INSTALACIÓN, CONFIGURACIÓN Y FUNCIONAMIENTO DEL IDS SNORT

Transcripción

1 INSTALACIÓN, CONFIGURACIÓN Y FUNCIONAMIENTO DEL IDS SNORT PRESENTADO POR: DIANA BETANCOURTH BOLAÑOS CODIGO: PRESENTADO A: ING. JEAN POLO CEQUEDA OLAGO UNIVERSIDAD FRANCISCO DE PAULA SANTANDER FACULTAD DE INGENIERIA INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA 2013

2 INTRODUCCIÓN El presente documento trata de un Sistema de Detección de Intrusos (IDS, siglas en Inglés) llamado Snort desarrollado por SourceFire, en el se puede observar que es un IDS, su funcionamiento y los tipos, seguidamente se puede hablar del Snort, como funciona y todos los aspectos básicos del mismo. Como requerimiento de la entrega de éste informe, se explicará detalladamente el proceso de instalación y configuración de Snort, al mismo tiempo que se ilustrarán ejemplos de algunos de los comandos que éste sistema IDS tiene como funcionalidades.

3 1. QUÉ ES UN IDS? Cortafuegos vs IDS Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no debería ocurrir en ese sistema. Según esta definición, muchos podrían pensar que ese trabajo ya se realiza mediante los cortafuegos o firewalls. La principal diferencia, es que un cortafuegos es una herramienta basada en la aplicación de un sistema de restricciones y excepciones sujeta a muchos tipos de ataques, desde los ataques tunneling (saltos de barrera) a los ataques basados en las aplicaciones. Los cortafuegos filtran los paquetes y permiten su paso o los bloquean por medio de una tabla de decisiones basadas en el protocolo de red utilizado. Las reglas verifican contra una base de datos que determina si está permitido un protocolo determinado y permite o no el paso del paquete basándose en atributos tales como las direcciones de origen y de destino, el número de puerto, etc... Esto se convierte en un problema cuando un atacante enmascara el tráfico que debería ser analizado por el cortafuegos o utiliza un programa para comunicarse directamente con una aplicación remota. Estos aspectos se escapan a las funcionalidades previstas en el diseño inicial de los cortafuegos. Es aquí dónde entran los IDS, ya que estos son capaces de detectar cuando ocurren estos fallos. Definición Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos no autorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas. El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas. Algunas de las características deseables para un IDS son: Deben estar continuamente en ejecución con un mínimo de supervisión.

4 Se deben recuperar de las posibles caídas o problemas con la red. Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante. Debe utilizar los mínimos recursos posibles. Debe estar configurado acorde con la política de seguridad seguida por la organización. Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable. Funcionamie nto El funcionamiento de estas herramientas se basa en el análisis pormenorizado del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento. Normalmente esta herramienta se integra con un firewall. El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red. Los IDS suelen disponer de una base de datos de firmas de ataques conocidos. Dichas firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo. Tipos de IDS Existen varios tipos de IDS, clasificados según el tipo de situación física, del tipo de detección que posee o de su naturaleza y reacción cuando detecta un posible ataque. Clasificación situación por Según la función del software IDS, estos pueden ser: NIDS (Network Intrusion Detection System)

5 HIDS (Host Intrusion Detection System) Los NIDS analizan el tráfico de la red completa, examinando los paquetes individualmente, comprendiendo todas las diferentes opciones que pueden coexistir dentro de un paquete de red y detectando paquetes armados maliciosamente y diseñados para no ser detectados por los cortafuegos. Pueden buscar cual es el programa en particular del servidor de web al que se está accediendo y con que opciones y producir alertas cuando un atacante intenta explotar algún fallo en este programa. Los NIDS tienen dos componentes: Un sensor: situado en un segmento de la red, la monitoriza en busca de tráfico sospechoso Una Consola: recibe las alarmas del sensor o sensores y dependiendo de la configuración reacciona a las alarmas recibidas. Las principales ventajas del NIDS son: Detectan accesos no deseados a la red. No necesitan instalar software adicional en los servidores en producción. Fácil instalación y actualización por que se ejecutan en un sistema dedicado. Como principales desventajas se encuentran: Examinan el tráfico de la red en el segmento en el cual se conecta, pero no puede detectar un ataque en diferentes segmentos de la red. La solución más sencilla es colocar diversos sensores. Pueden generar tráfico en la red. Ataques con sesiones encriptadas son difíciles de detectar. En cambio, los HIDS analizan el tráfico sobre un servidor o un PC, se preocupan de lo que está sucediendo en cada host y son capaces de detectar situaciones como los intentos fallidos de acceso o modificaciones en archivos considerados críticos. Las ventajas que aporta el HIDS son: Herramienta potente, registra comandos utilizados, ficheros abiertos,... Tiende a tener menor número de falsos-positivos que los NIDS, entendiendo falsospositivos a los paquetes etiquetados como posibles ataques cuando no lo son. Menor riesgo en las respuestas activas que los IDS de red. Los inconvenientes son:

6 Requiere instalación en la máquina local que se quiere proteger, lo que supone una carga adicional para el sistema. Tienden a confiar en las capacidades de auditoria y logging de la máquina en sí. Clasificación según los modelos de detecciones Los dos tipos de detecciones que pueden realizar los IDS son: Detección del mal uso. Detección del uso anómalo. La detección del mal uso involucra la verificación sobre tipos ilegales de tráfico de red, por ejemplo, combinaciones dentro de un paquete que no se podrían dar legítimamente. Este tipo de detección puede incluir los intentos de un usuario por ejecutar programa s sin permiso (por ejemplo, sniffers ). Los modelos de detección basado en el mal uso se implementan observando como se pueden explotar los puntos débiles de los sistemas, describiéndolos mediante unos patrones o una secuencia de eventos o datos ( firma ) que serán interpretados por el IDS. La detección de actividades anómalas se apoya en estadísticas tras comprender cual es el tráfico normal en la red del que no lo es. Un claro ejemplo de actividad anómala sería la detección de tráfico fuera de horario de oficina o el acceso repetitivo desde una máquina remota (rastreo de puertos). Este modelo de detección se realiza detectando cambios en los patrones de utilización o comportamiento del sistema. Esto se consigue realizando un modelo estadístico que contenga una métrica definida y compararlo con los datos reales analizados en busca de significantes. desviaciones estadísticas Los IDS reactivos están diseñados para responder ante una actividad ilegal, por ejemplo, sacando al usuario del sistema o mediante la reprogramación del cortafuegos para impedir el tráfico desde una fuente hostil. 2. QUÉ ES SNORT? Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de

7 almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Este IDS implementa un lenguaje de creación de reglas flexible, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, DDoS, finger, FTP, ataques web, CGI, Nmap... Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). Cuando un paquete coincide con algún patrón establecido en las reglas de configuración, se logea. Así se sabe cuándo, de dónde y cómo se produjo el ataque. Aún cuando tcpdump es considerada una herramienta de auditoría muy útil, no se considera un verdadero IDS puesto que no analiza ni señala paquetes por anomalías. tcpdump imprime toda la información de paquetes a la salida en pantalla o a un archivo de registro sin ningún tipo de análisis. Un verdadero IDS analiza los paquetes, marca las transmisiones que sean potencialmente maliciosas y las almacena en un registro formateado, así, Snort utiliza la biblioteca estándar libcap y tcpdump como registro de paquetes en el fondo. Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad. La característica más apreciada de Snort, además de su funcionalidad, es su subsistema flexible de firmas de ataques. Snort tiene una base de datos de ataques que se está actualizando constantemente y a la cual se puede añadir o actualizar a través de la Internet. Los usuarios pueden crear 'firmas' basadas en las características de los nuevos ataques de red y enviarlas a la lista de correo de firmas de Snort, para que así todos los usuarios de Snort se puedan beneficiar. Esta ética de comunidad y compartir ha convertido a Snort en uno de los IDSes basados en red más populares, actualizados y robustos.

8 3. CÓMO FUNCIONA SNORT? En la versión de Windows, es necesario instalar WinPcap. Este software consiste en un driver que extiende el sistema operativo para permitir un acceso de bajo nivel a la red y una librería que facilita a las aplicaciones acceder a la capa de enlace saltándose la pila de protocolos. Snort puede funcionar en: Modo sniffer, en el que se motoriza por pantalla en tiempo real toda la actividad en la red en que Snort es configurado. Modo packet logger (registro de paquetes), en el que se almacena en un sistema de log toda la actividad de la red en que se ha configurado Snort para un posterior análisis. Modo IDS, en el que se motoriza por pantalla o en un sistema basado en log, toda la actividad de la red a través de un fichero de configuración en el que se especifican las reglas y patrones a filtrar para estudiar los posibles ataques. Una vez hemos instalado correctamente el programa y lo ponemos en funcionamiento, debemos introducir en la base de patrones de ataques los que queremos utilizar para detectar actividades sospechosas contra nuestra red. Intuitivamente, el usuario tiende a utilizar un elevado número patrones para protegerse, pero paradójicamente esto puede perjudicar la seguridad, ya que no todos los ataqu es que Snort es capaz de detectar son útiles (para el atacante) en el segmento de red que monitorizamos y en cambio corremos el riesgo de sobrecargar la herramienta, que dejará pasar todos los paquetes que no pueda analizar. Para utilizarlo correctamente, también es necesario estudiar los patrones de tráfico que circulan por el segmento donde el sensor escucha para detectar falsos positivos y, o bien reconfigurar la base de datos, o bien eliminar los patrones que los generan. En definitiva, pese a todas las facilidades y automatizaciones y como casi todas las herramientas de seguridad, es un apoyo que no puede sustituir la tarea del responsable de seguridad que es quien debe analizar toda la información de forma minuciosa y continuada. Funcionamiento del motor de Snort El motor de Snort se divide en los siguientes componentes:

9 Decodificador del paquete. Preprocesadores. Motor de detección (Comparación contra firmas). Loggin y sistema de alerta. Plugins de salida. El decodificador de paquete, toma los paquetes de diferentes tipos de interfaces de red, y prepara el paquete para ser preprocesado o enviado al motor de detección. Los preprocesadores son componentes o plugins que pueden ser usados con Snort para arreglar, rearmar o modificar datos, antes que el motor de detección haga alguna operación para encontrar si el paquete esta siendo enviado por un intruso. Algunos preprocesadores realizan detección buscando anomalías en las cabeceras de los paquetes y generando alertas. Son muy importantes porque preparan los datos para ser analizados contra reglas en el motor de detección. El motor de detección es la responsable de detectar si alguna actividad de intrusión existe en un paquete. El motor utiliza las reglas que han sido definidas para este propósito. La s reglas (o cadenas) son macheadas contra todos los paquetes. Si un paquete machea una regla, la acción configurada en la misma es ejecutada. Dependiendo que detecte el motor dentro de un paquete, el logging y sistema de alerta, se encarga de loguear o generar una alerta. Los logs son almacenados en archivos de texto, archivos con formato tcpdump u otro formato. Los plugins de salida toman la salida del sistema de alerta y permiten almacenarlas en distintos formatos o reaccionar antes el mismo. Por ejemplo: enviar s, traps SNMP, syslog, insertar en una base de datos, etc. Plugins de salida: Bases de datos (MySql, Postgres, etc) Syslog XML Traps SNMP Mensajes SMB

10 4. COMANDOS DE SNORT Los siguientes son los comandos que se pueden utilizar en Snort para obtener las diferentes funcionalidades: -A Set alert mode: fast, full, console, or none //(alert file alerts only)// -b Log packets in tcpdump format //(much faster!)// -c <rules> Use Rules File <rules> -C Print out payloads with character data only //(no hex)// -d Dump the Application Layer -e Display the second layer header info -E Log alert messages to NT Eventlog. //(Win32 only)// -f Turn off fflush() calls after binary log writes -F <bpf> Read BPF filters from file <bpf> -h <hn> Home network = <hn> -i <if> Listen on interface <if> -I Add Interface name to alert output -k <mode> Checksum mode //(all,noip,notcp,noudp,noicmp,none)// -l <ld> Log to directory <ld> -L <file> Log to this tcpdump file -n <cnt> Exit after receiving <cnt> packets -N Turn off logging (alerts still work) -o Change the rule testing order to Pass Alert Log -O Obfuscate the logged IP addresses -p Disable promiscuous mode sniffing -P <snap> Set explicit snaplen of packet //(default: 1514)// -q Quiet. Don't show banner and status report -r <tf> Read and process tcpdump file <tf> -R <id> Include 'id' in snort_intf<id>.pid file name -s Log alert messages to syslog -S <n=v> Set rules file variable n equal to value v -T Test and report on the current Snort configuration -U Use UTC for timestamps -v Be verbose -V Show version number -W Lists available interfaces. //(Win32 only)//

11 -w Dump management and control frames -X Dump the raw packet data starting at the link layer -y Include year in timestamp in the alert and log files -z Set assurance mode, match on established sesions //(for TCP)// -? Show this information 4. INSTALACIÓN Y CONFIGURACIÓN DEL IDS SNORT La instalación se realizó una distribución Linux (Ubuntu propiamente dicho) por medio de la terminal de línea de comandos. Se siguieron los siguientes pasos: 1. Abrir una terminal 2. Escribir el comando de instalación de paquete sudo apt-get install snort Dando permisos de superusuario para poder realizar la instalación (debido al sistema de permisos utilizado por las distribuciones de Linux), escribiendo la contraseña en la siguiente línea, enseguida se incia la instalacion 3. A continuación pedirá la siguiente opción de configuración

12 En este paso pide la dirección de red local (la cual va a ser la que se estará monitoreando). En este punto puede haber 3 opciones de configuración: Si es una única dirección se colocará con máscara de sub red /32 Si es un bloque de 256 IPs se utilizará la máscara /24 Si es una red más amplia se utilizará la máscara /16 4. Una vez finalizado el proceso de instalación se puede realizar la configuración completa por medio del comando.

13 Lo cual hará que se pidan las configuraciones, que serán guardadas en el archivo /etc/snort/snort.sites.conf 5. Preguntará que opción de arranque se desea configurar: Se ve explicado claramente qué es cada tipo de arranque. En este caso se escogerá la configuración del arranque manual. 6. Siguiente viene una ventana de explicación de lo que será el próximo requisito a pedir, la interface de red que se escaneará. Se explica que se puede utilizar el siguiente comando para encontrar la interface

14 7. En la siguiente opción se escribe la interface obtenida en la anterior instrucción 8. Ahora se deberá escribir la dirección de red que se desea escanear (paso similar al realizado durante la instalación, paso 3).

15 9. Opción de habilitar o deshabilitar el Modo promiscuo Modo Promiscuo significa que se analizará todos los paquetes que pasen por el segmento aunque no sean de una conexión propia. 10.

16 11. Recibir resúmenes electrónicos por correo de las alertas encontradas 12. Se especifica el correo electrónico en que se desea recibir los resúmenes diarios.

17 13. Ahora se pregunta la cantidad de informes que se incluyen por alerta 14. Finalmente la solicitud del comando al finalizar para recargar las configuraciones hechas. 15. Una vez finalizado el asistente de configuración, se ejecuta el comando mostrado en la anterior instrucción

18 PROCESO PARA LA INSERCIÓN DE UNA NUEVA REGLA 1. Crear un nuevo archivo.rules en la carpeta /etc/snort/rules/ En este ejemplo se está creando el archivo sites.rules el cual contendrá reglas sobre: El usuario ingresa a la página de google

19 El usuario ingresa a la página de facebook Se está realizando un ping sobre la máquina host. 2. El anterior comando abrirá un nuevo archivo del programa gedit con el nombre dado En este ejemplo se pueden notar tanto la regla de Facebook co Ping en funcionamiento. mo la regla de Como se dijo en el anterior paso se está realizando las 3 reglas. Se guarda y se cierra el archivo.

20 3. De vuelta en la terminal se abrirá ahora el archivo de configuración de snort. El cual se encuentra en la ruta mostrada en la siguiente imagen. 4. Al ejecutar el comando se abrirá nuevamente gedit con el archivo de configuración de snort.

21 De esta manera se ingresa la regla recientemente creada en el archivo de configuración y ya está cargada para ser revisada 5. Ejemplo de las reglas anteriormente creadas en funcionamiento:

22 Ejecución de snort 1. Nos dirigimos hacia el directorio de sn 2. Ejecutamos snort