Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Deteccin/Prevencin de Intrusos
Adolfo Grego, M.S, CISSP, NSA-IAM, OSWP
Director de Tecnologa
Grupo RF
Profesor de Ctedra
ITESM-CEM
@adolfogrego
Un gramo de
prevencin equivale a
un kilo de deteccin
2
Qu es una intrusin?
Difcil de definir.
No hay un consenso.
Esto es un gran problema:
Que tal si alguien efecta un telnet al sistema de usted
Y trata de entrar al sistema como root ?
Qu es un IDS ?
El sistema ideal de deteccin de intrusos
notificar al administrador de sistema/red la
existencia de un ataque en proceso:
Con 100% de exactitud.
Inmediatamente (t<1min).
Con un diagnstico completo del ataque.
Con recomendaciones de como bloquear el
ataque.
Objetivos: Exactitud
100% de exactitud y 0% de falsos positivos.
Un falso positivo ocurre cuando el sistema genera
una falsa alarma.
O lo que es lo mismo el
sndrome de Juanito y el Lobo
Generar un 0% de
falsos positivos es trivial:
No detectar nada.
Generar un 0% de falsos
negativos es un objetivo adicional:
No permitir que ningn ataque pase desapercibido.
6
Objetivos: Diagnstico
Idealmente el IDS categorizar / identificar el
ataque:
Demasiado detalle para el administrador de red, al
tener que conocer ntimamente los ataques.
Difcil de implementar:
Especialmente cuando las cosas
se ven raras y no concuerdan
con ataques conocidos.
Objetivos: Recomendaciones
El IDS perfecto no solo identificar un ataque,
tambin:
Evala la vulnerabilidad del blanco.
Si el blanco es vulnerable informar al
administrador.
Si la vulnerabilidad tiene un parche conocido,
indicar al administrador como aplicarlo.
IDS: a Favor
Un IDS razonablemente efectivo puede
identificar:
Ataques internos.
Ataques externos.
IDS: en Contra
No tienen como caracterstica principal
prevenir o bloquear ataques.
No son un reemplazo de firewalls, routers, etc.
12
Deteccin de ataques.
Deteccin de intrusiones.
13
Deteccin de Ataques
DMZ
Router
Server
Server
Workstation
IDS
Firewall
Laptop
14
Deteccin de Ataques
Ubicar el IDS fuera del permetro de seguridad
permite grabar registros al nivel de ataque.
Se supone que si el permetro est bien diseado
los ataques no deben de afectarlo.
Informacin til a nivel directivo.
Nos han intentado atacar 3,789,231 veces.
15
Deteccin de Intrusos
DMZ
Router
Server
Workstation
Server
Firewall
Laptop
IDS
16
Deteccin de Intrusos
Colocar el IDS dentro del permetro, detectar
instancias claras de comportamiento
incorrecto.
Backdoors.
Ataques provenientes del Staff.
Ataques que cruzan por el firewall.
Paradigmas de Correlacin
de Datos
IDES
Auditora
Inline
Hbrido
19
IDES
Basado en trabajo de Dorothy Denning (1986).
Define el IDS en trminos de:
Sujetos: Iniciadores de actividad.
Objetos: Blancos de actividad.
Perfiles: Caracterizacin de como los sujetos operan los objetos (ya
sea de forma estadstica o por reconocimiento de patrones).
Registros de Auditora.
Registros de Anomalas.
Alarmas.
IE DIDS, Stalker, Emerald
20
Host
o
Sniffer
Administrador de
Respuestas
Analisis Estadistico
Reconocimiento de
Patrones
Administrador de Alertas
Persistencia
GUI
Base de
Conocimientos
Auditora
Post procesamiento de la informacin de
auditora.
Primero se genera la informacin de auditora, despus se
procesa.
Procesamiento batch.
Problema: De dnde tomar los datos.
Kernel y
Aplicaciones
DB de
Auditoria
Correlacion
efectuada por el IDS
Generacion de
Alertas
22
Auditora
El problema es determinar cul es el mejor
punto de auditora (medicin).
El libro naranja (Orange Book) del DOD incluye
23 puntos de recoleccin de datos, dentro del
Kernel de UNIX y aplicaciones.
Open, R/W
Creacin de IPC
Bad Login
Process Fork
Etc
23
24
Inline
Inline IDS procesa datos de auditora
conforme estos se van generando.
Descarta datos de auditora que no son
considerados relevantes.
La cantidad de correlacin tiene a ser limitada.
Reporte de
Alertas
Kernel
y Aplicaciones
Correlacion
Efectuada por el IDS
Base de Datos
Incidentes
25
Paradigmas de IDS
Segn la Fuente de Datos
Los datos provienen del Host.
Los datos provienen de la Red.
27
32
Paradigmas de Operacin
de los IDS
Deteccin de anomalas o el enfoque de IA.
Deteccin de mal uso o el enfoque fcil y
sencillo.
Alarmas Contra Robo o la deteccin basada en
polticas.
Honey Pots o el enfoque psale a lo barrido.
Hbridos
35
Deteccin de Anomalas
Metas:
Analizar la red o sistema e inferir que es normal.
Aplicar medidas estadsticas o heursticas a
eventos subsecuentes, para determinar si estos
concuerdan con el modelo o estadstica de lo que
esnormal.
Si los eventos se encuentran fuera de una ventana
de probabilidad que determine lo que es normal,
se genera una alerta.
Control configurable de falsos positivos.
36
Deteccin de Anomalas
Implementaciones tpicas para deteccin de
anomalas:
Redes neuronales: reconocimiento de patrones
basado en probabilidades.
Anlisis estadstico: modelado del
comportamiento de los usuarios y bsqueda de
desviaciones de la norma.
Anlisis de cambio de estados: modelado del
estado del sistema y bsqueda de desviaciones de
la norma.
37
Deteccin de Anomalas
Argumentos a Favor
Si funciona, puede detectar cualquier ataque posible.
Si funciona, puede detectar ataques que no sean
conocidos.
O variantes muy cercanas de ataques comunes.
38
Deteccin de Anomalas
Argumentos en Contra
Las implementaciones actuales no funcionan
muy bien.
Demasiados falsos positivos/negativos.
39
Deteccin de Anomalas
Ejemplos
IDES/NIDES
GrIDS
Emerald
40
41
Fcil de implementar.
Fcil de liberar.
Fcil de actualizar.
Fcil de entender.
Pocos falsos positivos.
Rpido.
43
44
45
46
47
49
Confiable.
Predecible.
Fcil de implementar.
Fcil de entender.
Generacin casi nula de falsos positivos.
Puede (a veces) detectar ataques
desconocidos.
50
51
Honey Pots
Es un sistema que fue configurado para atraer
al atacante.
ecom.tienda.com.mx
transfers.banco.com.mx
tacacs.isp.net.mx
52
Honey Pots
Metas:
Hacer que se vea atractivo al atacante.
Hacer que se vea dbil y fcil de atacar.
Hacer que sea posible monitorear todo el trfico
que entra y sale del sistema.
Alertar al administrador cada vez que alguien
logra accesar al sistema.
53
Honey Pots
Se pueden construir de forma muy sencilla
utilizando herramientas como:
Tcpwrappers
TCPdump
PERL
54
Honey Pots
Argumentos a Favor
Fcil de implementar.
Fcil de entender.
Confiable.
Sin costo en el desempeo.
55
Honey Pots
Argumentos en Contra
Asume que el atacante es tonto.
Los atacantes no lo son.
IDS Hbridos
La mayor parte de los IDS comerciales son de
este tipo.
Su fortaleza es en la deteccin de anomalas.
Estadstica.
Demasiados falsos positivos.
57
Engaando al IDS
La calidad de la informacin disponible al IDS
es directamente proporcional a que tan
cercana a la fuente se efecta su recoleccin.
Difcil.
Modificar SW de app. Para obtener bitcoras.
Problemas de performance, al sacar datos del kernel.
La recoleccin sobre la red es la ms transparente y no
intrusiva en su operacin.
58
Engaando al IDS
Mientras ms lejos de la fuente de datos se
encuentre el IDS, ms vulnerable es a ataques
de spoofing.
Ej:
stty erase w
rxwoxwoxwtkit
stty erase ^?
59
Engaando al IDS
Inundar redes con datos sirve para
enmascarar un ataque contra un IDS.
De cualquier manera, esto es obvio de un ataque.
Pocos sistemas pueden capturar a velocidades
mayores a 1000Mbs.
60
Engaando al IDS
No todos los IDS hacen reensamble completo
de TCP, son vulnerables a la manipulacin del
Stream de datos de TCP.
Estos eventos deben de ser tratados como
eventos interesantes.
Verificar situaciones como que la red este
partiendo paquetes grandes en fragmentos de 40
bytes.
61
Engaando al IDS
En resumen, el diseador de IDS debe
balancear entre los siguientes escenarios:
Almacenar demasiada informacin, siendo muy
intrusivo y lento.
Recolectar rpidamente informacin de segunda
mano y posiblemente ser engaado o perder
algn detalle.
62
IDS y el WWW
Candidatos ideales para proteger websites.
Fallan en presencia de SSL.
Usar IDS basados en el Host para web servers.
Usar IDS basados en red para hacer un perfil de
sweeps y scans.
63
IDS y Firewalls
Eventualmente se fusionaran en una sola
aplicacin.
Los firewalls pueden detonar eventos en presencia
de ciertos patrones de trfico.
Syn Floods.
Scans.
Se puede usar esto para construir alarmas contra robo.
64
IDS y VPNs
Los IDS basados en red tienen problemas en
presencia de VPNs.
Crypto.
Sin embargo, pueden detectar errores de
sincronizacin.
Las VPNs proveen de buenas bitcoras de
operacin a los administradores.
65
IDS y Switches
Tendencia hacia ambientes switcheados.
Es difcil para un IDS basado en red grabar el
trfico de un red switcheada.
Inundar al switch.
Inundar al IDS.
66
IDS y Desempeo
No operan bien en redes de alta velocidad.
Muchos tiran paquetes arriba de 30Mb/s.
TCPdump tambin!
La nica forma de verificar esto es un conteo de
paquetes enviados vs. lo que el IDS dice haber
registrado.
IDS
Son una herramienta que hay que saber
utilizar.
No son un silver bullet.
Requieren de mucho soporte por parte de los
administradores.
Requieren de conocimiento profundo del
comportamiento de la red/sistemas.
Es importante hacer una buena evaluacin de
la ubicacin del IDS.
Sigue siendo una tecnologa joven.
68
Bibliografa
Network Intrusion Detection, Northcutt et al,
New Riders.
Intrusion Signatures and Analysis, Northcutt et
al, New Riders.
Internet Security and Firewalls, Cheswick and
Bellovin, Addison Wesley.
TCP/IP Illustrated Vol. 1, Stevens, Addison
Wesley.
69
www.tcpdump.org
www.snort.org
www.securityfocus.com
www.esecurityonline.com
www.sans.org
www.cert.org
70
Deteccin/Prevencin de Intrusos
Adolfo Grego, M.S, CISSP, NSA-IAM, OSWP
Director de Tecnologa
Grupo RF
Profesor de Ctedra
ITESM-CEM
@adolfogrego
71