HADES

SEGURIDAD EN LA RED
Y
ANÁLISIS FORENSE

Universidad de Murcia – Facultad de Informática

 Tabla de Contenido

• Introducción
• Objetivos y Metodología
• Diseño y Resolución
• Conclusión y Vías Futuras

Universidad de Murcia – Facultad de Informática

 Introducción (I)

• Antecedentes
 Desde el primer gran incidente de seguridad en 1988 la
preocupación por la seguridad en equipos y redes de
computadores de propósito general se ha convertido en
algo fundamental.

 Ante la aparición de los peligros potenciales que podía

entrañar un fallo o un ataque a los equipos informáticos
surgen los CERT para dar respuesta rápida a los
problemas de seguridad. El primero en crearse fue el
CERT/CC.

Universidad de Murcia – Facultad de Informática

 Introducción (II)

• El Problema de la Seguridad
 Cada día se hace más patente la preocupación por los
temas relacionados con la seguridad en la red y sus equipos
informáticos, así como la necesidad de esta seguridad.

 El número de incidentes de seguridad reportados y el costo

económico asociado crece de forma espectacular año tras
año.

Universidad de Murcia – Facultad de Informática

 Introducción (III)
• Análisis Forense (Concepto)
 Si la prevención y los IDS (Sistemas de Detección
de Intrusos) fallan ⇒ Análisis Forense.

 Def: Análisis de un equipo atacado para averiguar

el alcance de la violación, las actividades de un
intruso en el sistema, y la puerta utilizada para
entrar; de esta forma se previenen ataques
posteriores y se detectan ataques a otros
sistemas de la propia red.

Universidad de Murcia – Facultad de Informática

 Introducción (IV)
• Análisis Forense (Dificultad)
 Sin embargo, no resulta fácil:

- Proceso laborioso (mucha información).

- Actuación precipitada de administradores.
- Eliminación de pruebas.
- Falta de automatización.

Universidad de Murcia – Facultad de Informática

 Introducción (y V)
• Experiencia Piloto de RedIRIS
 Como consecuencia de los problemas de seguridad,
RedIRIS emprende un proyecto a nivel nacional.

 Coordinado desde IRIS-CERT y con la colaboración de

varias Universidades Españolas.

 Objetivo: Creación de una red de equipos supervisada, que

permita la detección de nuevos patrones de ataque y el
análisis de los sistemas atacados.

 Este proyecto está enmarcado dentro de esa experiencia

piloto.

Universidad de Murcia – Facultad de Informática

 Objetivos y Metodología (I)
• Objetivos
 Desarrollo de un sistema capaz de monitorizar de manera
transparente la información que circula por la red destinada
a uno o varios equipos específicos para detectar ataques.

 Estudio pormenorizado de los ataques, usando la

información almacenada por los IDS y la información que se
pueda recuperar del equipo atacado.

 Obtención de patrones de comportamiento de los atacantes

para descubrir nuevas modalidades de intrusión.

 Desarrollo de una guía que especifique los pasos a seguir

cuando un equipo ha sido atacado.

Universidad de Murcia – Facultad de Informática

 Objetivos y Metodología (y II)
Atacante Víctima
Víctima

Análisis Forense
Control

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (I)
• Diseño de la topología (Requisitos)
 Toda información con origen/destino los equipos trampa debe
pasar por el equipo de control (monitorización y filtrado del tráfico).

 Necesidad de un mecanismo que permita comunicar al sistema de

control con los equipos trampa sin que haya una conexión física
directa.

 Se debe poder aislar los equipos trampa de forma individual

(bloqueo de accesos remotos).

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (II)
• Diseño de la topología (Soluciones)

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (III)
• Configuración del Sistema de Control

 Instalación de un sistema operativo seguro (VA-Linux).

 Funcionamiento en modo Bridge (bridge-utils).

 Configuración para realizar Firewalling (iptables).

 Monitorización de los equipos trampa (tcpdump y snort).

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (IV)
• Configuración de los Equipos Trampa
 Instalación de distintos sistemas operativos.

 Apertura de todos los puertos y servicios disponibles.

 Instalación de herramientas que faciliten la copia y

migración de datos (dd y nc).

 Sincronización de la hora del sistema con algún servidor de

tiempo fiable (NTP).

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (V)
• Análisis de Ataques (Ideas Generales)
La mayor parte de los ataques que acaban con un acceso al sistema
con privilegios de root siguen el mismo esquema:

 Se realiza un escaneo buscando equipos vulnerables que estén

ejecutando un servicio con algún fallo de seguridad conocido.

 Se emplea un exploit contra el equipo, consiguiendo instalar una

puerta de acceso al sistema.

 El atacante instala o compila un rootkit: conjunto de programas de

nombre y comportamiento similar al de comandos del sistema
operativo, que sin embargo no muestran información sobre
determinados estados del sistema.

 El atacante instala herramientas de ataque para escanear otros

equipos y redes, empleando esta máquina como puente.
Universidad de Murcia – Facultad de Informática
 Diseño y Resolución (VI)
• Análisis de Ataques (Análisis Forense I)

 Evitar utilizar comandos y/o aplicaciones del equipo atacado, ya que

pueden estar troyanizadas. Así mismo, utilizar programas compilados
estáticamente. Mejor si se usa un equipo distinto para el análisis.

 Realizar una copia a nivel de bit de los datos y enviarlos (si es

posible) a otro equipo.

- Ejemplo:
En el equipo víctima:
dd if=/dev/sda4 of = – | nc equipo_remoto –p 100

En el equipo remoto:
nc –s –p 1000 > sda4

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (VII)
• Análisis de Ataques (Análisis Forense II)

 Obtener todos los datos disponibles sobre el sistema: versión,

particiones, hora y fecha del ataque, fecha en la que se desconectó de
la red...

 Montar las imágenes de las particiones para su análisis.

- Ejemplo:

mount -o ro,loop,nodev,noexec raiz-hda4 home/analisis/disco

mount -o ro,loop,nodev,noexec var-hda3 home/analisis/disco/var

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (VIII)
• Análisis de Ataques (Análisis Forense III)

 Obtener los tiempos MAC de ficheros y directorios antes de

hacer cualquier modificación (grabbe-robber, ils, ils2mac,
mactime).

- Ejemplo:
# grave-robber -o LINUX2 -c home/analisis/disco -m -d ./resultados
# ils /home/analisis/raiz-hda4 |ils2mac > ilsbody
# cat body ilsbody > body-full
# mactime -b body-full 08/04/2001 > mactime.txt

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (IX)
• Análisis de Ataques (Análisis Forense IV)

 Comprobar la integridad de todos los binarios existentes en el

sistema y de los paquetes instalados (Tripwire, rpm, pkgchk...).

- Ejemplo:
# rpm -V -a --root=home/analisis/disco/
...
SM5....T /bin/ls
SM5....T /usr/bin/ps
...

 Inspeccionar ficheros de configuración en busca de modificaciones.

 Buscar cadenas “extrañas” dentro de ficheros binarios que puedan

delatar la presencia de un rootkit (difícil).

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (X)
• Análisis de Ataques (Análisis Forense V)

 Analizar los tiempos MAC para crear una línea temporal de las
actividades realizadas por el intruso.

- Ejemplo:

Aug 06 01 09:57:55
627271 ..c -rw-r--r-- root root <raiz-hda4-dead-2404>
Aug 06 01 09:58:00
4096 m.c drwxr-xr-x root root home/analisis/disco/bin
11952 .a. -rwxr-xr-x root root home/analisis/disco/bin/chown
35300 ..c -rwxr-xr-x root root home/analisis/disco/bin/netstat
33280 ..c -rwxr-xr-x root root home/analisis/disco/bin/ps
36864 m.c drwxr-xr-x root root home/analisis/disco/dev
241 m.c -rw-r--r-- root root home/analisis/disco/dev/xdta
145 m.c -rw-r--r-- root root home/analisis/disco/dev/xmx
19840 ..c -rwxr-xr-x root root home/analisis/disco/sbin/ifconfig

Universidad de Murcia – Facultad de Informática

 Diseño y Resolución (y XI)
• Análisis de Ataques (Análisis Forense y VI)

 Recuperar la información eliminada por el atacante (unrm,

lazarus, icat...).

- Ejemplo:

# icat raiz-hda4 92962 > fich-92962

 Contrastar la información obtenida con la que ha quedado

almacenada en el sistema de monitorización (IDS).

Universidad de Murcia – Facultad de Informática

Conclusiones y Vías Futuras (I)
- Conclusiones:

 El problema de la seguridad en equipos informáticos y redes de

computadores es tan amplio como complejo.

 Esto crea la necesidad de tener sistemas eficaces de detección

de intrusiones y estar al día en los nuevos métodos de ataque.

 Difícil encontrar gente con experiencia en el análisis de ataques y

falta de un marco de trabajo común.

 En este proyecto se ha tratado de aunar ambos problemas para

proponer soluciones prácticas.

 Los resultados alcanzados hacen pensar que se abren las

puertas de una nueva línea de investigación, que ayudará a
conseguir equipos más seguros.

Universidad de Murcia – Facultad de Informática

Conclusiones y Vías Futuras (y II)
- Vías futuras:

Instalación y monitorización de más equipos trampa.

Captura de logs remotos.

Monitorización de los procesos del sistema.

Desarrollo de una interfaz que permita la separación,

visualización y clasificación de las distintas conexiones
establecidas sobre un equipo.

Universidad de Murcia – Facultad de Informática