Implementacin de un IDS

Que son los IDS?

Sistemas de monitoreo computacional que buscan seales de la presencia de usuarios no autorizados, o de usuarios abusando de sus privilegios

Que hace un IDS

Monitorea diversas fuentes de informacin de los sistemas analizando de varias maneras esta informacin Compara el trfico con patrones de ataques Identifica problemas relacionados con el abuso de privilegios Realiza anlisis estadstico en busca de patrones de actividad anormal

Para que un IDS si ya tenemos Firewall?

La mayora de Firewalls funcionan como guardias frontales nicamente Los IDS son el equivalente a los sistemas de alarma con multiples sensores y monitoreo por circuito cerrado de video Muchas veces el enemigo ya est dentro Algunos productos de Firewall han incluido IDS pero se siguen llamando Firewalls.

Categorizacin de IDS
Sistemas basados en Red o NIDS Sistemas basados en Red o NIDS

NIDS
Monitorean el trfico de red, pero solo en porciones de estas Utilizan sniffers y modo promiscuo que requieren privilegios locales Pueden fcilmente monitorear mapeos de puertos, ataques conocidos y sustitucin de direcciones ip

HIDS
Solo se preocupan por los eventos locales a una mquina monitoreando el trfico de red o elementos de la misma mquina Monitorean:
Sesiones de usuarios Actividades de los usuarios privilegiados Cambios en el sistema de archivos

Que es snort?
NIDS: Un sistema de deteccin de intrusiones de red (NIDS) que intenta detectar actividades maliciosas tales como ataques de denegacin de servicio, anlisis de puertos o incluso intentos de entrar ilegalmente en ordenadores por el trfico de la red de monitoreo. Snort: un sistema de cdigo de red de prevencin y deteccin de intrusiones abierto. Utiliza un lenguaje basado en reglas que combina mtodos de firma, protocolo e inspeccin anomala Snort: el mayor despliegue de deteccin de intrusiones y tecnologa de prevencin y se ha convertido en la tecnologa estndar de facto en todo el mundo en la industria.

De donde viene?
Desarrollado por la necesidad evolutiva de realizar el anlisis de trfico de red, tanto en tiempo real y para el procesamiento posterior forense Deteccin de intrusiones con xito depende de la poltica y la gestin tanto como la tecnologa Poltica de Seguridad (la definicin de lo que es aceptable y lo que se est defendiendo) es el primer paso notificacin Quin, qu tan rpido? Coordinacin de Respuesta

De que depende su xito?

Deteccin de intrusiones con xito depende de la poltica y la gestin tanto como la tecnologa Poltica de Seguridad (la definicin de lo que es aceptable y lo que se est defendiendo) es el primer paso notificacin Quin, qu tan rpido? Coordinacin de Respuesta

Snort
Un analizador de paquetes: captura y visualizacin de paquetes de la red con diferentes niveles de detalle en la consola Registrador de paquetes: los datos de registro en un archivo de texto NIDS: red del sistema de deteccin de intrusiones

Tipica arquitectura de red Snort

Principales ventajas
Portable (Linux, Windows, MacOS X, Solaris, BSD, IRIX, Tru64, HP-UX, etc) Rapido (alta probabilidad de deteccin de un ataque dado en las redes de 100 Mbps) (Fcil idiomas reglas, muchas opciones de informes / registro configurables Gratis (GPL / Open Source Software)

Caracteristicas
Deteccin de paquetes del sistema de deteccin de intrusiones de red "ligero" Interfaz sniffing basado en Libpcap Motor de deteccin basado en normas Sistema Plug-in permite la flexibilidad infinita

En que capa del modelo OSI trabaja?

Arquitectura interna

Cmo funciona?

 Packet Decoder : toma los paquetes de diferentes tipos de interfaces de red (Ethernet, SLIP, PPP, ...), preparar paquetes para su proceso Preprocesador : (1) preparar los datos para el motor de deteccin, (2) detectar anomalas en los encabezados de paquetes, (3) la desfragmentacin de paquetes, (4) decodifica HTTP URI; (5) vuelve a montar flujos TCP. Detection Engine: la parte ms importante, se aplica reglas a los paquetes Logging and Alerts : Generados por el sistema Output Modules : alertas de proceso y registros y generar la salida final.

Implementacin
1 ) Ubicar fsicamente el IDS en nuestra arquitectura de red.

2) Plataforma de instalacin y Hardware

DISCO DURO: Kingston SSD de 16 GB de disco duro SSDNOW100S PLACA MADRE / CPU SUPERMICRO MBD-X7SPA-HF-O Placa base Mini ITX Intel Atom D510 procesador del servidor - Intel Atom 510 procesador de doble ncleo - Dual Intel 82574L Ethernet Puertos - Ranura PCI Express x16 - Soporta hasta 4 GB de Ram DDR2 SO-DIMM 667 - 6 SATA 3.0Gb / s puertos que se han incorporado en el soporte RAID - Sin ventiladores es necesario, equipo totalmente silencioso se enfren - Bajo consumo de energa - IPMI 2.0 integrado RAM: Kingston 2GB 200-Pin DDR2 SO-DIMM DDR2 667 (PC2 5300) KVR667D2S5/2G: ALIMENTACIN: PicoPSU-150-XT Con Kit 102WPOWER Incluye Pico PSU de 150W DC-DC ATX PSU

3) Instalacion
Principalmente requiere de las libreras DAQ y Libdnet y Libpcap , para el procesamiento de sniffer y descargar Snort y las reglas de los desarrolladores gratuitamente https://www.snort.org/signup

4) Configuracin
Para la configuracin de Snort el archivo que hay que modificar es snort.conf que se encuentra en la carpeta /etc/snort. #vim /etc/snort/snort.conf Aqu se declara la red que queremos proteger: ipvar HOME_NET any El directorio de reglas: var RULE_PATH ../rules var SO_RULE_PATH ../so_rules Y como se guardan los archivos o logs: output unified2: filename snort.log, limit 128 Y activamos las reglas del SO y las del snort: include $SO_RULE_PATH/******

Finalizamos con la compilacin: #snort -c /etc/snort/snort.conf T

Administrando Snort
Las reglas crean patrones o signatures Elementos modulares de deteccin se combinan para formar estos patrones Es posible la deteccin de actividad anmala; stealth scans, OS fingerprinting, buffer overflows, back doors, vulnerabilidades en cgis, cdigos ICMP invlidos, entre otros El sistema de reglas es muy flexible y la creacin de nuevas reglas es sencilla

 Puede generar; Alert, Log o Pass sobre direccin/puerto origen/destino para IP, UPD e ICMP, anomalas estadsticas o verificaciones sobre protocolos A menos que se tengan necesidades muy especficas no es necesario escribir nuevas reglas; actualmente hay mas de 2000 disponibles en lnea

Creando reglas
Las reglas se crean en el directorio : #vim /etc/snort/rules/* Las reglas para nuestra red se crearan en local.rules
alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 any (flags: SF; msg: SYN-FIN Scan;)

Explicacion
Ip destino Todos los paquetes Ip origen Puerto destino

Puerto origen Opcion Tipo de registro

Cabecera

Resultados
11/20-15:20:57.960134 [**] [1:1000001:1] TEAM VIEWER CONNECTION APLICACION TCP [**] [Priority: 0] {TCP} 10.200.110.84:49491 -> 190.120.226.198:5938 11/20-15:20:56.360500 [**] [129:15:1] Reset outside window [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 134.170.21.247:443 -> 10.202.45.35:1308 11/20-15:19:47.835458 [**] [139:1:1] (spp_sdf) SDF Combination Alert [**] [Classification: Sensitive Data was Transmitted Across the Network] [Priority: 2] {PROTO:254} 10.200.100.176 -> 200.37.28.91

Recomendaciones
Organizar las reglas bien conocidas en una mejor estructura de datos para lograr un mejor rendimiento Un detector con la probabilidad de deteccin aceptable permitir darle mas seguridad a tu institucin.

Conclusiones
Snort es una herramienta poderosa, pero la maximizacin de su utilidad requiere de un operador entrenado Dominar con deteccin de intrusiones de red tarda 12 meses, "experto" 2 aos a mas. Snort es considerado una muy buena NIDS en comparacin con la mayora de los sistemas comerciales Los proveedores de seguridad de red administrados deben recopilar la informacin suficiente para tomar decisiones sin tener que llamar a los clientes a preguntar qu pas.

Gracias