating computer-related crime. CRC Press. Richards, K. (1999) Network based intrusion detection: A review of technologies. Computers & Security. Vol 18. Stephenson, P. (1998) Investigation internet security incidents. A brief introduction to cyber forensic analysis. Presentacin en Power Point Amoroso, E. (1998) Intrusion Detection: An introduction to internet survillance, correlation, traps, trace back and response. John Wiley & Son.