ARTÍCULOS SOBRE SEGURIDAD EN IDS.

ÁLVARO PAZ.

Herramienta de análisis de detección y capacidades de bloqueo de un IDS/IPS.

Se trata de la herramienta pytbull un marco de pruebas de sistemas de detección y prevención de intrusiones (IDS / IPS) como: Snort, Suricata y cualquier IDS / IPS que genere un archivo de registro de alertas. Puede ser utilizado para: probar la detección y capacidades de bloqueo de un IDS / IPS, comparar diferentes IDS / IPS, comparar modificaciones de la configuración y validar configuraciones nuevas.

Pytbull contiene cerca de 300 pruebas agrupadas en 11 módulos:

• badTraffic: Los paquetes que no cumplen con RFC se envían al servidor para comprobar

cómo se procesan. • bruteForce: pone a prueba la capacidad del servidor para rastrear ataques de fuerza bruta

(por ejemplo, FTP). Hace uso de reglas personalizadas en Snort y Suricata. • clientSideAttacks: este módulo utiliza una shell inversa para proporcionar instrucciones al

servidor para descargar archivos maliciosos remotos. Este módulo pone a prueba la capacidad de los IDS / IPS para proteger contra ataques del lado del cliente.

• denialOfService: pone a prueba la capacidad de los IDS / IPS para proteger contra los intentos de DoS .

• evasionTechniques: diversas técnicas de evasión que se utilizan para comprobar si los IDS /IPS pueden detectarlas.

• fragmentedPackets: diversas cargas de paquetes fragmentados que se envían al servidor para poner a prueba su capacidad para recomponerlos y detectar los ataques.

• ipReputation: pone a prueba la capacidad del servidor para detectar el tráfico de los servidores de baja reputación.

• normalUsage: cargas útiles que corresponden a un uso normal. • pcapReplay: permite reproducir archivos pcap. • shellcodes: enviar varios shellcodes al servidor en el puerto 21/tcp para poner a prueba la

capacidad del servidor para detectar y rechazar shellcodes. • testRules: Pruebas de reglas básicas. Ataques basados en las reglas del popio IDS / IPS a

probar.

Dentro de la arquitectura de funcionamiento de pytbull existen dos modos:

El modo remoto o autónomo:

En este modo, el IDS está enchufado en el puerto SPAN (port mirroring) del conmutador y se configura en modo promiscuo. El IDS analiza todo el tráfico que pasa a través del switch. Los archivos maliciosos pueden ser descargados, ya sea por pytbull o por el servidor.

Modo local o gateway:

En este modo, los archivos que se descargan en el cliente pytbull y se pone en marcha a partir de tres tipos de configuración:

• Modo de IDS con el servidor a atacar en la DMZ, en esta configuración, un servidor de seguridad de la red se divide en 3 partes (LAN, WAN, DMZ). El IDS está enchufado en un puerto SPAN (port mirroring) del conmutador con su interfaz configurada en modo promiscuo. Se analizará cada tráfico que se envía a la interfaz LAN del firewall.

• Modo de IPS, en esta configuración un firewall divide la red en 3 partes: LAN, WAN y DMZ. El IDS está conectado entre el cliente pytbull y el firewall. Para dar a los IDS una oportunidad para detectar los archivos maliciosos. Para esta prueba pytbull tiene que descargar los archivos infectados.

• Modo de IPS con el servidor a atacar en la DMZ, en esta configuración, un firewall divide la red en 3 partes: LAN, WAN y DMZ. El IDS está conectado entre el cliente pytbull y el firewall. Archivos maliciosos tienen que ser descargados por el cliente pytbull y enviados alservidor a atacar en la DMZ, analizando si el IDS los detecta.

Interfaz principal de Pytbull se basa en la línea de comandos. Para evitar una larga lista de argumentos, la mayoría de las opciones se proporcionan en el archivo de configuración. Durante la ejecución de las pruebas, los ensayos se muestran en tiempo real y los resultados detallados se pueden mostrar mediante el uso de la opción de depuración. Una vez que todas las pruebas se han procesado realiza un informe completo en HTML. Las pruebas de pytbull se basan en una sintaxis muy completa que permite diseñar pruebas específicas propias.

Más información y descarga de Pytbull:http://pytbull.sourceforge.net

Seguridad SCADA: Implementar IDS.

Un IDS siempre es una buena solución para mejorar la seguridad de una red, pero para que sea efectivo en un entorno tan particular como una red de un sistema SCADA, tiene que tener unas reglas especificas adaptadas a los protocolos que se usan en dichas redes.

La mayoría de los proveedores de IDS también ofrecen un sistema de prevención de intrusiones IPS, se refiere a la capacidad de que no sólo puede detectar un ataque, también puede bloquear la comunicación para defenderse de dicho ataque. Teniendo en cuenta que la disponibilidad es el problema de seguridad más crítico en la gran mayoría de los sistemas SCADA, los falsos positivos en una implementación de IPS podrían tener resultados desastrosos.

Digital Bond tiene un proyecto de desarrollo de firmas IDS para entornos SCADA llamado QuickDraw muy complemento y gratuito. En este momento hay firmas disponibles para: protocolos de red usados en SCADA, un conjunto de firmas que identifican ataques contra las vulnerabilidades divulgadas de sistemas SCADA y un grupo de firmas que identifican los eventos de seguridadespecíficos para sistemas de diferentes proveedores. Todas las firmas están documentadas e incluyen una sección sobre falsos positivos.

Este proyecto incluye preprocesadores y plugins para el IDS Snort. Estos preprocesadores manejan protocolos usados en redes SCADA como: DNP3, EtherNet / IP y Modbus TCP, sus funciones son preparar la comunicación para el análisis de las reglas de Snort. Los plugins están disponibles para cada preprocesador y sirven para crear palabras clave que pueden ser utilizadas en las reglas, para evaluar el contenido descodificado en el preprocesador. En todos los casos, los preprocesadores y plugins hacen la escritura de reglas másfácil, porque realizan el trabajo de identificación de los diversos campos, al igual que la decodificación de protocolo, así el análisis de un paquete es más sencillo. Sin el preprocesador, sería muy difícil o imposible que funcionasen las reglas. Por ejemplo, hay algunas reglas que sólo son aplicables cuando una sesión se ha establecido, una regla que no pueda realizar un seguimiento de este estado, es probable que reporte falsos positivos.

Las firmas incluidas en este proyecto se desarrollaron inicialmente como reglas de Snort, y la descarga desde la pagina se encuentra todavía en un formato de Snort. Muchos proveedores de IDS / IPS, soportan o tienen la capacidad de importar reglas de Snort y han optado por agregar las firmas a sus bases de normas SCADA. Una lista parcial de proveedores que apoyan todas o algunas de las firmas QuickDraw en sus IDS / IPS son:

• 3com/Tipping Point • Cisco • Counterpane/BT • Fortinet • Industrial Defender • ISS/IBM • Juniper • McAfee • Secureworks • Symantec • Tenable Security

Mientras que las firmas de Snort se convierten fácilmente a otro formato de IDS / IPS, los preprocesadores no son fáciles de convertir. Estos preprocesadores son esencialmente programas de software que decodificar el protocolo y almacenar los campos de las variables para el análisis de palabras clave nuevas creadas en los plugins.

Las firmas de EtherNet / IP necesitan el preprocesador EtherNet / IP y es poco probable que funcione en cualquier IDS que no tenga un motor de Snort.

La mayoría de las otras firmas disponen de versiones que trabajan con y sin un preprocesador, por lo que estos son fáciles de exportar otro IDS / IPS.

Más información y descarga de QuickDraw:http://www.digitalbond.com/tools/quickdraw/download/

Herramienta para analizar la eficacia de los IDS.

Los métodos de identificación usados por los IDS no son perfectos y los sistemas pueden no detectar todos los ataques o divulgar alarmas falsas.

La herramienta Thor es ideal para analizar la eficacia de los IDS por que pone en marcha automáticamente ataques, recoge las alarmas y muestra información sobre ellas. Thor utiliza variaciones de ataques para hacer análisis más exactos sobre las capacidades de ladetección de un IDS. Una característica importante de esta herramienta es la posibilidad de intentar evadir IDS utilizando varios ataques de una forma autónoma.

Thor puede ser utilizado en dos escenarios típicos:

• Simulando ataques desde cualquier dispositivo de la red. Por lo tanto, los ataques se encaminan a través de esos dispositivos y se observa, qué alarmas del IDS se generan en comparación al caso donde no estaban presentes los dispositivos.

• Identificar IDS instalados en una red y analizar si están correctamente configurados para ese entorno especifico.

Más información y descarga de Thor:http://thor.cryptojail.net/thor/

Herramienta para testeo automático de IDS.

WinAUTOPWN es una herramienta automatizada para el descubrimiento de vulnerabilidades, ideal para realizar un testeo rápido de un IDS. Esta herramienta no se desarrollo con el propósito de competir contra otras aplicaciones similares como: Core Impact, Inmunity Canvas o Metasploit Framework. Lo que se pretende en WinAUTOPWN es tener una herramienta sencilla pero muy eficaz para la automatización de descubrimiento de vulnerabilidades y aprovechamiento mediante exploits.

Entre sus principales característica destaca:

• Contiene exploits compilados (binarios y ejecutables) de las vulnerabilidades más

conocidas. • Escanea puertos 1 al 65535 TCP después de reconocer la IP, ejecuta los exlpoits de acuerdo

a la lista de puertos abiertos “Openports.TXT”. • Realiza escaneo de puertos multihilo. • No requiere ninguna base de datos en el back-end. • La ejecución de exploits no se basa en técnicas de Fingerprinting, se realiza de forma

independiente. • No se necesita compilar el código fuente.

Es una herramienta para Windows ideal para realizar un testeo rápido de un IDS, debido a su eficacia y facilidad de uso.

Esta herramienta al poseer exploits puede ser detectada por algunos antivirus como infectada, es normal ya que posee el código de muchos exploits conocidos.

Más información de WinAUTOPWN:http://winautopwn.co.nr/

Descarga de WinAUTOPWN:http://089dc64a.seriousfiles.com/

Sistema centralizado para la detección, protección y seguimiento de vulnerabilidades en aplicaciones Web.

Vulnerability Manager de Denim Group es un sistema centralizado para la detección, protección y seguimiento de vulnerabilidades en aplicaciones Web. Pero con unas calidades que lo convierten en una potente protección a ataques basados en aprovechamiento de vulnerabilidades, gracias a sus modulo de protección real y su interacción con los cortafuegos y IDS.

Características de VM:

• Permite administrar varias aplicaciones Web de una forma organizada. • Puede utilizar una gran variedad de herramientas para detectar vulnerabilidades. Soporta las

comerciales: IBM AppScan, Fortify SCA/360, Checkmarx, Microsoft CAT.NET, IBM Rational AppScan, WhiteHat Sentinel y Mavituna Netsparker. Y las gratuitas: OWASP Orizon y FindBugs.

• Protección en tiempo real que se apoya en IDS y cortafuegos para evitar el aprovechamientode vulnerabilidades. Los IDS basan su protección contra ataques en firmas, es normal que noexisten firmas para vulnerabilidades de aplicaciones Web hechas a medida, para mejorar la protección VM detecta las vulnerabilidades e interactúa con el IDS y cortafuegos para proteger la aplicación Web. VM soporta: Snort, OWASP ESAPI WAF y mod_security.

• Recoge toda la información de IDS y cortafuegos, en el caso de un ataque a una vulnerabilidad para poder realizar un seguimiento completo.

• Puede realizar seguimiento y detección de errores en aplicaciones Web gracias a su integración con: Bugzilla, Microsoft Team Foundation Server (TFS) y JIRA.

• Evalua la madurez de las técnicas empleadas en la seguridad de las aplicaciones web, usando como modelos: BSI-MM, OWASP (OpenSAMM) y SAMM.

Más información y descarga:http://vulnerabilitymanager.denimgroup.com/

LiveCD con herramientas de seguridad de red.

Network Security Toolkit (NST) es una LiveCD con herramientas de seguridad de red. Esta LiveCDestá basada en una distribución Fedora 11 y la mayoría de las herramientas de seguridad de red que la integran se encuentran en el Top 125 Security Tools de INSECURE.ORG.

Principales herramientas que forman NST:

• Wireshark, analizador de protocolos. • Multi-Tap Network Packet Capture, interfaz para realizar capturas simultaneas con varios

dispositivos de red. • Nessus, escáner de vulnerabilidades. • Snort, sistema de detección de intrusos. • NMap, escáner de puertos. • NTop, monitorización de red. • Kismet, analizador de redes inalámbricas. • Driftnet, para capturar archivos de imágenes transferidos en la red. • TCPxTract, para capturar documentos incluyendo PDF o Microsoft Word. • Nsttraceroute, utilidad de traceroute que muestra los resultados en Google Earth.

Esta LiveCD es ideal para un administrador de red, porque permite convertir cualquier equipo en

un: monitor de red, un firewall o un IDS en pocos minutos. Además está disponible en maquina virtual ya instalada y viene con opciones para instalarla en un USB.

Más información y descarga de NST:http://www.networksecuritytoolkit.org/

Wiki de NST:http://wiki.networksecuritytoolkit.org/

Herramienta de creación automática de firmas para Snort.

Se trata de Nebula una herramienta de creación automática de firmas para Snort. Su funcionamientoconsiste en ejecutarse como demonio y recibir ataques a través de unhoneypot, inmediatamente Nebula genera una firma de ese ataque enlenguaje Snort. Nebula está diseñado para trabajar con los honeypot:Honeytrap y Argos.

Puede ayudar a asegurar una red automáticamente derivando e instalandoreglas para filtrar ataques en el IDS Snort. También sirve para crear reglas deuna forma rápida y fácil o para aprender a crear reglas de determinados ataques simulados previamente.

Más información y descarga de Nebula:http://nebula.carnivore.it/

Más información y descarga de honeypot Argos:http://www.few.vu.nl/argos/

Más información y descarga de honeypot Honeytrap:http://sourceforge.net/projects/honeytrap/

Configuración remota de políticas de IDS Snort:http://vtroger.blogspot.com/2008/11/configuracin-remota-de-polticas-de-ids.html

Monitorización en tiempo real de IDS Snort:http://vtroger.blogspot.com/2008/11/monitorizacin-en-tiempo-real-de-ids.html

Monitorización en tiempo real de ids Snort.

Utilizando la herramienta SAM (Snort Alert Monitor) podemos realizar una monitorización real de Snort. SAM ofrece muchas alternativas para indicar una intrusión detectada por Snort, además de mostrar gráficos muy representativos sobre la actividad del ids.

SAM posee alarmas visuales y sonoras para indicar una intrusión, tambiénpuede programársele para enviar alertas al email, aunque esta función ya espropia de snort. Al estar programado en Java puede ser utilizado desdecualquier plataforma, pero SAM tiene que estar instalado en un servidorWeb Apache con MySQL o JDBC.

Más información y descarga de SAM:http://projects.darkaslight.com/projects/show/sam

Configuración remota de políticas de IDS SNORT:http://vtroger.blogspot.com/2008/11/configuracin-remota-de-polticas-de-ids.html

Configuración remota de políticas de IDS SNORT.

Utilizando la herramienta IDS Policy Manager se puede configurar las políticas de Snort de forma remota y con un intuitivo interfaz grafico. Esta herramienta facilita mucho la configuración de Snort. Además IDS Policy Manager permite realizar cambios rápidos en la configuración del IDS para darle más eficacia al sistema, en caso de incidencias puntuales.

Entre sus funciones destaca:

• Combina las nuevas reglas con reglas existentes.• Actualización de reglas vía Internet.• Permite cargar los archivos vía: SFTP, ftp o compilándolos

directamente.• Reinicia los sensores del Snort después de modificar las

reglas.• Permite realizar hacer copias de seguridad de las políticas.• Soporta Snort® 2.8.

Es una herramienta ideal para administradores de sistemas, porque gracias a esta herramienta se pueden tener varias configuraciones de Snort para cada situación. Además simplifica mucho la configuración de políticas.

Más información y descarga de IDS Policy Manager:http://www.activeworx.org/Programs/IDSPolicyManager/tabid/55/Default.aspx