Embed Size (px)
Citation preview
Intrusion Detection/Prevention SystemsSNORT.
Miguel Angel RodriguezYamid Armando PantojaJuan Carlos Pantoja
Universidad de NarinoFacultad de Ingenierıa
Programa Ingenierıa de Sistemas
11 de diciembre de 2013
1
1. INTRODUCCION
Snort es un sistema para la prevencion y deteccion de intrusiones en la red(IDS / IPS) desarrollado por Sourcefire .
Snort es una herramienta de seguridad muy utilizada en linux, con la cualpodemos asegurar nuestro equipo o nuestra red. Ofrece muchas posibilidades,un ejemplo es la deteccion de escaneo de puertos. Snort nos ofrece de formamuy clara las ips que han intentado escanear nuestro equipo, ası como la horadel escaneo y detalles sobre los paquetes empleados.
Snort ofrece varias opciones para la prevencion y deteccion de intrusos. Lostres modos principales para la prevencion de intrusiones son el filtrado integra-do, la cooperacion con un cortafuegos existente basado en iptables y el modoTCP-RST.
Snort como IDS o Sistema de deteccion de intrusiones basado en la red (NIDS),Implementa un motor de deteccion de ataques y barrido de puertos que permi-te registrar, alertar y responder ante cualquier anomalıa previamente definidacomo patrones que corresponden a ataques, barridos, intentos de aprovecharalguna vulnerabilidad, analisis de protocolos, etc. Todo esto en tiempo real.
2
2. MARCO TEORICO
Un Sistema Snort como IPS (Intrusion Prevention System)es un sistemaque permite prevenir las intrusiones. Se trata de un tipo de sistema que per-mite ir paso a paso mas alla de los IDS, ya que puede bloquear determinadostipos de ataques antes de que estos tengan exito.
Cuando Snort trabaja para la prevencion de intrusos como filtro integrado,todo el trafico debe pasar a traves del sistema con Snort antes de que llegue ala red interna.Si el trafico dispara una regla de Snort, se desechan los paquetes que la acti-varon.La prevencion de intrusiones puede impedir el acceso a los sistemas debido afalsos positivos, o ralentizar la red en caso de que haya mas trafico del que elsensor de Snort fuese capaz de manejar.Para el modo integrado, tendremos que anadir enable-inline a la hora de hacerla configuracion.Si se dispone de un cortafuegos basado en iptables, podemos configurar Snortpara modificar reglas dinamicamente.
La opcion de iptables reduce algunos de los retardos en el trafico entrante,pero en general, el sistema sera mas lento en la respuesta a los ataques.Cada vez que el trafico malicioso dispara una alerta, Snort envıa un comandoal sistema que tiene iptables para que bloquee al atacante. Este estilo de IPS,si no se configura correctamente, podrıa ser manipulado por un atacante condotes creativas para provocar una denegacion de servicio a nuestros propiossistemas.
La ultima opcion es permitir a Snort desconectar las conexiones no desea-das mediante el envıo de paquetes TCP-RST. Con esto podemos terminar unaconexion no deseada desde ambos extremos de la misma.De todas formas, esta solucion provoca una condicion de carrera entre nuestroIPS y el trafico malicioso. El IPS tratara de cerrar la conexion antes de que elatacante complete el ataque. El atacante tiene una ventaja en este caso, debidoa que el trafico malicioso ya se encuentra dentro de nuestra red antes de queSnort pueda actuar. Este modo de operar previene ciertos ataques, pero puederesultar menos fiable que las otras tecnicas.
Si pretendemos instalar un Snort como IPS, primero probaremos el servidoren modo IDS hasta haber ajustado bien la configuracion y haber reducido elnumero de falsos positivos.Una vez satisfechos con la configuracion, ya podemos dejar que Snort asumasu nuevo rol de sistema de prevencion.
3
Un IDS es una herramienta de seguridad que intenta detectar o monitorizarlos eventos ocurridos en un determinado sistema informatico o red informaticaen busca de intentos de comprometer la seguridad de dicho sistema.
Los IDS buscan patrones previamente definidos que impliquen cualquier ti-po de actividad sospechosa o maliciosa sobre nuestra red o host.
Los IDS aportan a nuestra seguridad una capacidad de prevencion y de alertaanticipada ante cualquier actividad sospechosa. No estan disenados para de-tener un ataque, aunque sı pueden generar ciertos tipos de respuesta ante estos.
Los IDS aumentan la seguridad de nuestro sistema, vigilan el trafico de nues-tra red, examinan los paquetes analizandolos en busca de datos sospechosos ydetectan las primeras fases de cualquier ataque como pueden ser el analisis denuestra red, barrido de puertos, etc.
Snort esta disponible bajo licencia GPL, gratuito y funciona bajo platafor-mas Windows y UNIX/Linux. Es uno de los mas usados y dispone de unagran cantidad de filtros o patrones ya predefinidos, ası como actualizacionesconstantes ante casos de ataques, barridos o vulnerabilidades que vayan siendodetectadas a traves de los distintos boletines de seguridad.
Este IDS implementa un lenguaje de creacion de reglas flexibles, potente ysencillo. Durante su instalacion ya nos provee de cientos de filtros o reglas pa-ra backdoor, ddos, finger, ftp, ataques web, CGI, escaneos NmaP.
Puede funcionar como sniffer (podemos ver en consola y en tiempo real que ocu-rre en nuestra red, todo nuestro trafico), registro de paquetes (permite guardaren un archivo los logs para su posterior analisis, un analisis offline) o como unIDS normal (en este caso NIDS).
* Componentes de los IDS.
Estos se suelen componer de tres componentes fundamentales.
a) Origen de la informacion:
Desde donde se suministra la informacion usada para determinardonde un intruso ha intentado penetrar. Esos orıgenes pueden pue-den ser de diferente nivel de monitoreo del sistema, de la red, delhost o de las aplicaciones.
b) Analisis:
Organiza los eventos derivados del origen de la informacion comointentos de intrusion o que ha tenido una intrusion efectiva.
4
c) Respuesta:
Acciones que el sistema puede tomar para detectar/eliminar lasintrusiones. Estas acciones pueden ser activas (intervenciones au-tomaticas) o pasivas (informes).
Los IDS se suelen componer de los siguientes componentes logicosfundamentales.
d) Motor:
Componente que desensambla y ensambla paquetes que llegan a elpara analizarlos.
e) Base de Datos:
Componente que almacena los registros alertas y alarmas del IDS.
* Arquitectura del IDS Snort.
5
* Reglas en Snort.
Veamos ahora un ejemplo de regla Snort para alertar de un escaneo nmapdel tipo TCP ping:
6
3. OBJETIVOS
Aprender sobre la instalacion y funcionamiento de Snort, crear reglas quenos ayuden a proteger nuestros sistemas de informacion ante posibles intrusio-nes.
Instalar Snort bajo la plataforma linux en Ubuntu 12.04 y ponerlo en fun-cionamiento.
Crear algunas reglas en el IDS Snort para observar el funcionamiento.
Configurar Snort para detectar cualquier tipo de intrusion por escaneo de puer-tos y analizar la intrusion por parte del software NMAP.
7
4. DESARROLLO DE LA PRACTICA
1. Intalacion de snort por medio de consola
2. La consola pedira una configuracion para la instalacion del software. Sedebe digitar la tecla s y presionar enter para continuar.
8
3. En el proceso de instalacion snort solicita la direccion IP o el conjuntode las direcciones IP que se desea monitorear.
4. Se realiza una reconfiguracion del snort, este se hace para configurar unospara metros adicionales aplicando el siguiente comando.
9
5. Se configura para que esnort arranque desde el inicio.
6. Interfaz eth0 que viene por defecto, damos aceptar.
10
7. Nuevamente solicitara la red que se desea monitorear.
8. En la instalacion preguntaran si se desea recibir las notificaciones decorreo electronico. Se selecciona la opcion que se desea y se pulsa la teclaenter.
11
9. Si confirmo que se desea recibir las notificaciones por correo electroni-co se solicitara que digite el correo electronico al cual se enviaran lasnotificaciones.
10. Despues preguntara el numero mınimo de alertas que deben existir paraenviar el informe por correo electronico. Se debe pulsar aceptar paracontinuar.
12
11. La consola mostrara que snort ha terminado de configurar y que su reini-cio para aplicar los cambios es correcto.
12. Se realiza un escaneo general de la red para confirmar el funcionamientocorrecto de snort, esto se realiza por medio del comando v el cual per-mite que snort solo muestre un resumen de cada notificacion y con elparametro i se indica la interfaz de red que se va a monitorear, en estecaso la eth0.
13
13. Snort se iniciara y mostrara en la pantalla las diferentes notificacionespara las diferentes novedades que se presenten durante la ejecucion delsofware.
14. Se pulsa control-c para terminar el analisis y snort mostrara un resumende la monitorizacion.
14
15. Snort permite configurara nuestras propias reglas, las cuales se incluirandentro de la configuracion de snort para que muestre notificaciones cuan-do estas reglas sean violadas.Para ello ingresamos al directorio donde estan almacenados los archivosque almacenan las reglas predefinidas por snort. /etc/snort/rulesSe crea nuestro propio archivo para almacenar nuestras reglas el cualdebe tener una extension .rules
16. Redactamos nuestras propias reglas. En este caso se definio reglas paradetectar escaneos realizados por el software nmap.
15
17. Se ubica nuevamente la ruta del archivo de configuracion de snort paraincluir nuestro archivo de reglas en su configuracion.
18. se ubica en el final del archivo el segmento donde snort define los archivosde reglas a continuacion se incluye el archivo de reglas que se ha creado.
16
19. se realiza un escaneo por medio de nmap desde Windows para revisarque la configuracion de snort esta funcionando. Para ello se debe iniciarel snort por medio del comando: snort -c snort.conf A console i eth0.
Se le esta diciendo a snort que se inicie cargando el archivo de configu-racion y muestre las notificaciones en la consola para las novedades quese presenten en la interfaz eth0. Se debe pulsar enter para iniciar snort.
20. Snort queda en espera de sucesos que se presenten para mostrar en pan-talla.
17
21. En windows realizamos un escaneo con nmap a la maquina de Ubun-tu donde se configura el snort a traves de la IP que en este caso es192.168.1.7.
La direccion IP de la maquina Windows donde se realiza el escaneo es192.168.1.2.
18
22. Se revisa la consola de Ubuntu donde se inicio snort para verificar si senotifico acerca del escaneo con nmap desde Windows.
En los cuadros marcados se observa que detecto el escaneo, el primerocon las reglas que se define y el segundo con las reglas por defecto desnort. Igualmente se visualiza la ip que realizo el escaneo 192.168.1.2 quecorresponde a la ip de la maquina de Windows.
19
5. RECOMENDACIONES
Muchos incidentes de seguridad ocurren debido a que los administradoresno implementan medidas que contabilicen ataques, o que reconozcan riesgospotenciales como hackers o personal interno infiltrado. En este sentido se re-comienda enterarse de la existencia de sistemas como Snort que podrıan serde gran ayuda a la hora de detectar amenazas en la red.
Los Routers proveen un gran numero de servicios de red que permite a losusuarios mantener procesos y conectividad de red, algunos de estos serviciospodrıan ser restringidos o deshabilitados para prevenir posibles problemas deseguridad.
20
6. CONCLUSIONES
Aprendimos a instalar, configurar y crear reglas en Snort instalado enUbuntu 12.04, el cual es una potente herramienta de administracion de red.
Es de gran ayuda contar con sistemas como Snort para mantener la seguri-dad en una red, pero es importante aclarar que los riesgos de seguridad no sepueden eliminar o prevenir completamente.
Una polıtica de seguridad es importante para decidir como el riesgo puedeser manejado.
Encontrar amenazas de seguridad es importante para eliminarlas y de estamanera que los diferentes procesos que se llevan en las organizaciones se reali-cen o sean llevados de la mejor manera, en este sentido la confiabilidad seincrementa y se obtiene ası margenes de exito altos.
21
