SNORT. Edson Dirceu Rodríguez Uribe Carlos Hernán Porras Medina. Autores: Leydi Diana Rincón. Analista de Infraestructura. Analista de Sistemas de

Transcripción

1 SNORT Autores: Edson Dirceu Rodríguez Uribe Carlos Hernán Porras Medina Director Unidad Informática: Tutor Investigación: Coordinadores: Coordinador Servicios Web: Analista de Infraestructura Y Comunicaciones: Analista de Sistemas de Información: Líder de Gestión de Recurso Humano: Henry Martínez Sarmiento Álvaro Enrique Palacios Maria Alejandra Enríquez Leydi Diana Rincón Miguel Ibañez Adelaida Amaya Álvaro Enrique Palacios Villamil Islena del Pilar Gonzalez BOGOTÁ D.C. JULIO 2006

2 SNORT Director Unidad Informática: Henry Martínez Sarmiento Tutor Investigación: Álvaro Enrique Palacios Villamil Auxiliares de Investigación: ANDRES MAURICIO SALAMANCA BRAYAN RICARDO ROJAS CAMILO ERNESTO LOPEZ CAMILO IBAÑEZ CARLOS HERNAN PORRAS MEDINA CAROLINA RUBIANO OCHOA CATHERINE CRUZ CLAUDIA PATRICIA TOVAR CRISTIAN GERARDO GIL CRISTIAN JAVIER PEÑALOZA DANIEL ENRIQUE QUINTERO DANIEL ERNESTO CABEZAS DIANA ESPERANZA OROZCO DIANA KATHERINE SANCHEZ DIANA PATRICIA TELLEZ DIEGO FELIPE CORTÉS EDSSON DIRCEU RODRÍGUEZ EDWIN MONTAÑO GUILLERMO ALBERTO ARIZA HENRY ALEXANDER RINCON HOOVER QUITIAN JORGE ELIECER ROJAS JUAN FELIPE RINCON LEIDY CAROLINA RINCÓN LEIDY VIVIANA AVILÉS LUIS ALFONSO NIETO LUZ KARINA RAMOS MILLER GIOVANNY FRANCO SANDRA LILIANA BARRIOS SANDRA MILENA GOMEZ SANDRA PAOLA RAMIREZ SERGIO ORJUELA RUIZ Este trabajo es resultado del esfuerzo de todo el equipo perteneciente a la Unidad de Informática. Esta obra está bajo una licencia Reconocimiento-No comercial 2.5 Colombia de Creative Commons. Para ver una copia de esta licencia, visite o envié una carta a Creative Commons, 171 Second Street, Suite 30 San Francisco, California 94105, USA BOGOTÁ D.C. JULIO 2006

3 TABLA DE CONTENIDO TABLA DE CONTENIDO 3 1. RESUMEN 5 2. ABSTRACT 5 3. INTRODUCCIÓN 7 4. CONCEPTOS BASICOS Sistemas de seguridad: CLASIFICACIÓN DE LOS IDS: SNORT DEFINICIONES 14 DONDE UBICAR UN IDS Honey Pots (Jarros de miel) ZONAS DE SEGURIDAD Y NIVELES DE CONFIANZA POLÍTICA DE IDS COMPONENTES DE SNORT SWITCHES PLATAFORMAS Distribución de los IDS dentro de una red: PROCESO DE INSTALACIÓN: REQUISITOS PARA LA INSTALACION: CONFIGURACION: Instalación de WinPcap CONFIGURAR MYSQL: 27 3

4 INSTALACION DE SNORT INSTALACION MANEJO DE INSTALACION DE UN IDSCENTER CONFIGURACIÓN DEL IDSCENTER Ahora en la pestaña de IDS rules: Snort.conf PUESTA EN MARCHA DE SNORT CON IDSCENTER 47 ALGUNAS OPCIONES ADICIONALES DE SNORT CONOZCAMOS UN POCO EL FICHERO DE ALERTAS: MYSQL HACER QUE SNORT TRABAJE CON MYSQL CREACION DE BASE DE DATOS EN MySQL CREACION DE UN NUEVO USUARIO MySQL Y GENERANDO PERMISOS PARA EL CREACION DE TABLAS EN MYSQL MODIFICACION DE EL ARCHIVO SNORT.CONF ACID ZONAS DESMILITARIZADAS (DMZ) DESCRIPCION Y SOLUCION DE LOS PROBLEMAS DE SEGURIDAD DE LAS ZONAS DESMILITARIZADAS CONCLUCIONES BIBLIOGRAFIA 65 4

5 1. RESUMEN Snort es uno de los stadarts en detección de intrusos en redes, este software de código libre ofrece diversas opciones al administrador de el. Dada la ventaja de ser libre es sumamente flexible para el usuario, otra de sus ventajas radica en la multiplicidad de estaciones de trabajo que puede monitorear. Finalmente siguiendo la filosofía del software de código abierto se explica la forma de instalar un sistema de detección de intrusos (IDS) unido a herramientas de código abierto también como MySQL, PHP y Apache, que permita no solo revisar cuales son los paquetes de información que transitan por la red sino también de acuerdo a unas reglas detectar y bloquear estos ataques. Para tal fin se describirá en primera instancia todos aquellos términos que serán de uso recurrente a lo largo del documento, seguidamente se explicara la instalación básica de Snort y como desarrollar un sistema mas completo. Por ultimo se mostraran que virtudes y la plausibilidad de un sistema de detección de intrusos en la Facultad de Ciencias Economicas 2. ABSTRACT Snort is one of the standards on intrusion detection. This is open source software, and offers many options to manage it. There are too many advantages on the open source software this is so flexible to the users, an other advantage is that you can watch many work stations at the same time. Following the open source software philosophy we explain the way to develop an Intrusion Detection System (IDS) united with other open source tools as MyQSL, PHP and Apache, they are let us not only check which data packets are on our but with some define rules, blocks either the net attacks. 5

6 To accomplish that we will describe first of all, those terms which are going to be used constantly along the paper, next we ll explain the basic Snort installation and how to develop a complete system. The last thing we ll show will be the virtues and plausibly of an Intrusion Detection System on the Faculty of Economic Science 6

7 3. INTRODUCCIÓN La presente investigación surge de la necesidad de brindar todas las herramientas necesarias dentro de una red para brindar seguridad y proteger los datos que a diaria transitan por ella de intrusos que pueden perjudicar una organización. Snort es una herramienta de código abierto que apoyado en otras aplicaciones de similar desarrollo constituye una herramienta bien poderosa para el análisis de una red y la detección de usuarios no deseados. Dada su versatilidad y fácil manejo es uno de los principales software de detección de intrusos usados a nivel mundial, todo ello en tiempo real, el permite además involucrar otras herramientas de código abierto como MySQL y otros que potencian su función principal que es la detección de intrusos en redes El objeto principal de la investigación es encontrar que tan viable es la instauración de un sistema de detección de intrusos, en sus siglas (IDS), desde luego se describirá la potencialidad de este software junto con otros 7

8 4. CONCEPTOS BASICOS 4.1. SISTEMAS DE SEGURIDAD: Un sistema de seguridad consiste de múltiples herramientas: Firewalls: Usados para bloquear salidas y entrada de información no deseado Sistemas de detección de intrusos (IDS): Se usan para detectar si alguien ha entrado o esta intentando entrar al servidor. Herramientas de vulnerabilidad: Se usan para detectar si hay huecos en el servidor y cerrarlos. La información obtenida de estas herramientas se usa para dictar reglas para a los firewalls Estas herramientas pueden trabajar juntas, he intercambian información entre ellas. Existen diferentes sistemas de detección de intrusos, Snort es una Standard de calidad, además de ser de código abierto. Este producto trabaja con MySQL y un analista de detección de intrusos a bases de datos (ACID). Snort es capaz de tomar la información y llevarla a MySQL, usándolo como un motor de bases de datos en donde toda lo información es almacenada. Usando Apache y ACID se puede analizar dicha información. El uso de estos tres sistemas le permite a Snort capturar y analizar la información de un intruso con una interfaz Web. Una vez montado el sistema Snort funcionara así: La información es capturada y analizada por Snort. Él luego usando un pluging de salida almacena esta información en MySQL. El servidor Apache ( toma ayuda de librerías ACID, PHP, GD y paquetes PHPPLOT para mostrar en una paginad de Internet cuando un usuario se conecta. En las empresas es usual que se tengan Snort detrás de los Firewalls, en dicho 8

9 caso es conveniente usar un solo colector de información que recibe datos de todos los sensores, en ese 4.2. Importancia de la instalación de un ids: Los actuales sistemas de seguridad no siempre son eficientes cuando de encontrar intrusos en sus sistemas se trata, los sistemas cortafuegos no hacen magia. Los IDS proporcionan un muy buen conocimiento de entorno y son bastante eficientes ya que la detección de intrusos la realizan en tiempo real, lo cual proporciona una mayor facilidad de reacción al encargado de una red. Es IDS no sustituye ningún otro organismo de seguridad, es solo un complemente que trabaja junto a los demás sistemas de protección CLASIFICACIÓN DE LOS IDS: SEGÚN LA FUNCIÓN DE ORIGEN DE DATOS A ANALIZAR: IDS BASADO EN MAQUINA HIDS (HOST-BASED IDS): Solo procesa datos asociados a recursos físicos dentro de un sistema. Los hay de diferentes tipos: Verificadores de integridad del sistema (SIV), Monitores de Registro (LFM), Sistemas de Decepción. Suele estar ubicado en la misma máquina pero no siempre es así. Verificadores de Integridad del Sistema: Son los encargados de verificar la modificación de los ficheros dentro de los sistemas. Monitores de Registro: Procede a monitoreas los logs para detectar los patrones que pueden significar un intruso. Sistemas de Decepción: Honeypost Es el recurso cuyo valor reside en el 9

10 uso no autorizado de los recursos, realiza la simulación de un entorno real con el cual atrae la atención de los atacantes, esto con el fin de confundir a los atacantes proporcionándoles información herrada sobre la red, buscando recolectar pruebas de las intenciones de los atacantes que permiten acciones físicas de carácter legal y preventivas para futuros ataques. El objetivo primordial es ganar tiempo y poseer una mejor capacidad de reacción a un ataque, además es posible monitorear al atacante en un entorno controlado, permitiéndole que conozca exclusivamente lo que puede conocer. Este tipo de HIDS es bastante efectivo en la detección de ataque programados (virus, gusanos, etc.) los Honeypots se clasifican de acuerdo al nivel de interacción con su atacante. o Baja Interacción: El sistema emula vulnerabilidades que pone a disposición de su atacante, este tipo de Honeypots es muy fácil de implantar pero tiene el problema que es muy limitada su interacción con el atacante lo que provoca que la información recolectada sea muy reducida. o Alta Interacción: No existe emulación, los sistemas se implantan de una forma real, esto ayuda a que el IDS capture gran cantidad de información, el problema es que es bastante complejo de instalar y de administrar, además presenta un riesgo considerable ya que la información presentada a sus atacantes es real IDS BASADO EN RED NIDS (NETWORK.BASE IDS): Este IDS procesa datos asociados a varios recursos disponibles dentro de una red, no es necesario que estén ubicados en toda la red y constituyen en la actualidad el sistema de detección de intrusos más utilizado. Las ventajas que presenta este IDS que en su gran mayoría es constituido por software 10

11 gratuito, los recursos de Hardware necesarios para su implementación son mínimos y generalmente se ejecuta en uno solo de los hosts de la red que monitorea. Análisis en el Cortafuegos: Si el IDS es ubicado con el fin de que analice y monitoree los eventos en el Firewall, es bastante efectivo ya que es un punto por el que pasa todo el contenido de la WEB. Si el IDS es ubicado en el Firewall realiza una detección bastante efectiva de todo tipo de barrido de puertos, IP-Spoofing, ciertos troyanos, trafico anormal. IDS en la red: Es difícil detectar siento tipo de ataques en el cortafuegos, pero resulta bastante interesante poderlo hacer antes de que lleguen a la maquina. Esto es posible creando una arquitectura de Switches, o sea de sensores destinados a detectar los ataques, es necesario contar con software especializado en la detección de los intrusos y es en este punto donde entra a jugar un papel muy importante el IDS Snort SNORT: Es un Sistema de Detección de intrusos basado en red multiplataforma, es decir que se puede utilizar bajo diferentes sistema operativos (Unix, Linux, Windows), Snort es un Sniffer eso quiere decir que captura el tráfico dentro de la red y lo imprime en pantalla guardando los ficheros con un determinado formato que facilita su posterior manipulación. Este programa realiza la comparación de los eventos registrados en la red con una serie de patrones predeterminados y crea un archivo de coincidencias. Reglas: las reglas proporcionadas por Snort son los patrones de ataque definidos, además después de identificar nuevos ataques 11

12 Snort distribuye los patrones asociados e inmediatamente permite su detección posterior. Snort es un sistema ya probado y bastante fiable, además posee un amplio soporte y constantes actualizaciones disponibles al usuario gratuitamente, otra ventaja de este sistema es que funciona sobre diferentes plataformas y arquitecturas de redes. SEGÚN LA TÉCNICA DE ANÁLISIS UTILIZADA: DETECCIÓN DE ANALOGÍAS: Un intruso se presenta como una analogía, este tipo de IDS conoce todos los procedimientos que son normales y de esta forma detecta lo que no es normal. Un problema que presenta este 12

13 IDS es que modelar los procedimientos normales dentro del sistema resulta demasiado complejo. Por este motivo es poco utilizado. Proceso para la detección de Anomalías: El primer paso que realiza el IDS es el análisis de patrones de tráfico sospechosos dentro de la red, las actividades no habituales de un usuario, un consumo excesivo de un ancho de banda o la posible degradación en el rendimiento de un sistema. Para realizar lo anterior puede utilizar cualquiera de las dos técnicas de análisis definidas anteriormente El IDS debe conocer el funcionamiento normal de un entorno con le fin de poder detectar los comportamiento anormales. Esto se realiza especificándole al IDS el comportamiento normal del sistema. Esto se realiza mediante la identificación de un conjunto de reglas de normalidad dentro de la red. DETECCIÓN DE USOS INDEBIDOS: Funciona de una manera similar al anterior pero de manera contraria, este IDS conoce los procedimientos anormales y los detecta, el problema que se genera es que solo detecta los ataque que conoce, razón por la cual no es muy eficiente a la hora de aplicarse, ya que los intrusos cada día cambian su forma de penetrar en un sistema. Proceso para la detección de Usos Indebidos: Al conocer los posibles ataques a los que se puede ver sometido mi sistema puedo definirle al IDS los parámetros para su detección. 13

14 Una vez definidos los parámetros de ataque, simplemente se realiza el monitoreo y esperamos a que sucedan. Los problemas surgen debido a que cada regla detecta un tipo de ataque único las reglas actúan bajo el criterio de Si se ejecuta una acción completa actúo Es posible camuflar ataques al ser modificados ligeramente esto constituye un grave problema de este tipo de IDS ya que el mismo Otras clasificaciones: Tiempo real Vs. Tiempo periódico: Se refiere a la periodicidad de escaneo de la red para detectar eventos anormales. Activos Vs. Pasivos: Se refiere al tipo de respuesta utilizada cuando se presenta un ataque, actúa frente al ataque o solo informa al administrador de la red. Centralizado Vs. Distribuidos: De acuerdo a la distribución que se les da dentro de la red o si por el contrario constituye un único sistema. Ataque camuflado o ligeramente modificado se constituye como otro ataque completamente diferente DEFINICIONES Debido al uso constante de determinados conceptos, es pertinente definirlos y saber a qué se refieren. 14

15 IDS: Es un software o hardware o ambos usado para detectar la presencia de intrusos en una red. En particular Snort es un IDS de código abierto. Estos sistemas tiene distintas capacidades, dependiendo de la complejidad del sistema. NIDS: Estos son sistemas que capturan paquetes de información que viaja por una red y los compara con una base de datos determinada. dependiendo de la afinidad del paquete capturado, se mostrara una alarma o bien el paquete será almacenado en una base de datos. HIDS: Este sistema es instalado como un agente en un servidor. Estos sistemas son capaces de revisar dentro del sistema para detectar cualquier actividad intrusa. algunos de ellos son re-activos, es decir que informan en cualquier momento que se detecte una actividad anómala; ó pueden ser preactivos lo que quiere decir que husmean en una red con información entrante y alertan al usuario en tiempo real. Reglas: Son un patrón para ver dentro de una paquete de información. Es usada para detectar un ó múltiples tipos de ataques. Los sistemas de detección de intrusos se soportan en estas reglas para detectar los intrusos, por ello deben estar en permanente actualización para que el sistema tenga un desempeño mas eficiente. en sistemas de código abierto como Snort este tipo de actualizaciones pueden ser hechas por el usuario. Alertas: son las notificaciones que el sistema hace al usuario, cuando detecta alguna actividad intrusa. Estas notificaciones se presentan en forma de avisos (pop-ups), en la interfaz que se use, enviado un correo u otro método de alerta. Estas alertas son almacenadas en una base de datos para ser analizadas por expertos en seguridad. Snort permite además generar alertas a distintos destinatarios. Falsas alarmas: son generadas por una indicación de una falsa actividad intrusa. Para evitar estas falsas alarmas es pertinente ajustar algunas reglas, en algunos casos es necesario deshabilitar algunas. 15

16 Sensor: Es el equipo donde el sistema de detección esta corriendo, debido a que el vigila la red. DONDE UBICAR UN IDS Dependiendo de la complejidad del sistema es conveniente se debe ubicar un mas sistemas de detección en distintos lugares. También depende de que tipo de intrusión que se quiera revelar. En muchos casos no se tiene actividad en toda la red, tan solo en áreas sensibles a posibles ataques. La decisión depende en gran medida de la política de seguridad, que define que se quiere defender de los hackers HONEY POTS (JARROS DE MIEL) Son sistemas que sirven de cebo para atraer intrusos exponiendo debilidades deliberadamente. Una vez el hacker encuentra el jarro, es probable que se quede pegado un momento. Durante ese tiempo usted puede capturar la información de él para conocer sus acciones y técnicas. Una vez conocidas esas técnicas, se pueden usar para mejorar el sistema. Existen diferentes maneras de construir y ubicar un jarro, este debe tener servicios comunes en curso. Estos servicios comunes incluyen el servidor Tele Net (puerto 23), protocolo de transferencia de hipertexto (http) servidor (puerto 80), protocolo de transferencia de archivo (FTP) servidor (puerto 21) y más. Se debe ubicar el jarro cerca del servidor de producción, para que el hacker lo tome como un servidor real ( asignar direcciones IP cercanas al del servidor, además de tener nombres atractivos para el hacker, tales como bases de 16

17 datos principal, contraseñas y permisos, etc.). Se puede configurar además el Firewall para que redireccióne cierto trafico de algunos puertos al jarro a donde el crea que pueda estar un servidor real. Se debe ser cuidadoso en crear una sistema de alerta cuando el Money pot. esta comprometido. Es una buena idea mantener los archivos de captura en otro computador, así el hacker no tendrá oportunidad de borrar dichos archivos. Un jarro debe instalarse en los siguientes casos: Cuando la organización dispone de recursos para analizar dicha información, en otro casos es inoficioso tener información que no se va a utilizar Si la información capturada va a ser usada para algún fin Un jarro deberá lucir como un sistema real, por ello se debe crear algunos archivos falsos, cuentas de usuarios, para hacer creer al hacker que es un sistema real. Ello será atractivo para el hacker, él permanecerá por mas tiempo y se podrá recopilar más información 4.6. ZONAS DE SEGURIDAD Y NIVELES DE CONFIANZA Dependiendo de la política de seguridad de la organización se pueden crear diferentes áreas de seguridad en la red. Así por ejemplo si una organización consideren que la área de personal es de alta confidencialidad así mismo creara muchas mas restricciones y reglas de intrusión que en cualquier otra área. En síntesis una red estará divida en tantas áreas de seguridad como la organización considere 17

18 POLÍTICA DE IDS Una vez instalado el IDS se debe crear una política para detectar intrusos y que procedimientos seguir cunado hay dichas actividades. Esta política debe dictar las reglas que seguirá el IDS y como ellas serán aplicadas. Como mínimo, estas políticas deben llenas los siguientes requisitos: Quien monitoreara el IDS? Dependiendo del sistema de detección que se tenga, se debe tener un mecanismo de alerta que provea información acerca de la actividad intrusa. Este sistema de alerta puede ser en forma de simples archivos de texto o pueden ser más complejos. Talvez integrados con el sistema central de la red como HP open view o MySQL. Es necesaria una persona que se encargue de monitorear la activada intrusa y la política debe definir claramente quien es esa persona. Además esta actividad debe ser monitoreada en tiempo real, en forma de avisos emergentes (pop-up). En dicho caso los operadores deben tener conocimiento de las alertas y el significado de estas. Se debe establecer una rutina de mantenimiento periódica Dependiendo de la severidad del incidente se debe trabajar con alguna agencia gubernamental que castigue dichas actividades. Se debe recordar que el objeto de un IDS está en manejar los ataque intrusos. Se debe establecer una escala que clasifique la gravedad del incidente. Que debe ir del nivel más bajo es decir incidentes que no complementen al sistema, hasta graves incidentes, que se ubicarían en el nivel mas alto Debe presentarse una informe diario, semanal o mensual de la actividad intrusa Se debe actualizar los ataques, es decir que se debe permitir que el sistema IDS reconozca los nuevos ataques. Debido al continuo cambio en la forma y 18

19 tipos de ataques, es conveniente que se actualice los tipos de ataques y las reglas. Ellos se puede realizar desde la pagina de Snort o bien puede hacerse cuando se descubra algún nuevo ataque Se debe describir que tipo de documentación es usada cuando se detecta un ataque. Teniendo clara la política que se va a seguir se puede tener una idea más clara del funcionamiento, mantenimiento y costo de la implantación del sistema. 5. COMPONENTES DE SNORT Como es de esperarse, Snort esta divido en múltiples componentes. Estos componentes trabajan juntos para detectar ataques particulares y para generar reportes en un formato establecido. Un sistema Snort está compuesto por: Paquete decodificador: Él toma paquetes de diferentes partes y los prepara para ser pre-procesados o para ser enviados al motor de detección. La interfase debe ser Ethernet, SLIP, PPP u otras. Pre-procesadores: Son Pluging que pueden ser usados con Snort para arreglar o modificar paquetes de datos antes de que el motor de detección haga alguna operación para determinar si el paquetes está siendo usado por un intruso. Algunos también pueden detectar anomalías y generar reportes.. Son de vital importancia para los IDS porque preparan la información para ser analizada contra las reglas en el motor de detección. Los hackers tienen diferentes formas de burlar los IDS. Para complicar aun más la situación, los hacker pueden insertar en el identificador uniforme de recursos (URI en sus sigla en ingles) caracteres hexadecimales o Unicode que son perfectamente legales para el servidor en tanto el así este configurado. Son también usados para defracmentar paquetes, los 19

20 hackers usan los paquetes por partes para así defenderse del sistema de detección. Motor de detección: Es la parte más importante de Snort, porque es responsable de detectar si hay alguna actividad intrusa en algún paquetes, para este propósito él usa reglas Snort. Dependiendo de la cantidad de reglas establecidas y de la potencia del computador, se puede tomar algún tiempo en determinar si hay alguna actividad intrusa. Estos paquetes son leídos internamente para determinar si hay compatibilidad con las reglas. Si el paquete ajusta a alguna regla, entonces se toma una acción apropiada, en otro caso el paquete es desechado El motor es el punto crítico en Snort. La respuesta del motor dependerá en gran medida de la potencia de la maquina. Si el trafico es alto el sistema dejara muchos paquetes sin analizar, por lo tanto no se tendrá un sistema de respuesta en tiempo real La respuesta del sistema dependerá de los siguientes factores: Numero de reglas Potencia del computador en el que Snort está corriendo Velocidad del bus interno donde Snort está corriendo Velocidad del servidor Todos estos factores se deben tener en cuenta en el momento de diseñar un sistema de detección de intrusos. Debe notarse que el sistema puede diseccionar un paquete en diferentes partes, y aplicarle las reglas a dichas partes. Estas partes podrían ser: Encabezado del IP del paquete 20

21 La capa donde se transporta el encabezado. Este encabezado incluye TCP, UDP, y otras capas de trasporte de paquetes. También podría trabajar en el encabezado del ICMP El motor de detección puede trabajar de diferente manera dependiendo de la versión de Snort, él se detiene cuando una regla es igual. Dependiendo de la regla el motor puede tomar una acción o bien generar una alerta. Esto implica que si una regla se ajusta entonces el motor tomara acción para dicha regla sin tomar en cuenta si pudiesen otras reglas ser también iguales. Este problema se soluciono en la versión 2.0, en esta versión el motor busca concordancia con todas las reglas para cada paquete analizado, antes de que el motor genere una alerta. Una vez el motor analiza todos las reglas posible para el paquete, él da prioridad a las reglas criticas Logging y sistema de detección: Depende de la acción que sea el motor generar una alerta o bien tomara una acción. Las capturas de la accione se almacenan en archivos de texto sencillos o similares. Módulos de salida: Estos módulos de salida son programas adicionales a Snort y funcionaran de acuerdo a la forma como se quiera almacenar las alertas. Esencialmente estos módulos controlan las salidas generadas por el motor de detección dependiendo de las alertas, dentro de las acciones que estos plugings puede tomar se encuentran: Almacenar los archivos de texto de las alertas en un fólder determinado. Snort por defecto crea un fólder donde almacenara dichos archivos. Enviar trampas SNMP Entrar a una base de datos Modificar la configuración de firewalls o ruteadores 21

22 5.1. SWITCHES. Snort puede ser usado como un switch para un puerto. El lugar ideal para ubicar Snort está justo detrás del firewalls, así de esa manera todo el tráfico de Internet estará disponible para que el sistema IDS analice la información entrante. Existen muchas formas de conectar una IDS a un switch: 5.2. PLATAFORMAS Snort está disponible para muchas plataformas, entre ellas las siguientes: Linux Openbsd MacOS Windows IRIX Hay más plataformas disponibles en la página Distribución de los IDS dentro de una red: Dentro de una red existen zonas de bastante riesgo que son muy vulnerables a ataques y que deben ser protegidas, por eso al momento de plantear la implementación de un sistema de detección de intrusos funcional dentro de la red se debe pensar muy bien físicamente en que equipos se deben ubicar. Ya que podríamos estar instalando IDS por muchas parte innecesariamente o podríamos dejar vulnerable algunas zonas de la red. 22

23 La persona encargada de definir el lugar exacto donde instalaran el IDS debe evaluar los puntos débiles de la red procurando no dejar huecos por donde sea posible colarse. 6. PROCESO DE INSTALACIÓN: Hoy en día los IDS deben estar dentro de los planes de cualquier administrador de seguridad una red. Se debe tener bien claro que los IDS se encargan precisamente de Alertar a los administradores de seguridad sobre posibles ataques a nuestra red. Pero las medidas correctivas son aplicadas físicamente pro el administrador. Se puede hacer la similitud de un IDS con la alarma instalada en una casa, los IDS solo se encargan de generar las alertas. Los IDS se pueden configurar para que se comuniquen con el administrador de 23

24 diferentes formas dependiendo el tipo de ataque, para que informen de una manera urgente al administrador. Pero se debe tener mucho cuidado al momento de definir las alertas de seguridad ya que se puede generar innumerables falsas alarmas que se convertirían en un desgaste permanente. Y en un factor de desconfianza del IDS. O por el contrario generaría el fenómeno de exceso de confianza debido a tantas falsas alarmas. Los IDS no constituyen un sistema independiente de seguridad, por el contrario es un complemento a los demás sistemas de seguridad que se deben implantar dentro de la red. Los sistemas de detección de intrusos brindan tres niveles de seguridad: Monitorizan: se convierten en un ojo de la red que está en constante vigilancia. Buscando permanentemente dentro del tráfico de la red elementos sospechosos, identificando cada paquete, su respectivo origen y destino. Detectan: de acuerdo a las políticas que son configurables libremente se definen los actos sospechosos en el tráfico de la red. Todos los patrones de detección son actualizables y modificables cuando se vayan detectando nuevos medios de ataque. Responden: Los IDS responden a esos ataques generando las alarmas necesarias para comunicarlas lo más pronto posible al administrador de la red. El fin de este documento es plantear de una manera general las diferentes ventajas y funcionamiento de los IDS, pero nos centraremos en el funcionamiento específico de Snort, vamos a estudiar su proceso de Instalación, configuración y administración adecuada. 24

25 6.1. REQUISITOS PARA LA INSTALACION: 1. Un servidor Web con soporte para php 2. El detector de intrusos, para nuestro caso Snort descargable desde la página 3. La Base de datos MySql que es fácilmente descargable de: 4. El analizador ACID en php descargable desde 5. El Active Data Objects Data Base, ADOdb, una extensión en php para manejar distintas Ip s de las bases de datos. Descargable desde:. 6. La librería para las estadísticas phplot, descargable desde y 7. La librería WinPcap descargable de CONFIGURACION: Snort al ser de código libre se convierte en una gran oportunidad y en una herramienta muy útil, esta herramienta se complementa con el potente servidor de bases de datos también bajo condigo libre MySql. Ambos son gratuitos y configurables al gusto del usuario INSTALACIÓN DE WINPCAP Lo primero es descargar la librería WinPcap relacionada dentro de los requisitos ya que esta es imprescindible para realizar las labores de Sniffer y que sea posible que Snort observe el tráfico de la red. 25

26 Su proceso de instalación es muy similar al de todos los programas de Windows. Por esto no se profundizara en este sentido. 26

27 CONFIGURAR MYSQL: MySql y Snort van a estar instalados en maquinas diferentes, instalar MySql para Windows es un procedimiento bastante fácil en el cual no se va a profundizar, se instala como un servicio mas de Windows que trabajará sobre el puerto Luego de realizar la instalación del administrador de bases de datos debemos configurar un poco la seguridad, aunque es conveniente asesorarse sobre todas las posibilidades que ofrece la base de datos se puede empezar por definir o cambiar la clave del root. Se debe crear la base de datos el MYSQL de Snort, desde la línea de comandos una vez se haya ejecutado mysql: Mysql>create database snort; 27

28 Para que estemos seguros que vamos a trabajar sobre la base de datos llamada Snort. Ejecutamos: \mysql -D snort < c:\snort\contrib\create_mysql Ya dentro de la base de datos de Snort, el programa está listo para empezar a guardar información. Desde la interfaz grafica de mysql podemos ver la nueva base de datos. Ahora se debe crear un usuario que tenga los permisos necesarios para poder administrarla. Ejecutando esta línea de comando adecuada a las necesidades de cada red es posible crear al administrador de la base de datos. mysql> grant insert,select,update on snort.* to snortusr@ identified by 'clave'; el número que acompaña a snortust@xxx.xx.xx.x dirección IP donde esta alojado el IDS. hace referencia a la De esta manera se adquieren los permisos para modificar la base de datos y solo este usuario podrá modificar los datos. Se pueden descargar administradores gráficos para Mysql gratis a través de Internet. Tanto en Windows como en Linux hay programas especializados que se encargan de analizar los informes que presenta Snort, con el fin de que no sea necesario que el administrador tenga que analizar informe por informe arrojado pro Snort. 28

29 INSTALACION DE SNORT La instalación de Short puede consistir en un sistema sencillo o un complejo sistema de detección de intrusos. Si se instala únicamente Short se puede capturar información en texto binario y ser visto en un editor de texto como Word pad o cualquier otro. Se puede enviar información de alerta en forma de ventanas emergentes a una maquina Microsoft. Sin embargo si se instala otras herramientas se puede manipular la información intrusa de una mejor manera, como por ejemplo almacenando la información en una base de datos y luego analizar dicha información a través de un interfaz Web. Las herramientas a usar para un sistema más sofisticado se describe a continuación, cada una de estas herramientas tiene una función específica: MySQL: Es usado para almacenar las alertas generadas por Short, un cuando no es el único manejador de bases de datos que se puede usar si es la base de datos mas popular usada junto con Short (además de ser también de libre distribución) Apache: Actúa como un servidor Web PHP: Es usado como una interfaz entre el servidor y MySQL ACID: Es un paquete de PHP que es usado para ver y analizar la información de Short usando una ventada de exploración Librería GD: Es usado por ACID para crear gráficos PHPPLOT: Es usado para presentar la información en formato grafico en páginas Web usado en ACID. La librería GD debe funcionar correctamente para poder usar PHPPLOT. 29

30 ADOBB: Es usado por ACID para conectar a la base de datos MySQL. ESCENARIO DE INSTALACION: la instalación de Short dependerá del ambiente en que se ubicara Short. Algunas de las instalaciones posibles se describen continuación: Instalación de Prueba: Una instalación simple de Short constara de un solo sensor. Short almacenara los paquetes capturados en una carpeta como archivos de texto. Dichos archivos puede ser vistos después por el administrador de Short. Este tipo de instalación solo es viable para propósitos investigativos dados los altos costos del análisis de la información. Un solo sensor de Short: Es recomendado en redes pequeñas con una sola conexión a Internet, ubicando el sensor detrás del router o Firewall le permitirá detectar actividad intrusa dentro del sistema. Sin embargo si se esta interesado en escanear todo el trafico de Internet se puede ubicar el sensor fuera del firewall En este escenario de producción se debe crear procesos de encendido y apagado automáticos para ello se debe adicionar un archivo.bat (archivo batch) en el grupo de inicio. El almacenamiento se hace en archivos de texto o binarios, herramientas como snortsnarf pueden ser usadas para analizar la información Un solo sensor con una base de datos y una interfase Web: Es el uso mas frecuente de Snort. La base de datos se usa para almacenar los paquetes capturados para ser visto y analizados más tarde a través de la interfaz Web. Un ajuste típico consiste en tres componentes típicos: Sensor Snort Servidor de base de datos Servidor Web 30

31 Una vez capturados los paquetes pueden ser vistos a través de lo servidor Web que Esta conectado al sensor. PHP es usado para que tome los datos y genere páginas Web. Se debe proveer un nombre de usuario, password, nombre para la base datos, y una dirección del servidor de la base de datos para permitirle a Snort almacenar los datos en dicha base. En el esquema de un solo sensor en donde la base de datos esta corriendo en el sensor, se puede usar el local host como nombre de alojamiento. Múltiples sensores con una base de datos centralizada: Es probable que se quiera instalar múltiples sensores, para este caso se podría instalar múltiples sensores y conectarlos todos a una misma base de datos, sin embargo esto presenta algunos inconvenientes: o Todos los sensores deben tener acceso a la base de datos una vez que Snort ha iniciado. Pero si Snort no puede conectarse a la base de datos el sistema colapsa o La base de datos debe estar disponible para todos lo sensores, si alguna de las conexiones de la red se cae, entonces la información se pierde o Se debe abrir puertos adicionales para que la base de datos almacene los paquetes cuando el Firewall está entre la base de datos y el sensor. Esto puede ser contraproducente además de ir contra las políticas de seguridad de la empresa. 31

32 Para evitar estos problemas los sensores no deberán tener conexión directa con la base de datos. Para ello los sensores deben estar configurados para que almacenen los archivos temporales en archivos locales. Estos archivos locales son actualizados periódicamente por la base de datos usando utilidades como SCP. Esta es un archivo de seguridad que utiliza el protocolo SSH. El administrador del Firewall habilita el puerto 22 para que pase dicha información por este puerto INSTALACION Para esta investigación se utilizo la versión PRE-compilada que se encuentra disponible en la página de Snort en se uso la versión La instalación a través de esta versión PRE-compilada es muy sencilla, una vez se ha bajado el archivo ejecutable, se sigue el proceso regular de instalación de un software Snort solicita elegir una de las tres opciones, ellas son 32

33 No planear conectarse a una base de datos o hacerlo mas tarde, para nuestro caso esta va ser la opción a elegir dado que vamos a conectar Snort a MySQL para que allí almacena la información capturada Necesita soporte para conectarme a servidor de Microsoft SQL: Se elige esta opción si ya se es cliente del servido SQL este no es el caso de esta investigación Solicitar soporta para conectarse a Oracle: Se elige esta opción si se va a usar Oracle para almacenar información en esta base de datos Se hace clic en siguiente y el motor de instalación preguntara que componentes de Snort se quiere instalar, se escoge todos. 33

34 Finalmente se elige el lugar en donde se creara la carpeta de Snort en esta carpeta se generaran otras sub.-carpetas que son de vital importancia para el buen funcionamiento de Snort 34

35 Una vez que snort se ha instalado adecuadamente el creara los siguientes sub. Fólder: Bin: En esta carpeta se encuentra el archivo ejecutable que permitirá correr Snort desde DOS Doc: Allí se almacenan todos lo documentos necesarios para el correcto funcionamiento, archivo tales como: preguntas frecuentes, configuraciones básicas de snort, etc. Log: Aquí será donde se almacenen los paquetes capturados (si no se a conectado Snort a la base de datos) Etc: Aquí están los archivos de configuración, en esta carpeta se encuentra el archivo Snort.config, en este archivo se especifica la IP o las IP s que se quieren monitorear. Este punto se tratara con mayor detalle en el siguiente apartado. 35

36 Para ejecutar el programa se debe incesar desde la consola DOS, una vez en la carpeta de Snort>bin se puede correr una serie de comandos para que Snort ejecute diferentes tareas que se desee En esta ventana se describen los comandos que se deben usar con Snort para que el haga lo que se desee, debe anotarse que en este punto no encontramos hasta ahora en el escenario de prueba; es decir tan solo se ha instalado el Software. Los comandos allí descritos son: -A: Esta opción habilita el modo de alerta. Este modo es usado para ajustar diferentes niveles de detalle de la información capturada. -b: Es usado para almacenar datos en formato TCPDUMP. Este comando hace que la captura de datos sea más rápida. 36

37 -c: Es la opción más usada, se especifica donde está el archivo snort.config, esto permite que Snort use las configuración dadas en este archivo (IP, Reglas, Plugins, etc.) -i: Este comando es usado para indicar a Snort que interfaz va a rastrear. Es muy util cuando se tiene múltiples conexiones de red. También es usado cuando se quiere iniciar múltiples sensores en múltiples redes -L: Este comando es usado para especificar la ruta en donde se encuentra el archivo log que será la carpeta donde se almacenaran las capturas de paquetes Snort l c:/.. -T: Es una opción muy util para encontrar errores en la instalación o configuración de Snort -v: Este comando hace que Snort sea un sniffer de paquetes con el switch mas proligo, mostrando los encabezados TCP/IP de los paquetes. Este es el modo más elemental en que Snort corre 37

38 Para detener la captura se usa ctrl.+c, una vez hecho esto Snort mostrara una resumen de las capturas de los diferentes paquetes que encontró, en dicho resumen se describe el tipo de protocolo de los paquetes y el porcentaje de paquetes capturados en cada uno de los protocolos 38

39 -W: Este comando describe que tarjetas de rede esta conectadas y como las nombra winpcap. Así se puede especificar en el modo sniffer que adaptador quiero rastrear con el siguiente comando Snort v i# (este es el numero del adaptador) -dev l: esta combinación de comando le permite a snort capturar paquetes de una manera muy detallada y almacenarlos el la carpeta log por ejemplo 39

40 Snort dev l c:/snort/log De esta manera se encontraran todos los paquetes capturados en la carpeta los ubicada en la partición C, estarán almacenados en archivos de texto Snort.config: En este archivo se encuentra toda la información necesaria para que Snort cumpla con las funciones deseadas, de la adecuada configuración de Snort.config dependerá en gran medida el correcto desempeño del IDS. 40

41 Esta Configuración está dividida en cuatro partes: Ajustes de red Ajustes de reglas Ajustes de salida Ajustes adicionales Ajustes de red: Estos ajustes permiten a Snort monitorear un rango en una red de direcciones IP, una sola IP, diferentes IP en grupos o individuales o enteras sub.-redes. El emplazamiento del sensor dependerá de cuanto puede capturar y del archivo de configuración. Para ello se puede controlar el rango de la red que se quiere monitorear modificando la línea var HOME_NET. UNA SOLA IP Si se quiere monitorear todo el segmento de red a la que Snort esta adjunto, no se debe cambiar nada, si por el contrario se quiere monitorear una sola IP se debe cambiar por la dirección IP del equipo y por la sub.-red. Así si se quiere monitorear una red clase C con un rango IP de y una sub.-red de La línea se modificara así: varhome_net: /24 Si solo se quiere monitorear a una host la línea se modificara así: var HOME_NET: /32 MULTIPLE HOST Se puede monitorear un número de computadores con el espacio de red que se está monitoreando, para este caso la línea tomara la siguiente forma: 41

42 var HOME_NET: DIRECCION IP/SUB-RED,DIRECCION IP/SUB-RED.. Ajuste de Reglas: Para poder detectar algún ataque Snort debe saber en que lugar se encuentra la base de reglas, para este propósito se debe especificar la ruta en donde se encuentran, de la siguiente manera var RULES_PATH C:\...\rules Primero se deben adicionar las reglas, para ello desde la página de snort se deben bajar las reglas mas recientes, una vez hecho esto, el archivo será un archivo. Rar, se descomprime en este directorio, que es creado por defecto cuando se instala Snort Ajuste de salida: Se debe modificar la línea que dice : output alert_tcp: tcp.log por la linear output alert_fast: alert.ids de esta manera se presentara la información capturada de una mejor manera, esta información se almacena en la carpeta log. Estos serán los paquetes que snort a capturado y que han coincidido con alguna regla determinada El segundo pluging que se debe modificar es el de almacenamiento en MySQL, para ello es necesaria la siguiente información que se obtiene cuando se esta instalando MySQL. Usuario: Usaremos el usario por defecto root Ubicación: Como se construirá el IDS en una misma máquina usaremos localhost Bdase: Titularemos la base como snort Password: La contraseña será FCE 42

43 Una vez obtenidos esta información se modifica en el línea de output_pluging de Mysql de #output database: log, mysql, user=user password=df dbname=db host=localhost por la linear: output database: log, mysql, user=root password=fce dbname=snort host=localhost Ajustes adicionales: Snort adicionalmente necesita que se refieran dos archivos, el de referencia y el de solución de problemas cada 7. MANEJO DE INSTALACION DE UN IDSCENTER Snort en principio funciona a través de comandos en la consola, pero debido a las dificultades que presenta este tipo de funcionamiento para algunos usuarios se ha creado un aplicativo llamado IDSCenter que es la Interfaz grafica de Snort. Esta aplicación es muy usada en sistemas operativos de Microsoft y al igual de Snort posee licencia GNU. 43

44 El IDSCenter mas actualizado que hemos podido localizar es la Versión 1.1 RC4 que corre en Windows NT hasta Windows XP y permite ejecutar Snort 1.7, 1.8 y 2.X se puede descargar de este archivo se instala de una manera muy similar a la que se instala cualquier aplicación en Windows. Y es importante tener en cuenta que se debe instalar la librería WinPcap que se puede descargar de A través de esta interfaz grafica es posible configurar y ejecutar Snort de una manera mucho más agradable. 44

45 7.1. CONFIGURACIÓN DEL IDSCENTER 1. Una vez instalado el programa aparecerá un icono en la barra de iconos junto al reloj: El icono negro con la raya roja es el icono del IDSCenter, da clic con el botón derecho del Mouse sobre ese icono Y pulsamos sobre Settings de esta manera aparecerá la interfaz grafica de configuración de Snort. En el panel general empezamos eligiendo la opción configuración. Por el momento se configurarán las opciones básicas del IDSCenter desde este panel de control elegimos la versión de Snort Instalada en nuestro sistema que para nuestro caso es Snort En Snort ejecutable file: debemos localizar el ejecutable de Snort que se encuentra en la carpeta de instalación que por lo general está en c:/ y dentro de la Carpeta de Snort en la Subcarpeta bin. 1 Basado en el contenido disponible en: 45

46 Log File: ubicación del fichero de texto alert.ids en el cual se almacenan los log de las alertas generadas por Snort e instrucciones creadas. Log viewer: Configura el tipo de salida para nuestro logs generados por snort, por el momento se pueden dejar en internal logs viewer AHORA EN LA PESTAÑA DE IDS RULES: SNORT.CONF En esta opción le daremos al IDSCenter la ubicación del fichero de configuración de Snort (Snort.conf) En el rotulo de Configuration file ubique la ruta del archivo Snort.conf que se encuentra dentro de la carpeta de instalación de Snort 46

47 Luego de ubicado el archivo, damos clic en Apply para cargar Snort.conf y que aparezca su contenido en la ventana del IDSCenter. Es importante que se carguen todos los paquetes apropiadamente de lo contrario se presentaran dificultades para poner en funcionamiento el programa PUESTA EN MARCHA DE SNORT CON IDSCENTER 2 Una vez realizados todos los pasos ya podemos poner a funcionar Snort con el IDSCenter dando clic en Start Snort que se encuentra en la pantalla superior de la ventana. El icono negro que esta tachado en rojo dejara de estarlo y Snort empezará a funcionar. A través de ese pequeño icono tendremos las funciones básicas de Snort y podremos controlarlo desde ahí. 2 Basado en el contenido disponible en: 47