Uji
on de intrusos:
un enfoque pr´
actico
Antonio Villal´on Huerta
avillalon@s2grupo.com
Abril, 2003
This is 100% Microsoft free
Contenidos
• Introducci´on.
• Detecci´on en el cortafuegos.
• Detecci´on en la red.
• Detecci´on en la m´aquina.
• Conclusiones.
• Pr´oximamente. . .
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 1
Introducci´
on
Lasdefiniciones habituales. . .
• Intrusi´
on: Conjunto de acciones que intentan comprometer la
integridad, confidencialidad o disponibilidad de un recurso.
⇒ No s´olo penetraciones contra un sistema.
• Detecci´
on de intrusos: An´alisis autom´atico de par´ametros
que modelan la actividad de un entorno con el prop´osito de
detectar e identificar intrusiones.
• Sistema de detecci´
on de intrusos (IDS):Mecanismo de
seguridad que lleva a cabo la detecci´on de intrusos.
⇒ No tiene por qu´e ser un programa o producto concreto.
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 2
Introducci´
on
Un poco de historia. . .
• Primer trabajo sobre IDSes: 1980 (James P. Anderson).
• D´ecada de los 80: dise˜
no del primer sistema (IDES), que
funcionaba en tiempo real (Dorothy Denning, PeterNeumann).
• Auge desde 1995 (crisis de los firewalls).
• Actualmente, uno de los campos con m´as investigaci´on y
avances.
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 3
Introducci´
on
¿Por qu´
e queremos detectar intrusiones?
• ¿Es suficiente la prevenci´on (cortafuegos, parches. . . )?
• Conocimiento del entorno.
• Detecci´on r´apida (¿inmediata?) de potenciales problemas.. .
• . . . y respuesta ante los mismos.
• ...
OBJETIVO: Proteger nuestros recursos.
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 4
Introducci´
on
Lo que queremos proteger. . .
WAN
Primergy
Ethernet
Hub
Primergy
Ethernet
Hub
Ethernet
Hub
Primergy
Ethernet
Hub
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 5
Introducci´
on
¿C´
omo protegerlo?REGISTRO
EXTRACCION
PROCESO
Respuesta BB.DD.
Antonio Villal´
on Huerta
Almacenamiento
IDSes: Un enfoque pr´
actico
...
P´
agina 6
Introducci´
on
¿D´
onde protegerlo?
Firewall
Ethernet
Hub
LAN
Host
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 7
Detecci´
on en el cortafuegos
¿Por qu´
e detectar en nuestro firewall?
• Elemento cr´ıtico en cualquier plataforma.
•Nexo de uni´on con el mundo exterior.
• Punto por el que pasa todo el tr´afico (el ‘bueno’ y el ‘malo’).
• Mecanismos simples (no implican modificar la arquitectura, ni
probablemente incorporar nuevo software). . .
• . . . y efectivos (baja probabilidad de falsos positivos).
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 8
Detecci´
on en el cortafuegos
¿Qu´
e informaci´
onmaneja mejor un cortafuegos?
La incluida en las diferentes cabeceras de una trama:
• Direcciones origen y destino.
• Puertos origen y destino (servicios).
• Protocolos.
• Flags.
• ...
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 9
Detecci´
on en el cortafuegos
¿Qu´
e ataques detecto mejor en un cortafuegos?
Los que ‘vienen’ en dichas cabeceras:
• Todo tipo de barridos depuertos.
• IP–Spoofing.
• Ciertos troyanos.
• Tr´afico an´omalo.
• ...
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 10
Detecci´
on en el cortafuegos
Registro en un cortafuegos
• ipchains (-l)
• iptables (-j LOG)
• ipfilter (log)
• Firewall–1 (Track log)
• ...
Antonio Villal´
on Huerta
IDSes: Un enfoque pr´
actico
P´
agina 11
Detecci´
on en el cortafuegos
Extracci´
on deeventos significativos
• Acceso a puertos ‘an´omalos’:
block in log quick on elxl0 from any to any port = 79
block in log quick on elxl0 from any to any port = 31337
• Or´ıgenes falseados (p.e. direcci´on interna que proviene de red
externa):
block in log quick on elxl0 from 127.0.0.0/8 to any
block in log quick on elxl0 from 192.168.0.0/16 to any
• Violaciones de protocolo:
block in log...
Regístrate para leer el documento completo.