UNIVERSIDAD DE CUENCA

Transcripción

1 UNIVERSIDAD DE CUENCA FACULTAD DE INGENIERIA ESCUELA DE INFORMATICA DISEÑO Y CONSTRUCCIÓN DE UN SISTEMA DE DETECCIÓN DE INTRUSIONES PARA LA UNIVERSIDAD DE CUENCA TESIS PREVIA A LA OBTENCION DEL TITULO DE INGENIERO DE SISTEMAS DIRECTOR: Ing. Otto Parra González AUTOR: Pablo Vladimir Astudillo Aguilar Cuenca Ecuador 2005

2 AGRADECIMIENTO A mis padres, sin su apoyo incondicional esto aún sería solo un sueño. Al Ing. Otto Parra González, por el soporte y la confianza depositada en mí para la terminación de la presente tesis. A Jessica, Pablo, Freddy, Camila, Karol, Elina, Iván, Cristóbal, Mauricio, compañeros de lucha que hicieron que el camino, aunque difícil, fuera más corto y agradable. Gracias por arrastrarme a la universidad cuando abandonarlo todo y dormir parecía la mejor idea. Gracias por el café, el sofá, los cumpleaños con vela y pan y, sobre todo, gracias por su compañía. 2

3 DEDICATORIA Al esfuerzo que requirió llegar hasta aquí. es hora de volver a mi, a contar las cosas que me hacían bien, de verdad, es hora de volver a mi, a cantar yo necesito ver el sol, de verdad. Fito Paez. 3

4 RESUMEN DE TESIS La presente tesis consiste en el diseño y construcción de un NIDS (Sistema de Detección de Intrusiones basado en Red), para la Red Académica Integral de la Universidad de Cuenca, que complemente la labor de los elementos de seguridad implementados tales como Firewalls, Intranet, Control de Acceso, etc. El NIDS desarrollado utiliza el algoritmo de comparación de patrones, el cual detecta ataques capturando y analizando paquetes de red en busca de firmas de intrusión en sus cabeceras y datos. Una firma de intrusión consiste en un grupo de valores determinados en los campos de cabecera de los paquetes que caracterizan y diferencian a un ataque del tráfico legítimo. 4

5 CONTENIDO PARTE I: MARCO TEORICO...10 CAPITULO Introducción a los Sistemas de Detección de Intrusiones Qué es un Sistema de Detección de Intrusiones? Por qué utilizar un IDS? Definiciones Seguridad, dos puntos de vista Confianza Vulnerabilidad Amenaza Políticas de seguridad Intruso Alarmas o Alertas Falsos positivos y falsos negativos Motivos que originan problemas de seguridad Diseño o desarrollo Gestión Confianza Elementos de la detección de intrusiones: Arquitectura de los IDS CIDF (Common Intrusion Detection Framework) Autopost de AusCERT Arquitectura de IDWG (Intrusion Detection Working Group) Clasificación de los IDS IDS basados en host (HIDS) IDS basados en red (NIDS) Topologías de los NIDS Un modelo de funcionamiento Fuentes de información basadas en máquina Registros de auditoría Registro de Sistema Información de aplicaciones

6 1.7.2 Fuentes de información basadas en red Paquetes de red Captura de paquetes en sistemas Windows Captura de paquetes en sistemas UNIX Limitaciones de los IDS...37 CAPITULO 2. Análisis y Diagnóstico Detección de usos indebidos Comparación de patrones Fortalezas y Debilidades Comparación simple de patrones Comparación de Patrones en contexto de Conexiones Análisis de Protocolos El ambiente del IDS El Futuro: Un modelo complementario Estudio de las Firmas de los Ataques más conocidos Escaneo de Puertos Escaneos abiertos Escaneos medio-abiertos Escaneos silenciosos IP Spoofing Sustento técnico del IP Spoofing Consecuencias del diseño TCP/IP Ataques spoofing Defensa contra el Spoofing Denegación de Servicios Smurf o Broadcast storm Fraggle TCP Syn Flood Land Winnuke o Supernuke Fragmentos IP Snork Chargen y Chargen-Echo DDoS Denegación de Servicios Distribuida

7 Trinoo Tribe Flood Network y TFN2K Stacheldraht Detección de anomalías Detección de anomalías basada en Estadística Detección de anomalías basada en Especificaciones Fortalezas y Debilidades de la Detección de Anomalías Estado actual de la Detección de Anomalías Métodos alternativos Sistemas Expertos Análisis basado en Heurística...91 Capítulo 3. Respuestas Activas Tipos de Respuesta Activas Cierre de sesión Actualizaciones de Firewall Observaciones sobre las Respuestas Activas Adopción de Políticas de Respuestas Activas Cronometraje Denegación de Servicios autoprovocada...98 PARTE II: ANALISIS, DISEÑO, IMPLEMENTACIÓN Y PRUEBAS DEL NIDS Capítulo 4. Análisis de la Red de la Universidad de Cuenca Características generales Descripción de los Servidores Diagrama de la DMZ de la Universidad de Cuenca Capítulo 5. Requerimientos y Casos de Uso Presentación general Cliente Metas Requisitos funcionales (Funciones del sistema) Requisitos no funcionales (Atributos del sistema) Actores del Sistema Casos de uso Clasificación de los Casos de Uso Asignación de los Casos de Uso a los Ciclos de Desarrollo

8 Capítulo 6. Análisis del NIDS Modelo Conceptual Diagramas de Secuencia Contratos Capítulo 7. Diseño del NIDS Diagramas de Colaboración Diagrama de Clases Descripción de las Clases del diseño Diagrama de Base de Datos Descripción de las Tablas de la Base de Datos Funcionamiento en tiempo real Ambiente gráfico de la herramienta Configuración de respuestas automáticas Asistente para responder a ataques Diagnóstico de vulnerabilidades después de un ataque Capítulo 8. Implementación y Pruebas Plataforma Base de Datos Lenguaje de Programación Interfaz Gráfica Herramienta de desarrollo Multihilo Pruebas Pruebas de Escaneos de Puertos (nmap) Saturación de conexiones (syn flooder) Direcciones IP y Puertos reflexivos (hping2) Cadenas sospechosas en payload (nemesis) PARTE III: CONCLUSIONES, RECOMENDACIONES, BIBLIOGRAFIA Y ANEXOS CONCLUSIONES RECOMENDACIONES BIBLIOGRAFIA ANEXOS Anexo 1. Cuadros Estadísticos del Tráfico de Red

9 Anexo 2. Manual de Instalación Anexo 3. Manual de Configuración Anexo 4. Manual de Operación y Administración Anexo 5. Denuncia de Tesis

10 PARTE I: MARCO TEORICO 10

11 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Cuando una organización conecta su red al Internet, esta se vuelve vulnerable a un gran número de amenazas relacionadas con la seguridad. La cantidad de bugs y agujeros de seguridad aumentan en proporción directa al crecimiento de la red. Tarde o temprano, estos escaparán al control del administrador más disciplinado. Las organizaciones están reconociendo el valor de una buena política de seguridad que defina lo que es y no permitido en términos del uso de la red y acceso desde el Internet. Para esto, emplean un grupo de herramientas que implementan estas políticas, usualmente en la forma de uno o varios firewalls. Antes de iniciar la compleja tarea de configurar el firewall, el administrador necesita un conocimiento detallado de lo que puede hacer un hacker, y de lo que debería o no debería dejar pasar el firewall. Basta con un pequeño error en esta configuración para abrir enormes agujeros de seguridad. El mensaje es claro: un firewall mal configurado puede ser peor que no tenerlo, debido a que este dará un falso sentido de seguridad. Por lo tanto, para brindar una protección más efectiva a las organizaciones, es necesario auditar la red constantemente. A fin de lograr esto, una nueva categoría de software ha tomado fuerza en los últimos años: los Sistemas de Detección de Intrusiones (IDS). Utilizando una analogía con la seguridad del hogar, se puede optar por instalar cerraduras de buena calidad en las puertas y ventanas. Esto ayuda a mantener fuera a los intrusos, y es el equivalente al firewall de la red, esto se conoce como defensa perimetral. Sin embargo, frecuentemente se encuentran formas de evadir estas medidas. Por ejemplo, un intruso puede vulnerar la ventana trasera de la casa, o ingresar directamente por la puerta cuando alguien olvido asegurarla. Autor: Pablo Astudillo Aguilar 26/06/

12 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Una vez que el intruso accede al interior, es libre de hacer lo que se le antoje, desde robar o destrozar objetos, hasta obtener copias de las llaves para romper las seguridades nuevamente sin mayor esfuerzo. De cualquier manera, no es buena idea enterarse del atraco al regresar a casa y ver el desastre. Es por esto que en muchos hogares se instala también una alarma contra robos, de manera que si el intruso supera la defensa perimetral, esta alarma alertará al dueño o a los vecinos para que intervengan y eviten que el robo se consume. Los IDS son el equivalente a las alarmas contra robos. Deben ser usados en combinación con los firewalls. No se puede tener un sistema 100% seguro. Sin embargo, si alguien lo suficientemente listo rompe la defensa perimetral, el administrador debe saberlo lo antes posible. El uso de los IDS ha crecido en importancia debido a la expansión de las compañías que basan sus actividades en el Internet. En los años 80 s y principios de los 90 s, los ataques de denegación de servicios (Denial of Service) no eran frecuentes y eran considerados problemas leves. En la actualidad, los ataque DoS exitosos dejan fuera de servicio organizaciones enteras basadas en el comercio electrónico Qué es un Sistema de Detección de Intrusiones? Un Sistema de Detección de Intrusiones o IDS (Intrusion Detection System) es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión. 1 The NSS Group. Intrusion Detection Systems, Group Test [en línea]. Edición 3. Cambridgeshire, Inglaterra. The NSS Group. Diciembre 2000, revisado en Junio Introduction. Pagina 1. Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

13 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Se define intento de intrusión como cualquier intento de comprometer la confidencialidad, integridad, disponibilidad o evitar los mecanismos de seguridad de una computadora o red. 2 Su tarea principal es buscar patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host. Aumentan la seguridad de un sistema, vigilan el tráfico de red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque, como por ejemplo: un barrido de puertos. 3 Dado que la mayoría de las veces no se puede detener un ataque, estos sistemas no deberían ser tenidos en cuenta como una alternativa a las buenas medidas tradicionales de seguridad. No existen sustitutos para una política de seguridad empresarial cuidadosamente pensada, respaldada por procedimientos eficaces que sean ejecutados por personal calificado, utilizando las herramientas adecuadas. Los IDS deberían visualizarse como una herramienta adicional en la batalla continua contra hackers y crackers. 1.2 Por qué utilizar un IDS? La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red, y la dependencia que se tiene hacia los sistemas de información. 2 MIRA, Emilio. Implantación de un Sistema de Detección de intrusos en la Universidad de Valencia [en línea]. Edición 1. Valencia, España. Capítulo 1. Introducción a los Sistemas de Detección de Intrusos. Página 13. Disponible en: 3 MIRA, Alfonso. Sistemas de Detección de intrusos y Snort. Maestros del Web [en línea]. Edición 1. Publicado el Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

14 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Los IDS han ganado aceptación como una pieza fundamental en la infraestructura de seguridad de la organización. Hay varias razones para adquirir y usar un IDS: Prevenir problemas al disuadir a individuos hostiles. Al incrementar la posibilidad de descubrir y castigar a los intrusos, el comportamiento de algunos cambiará de forma que muchos ataques no llegarán a producirse. Detectar ataques y otras violaciones de la seguridad que no son prevenidas por otras medidas de protección. Los intrusos, usando técnicas ampliamente conocidas, pueden conseguir accesos no autorizados a muchos sistemas conectados a redes públicas. Esto ocurre cuando vulnerabilidades conocidas no son corregidas. Aunque los vendedores y administradores procuran dar a conocer y corregir estas vulnerabilidades, hay situaciones en las que esto no es posible: o En algunos sistemas heredados, los sistemas operativos no pueden ser parcheados o actualizados. o Incluso en los sistemas en los que se puede aplicar parches, los administradores a veces no tienen el suficiente tiempo y recursos para seguir e instalar las últimas actualizaciones necesarias, sobre todo en entornos que incluyen un gran número de computadores con sistemas operativos y hardware variado. o Los usuarios y administradores pueden equivocarse al configurar sus sistemas. o Un IDS puede detectar cuando un atacante ha intentado penetrar en un sistema explotando un fallo no corregido. De esta forma, el administrador podría ser advertido de respaldar la información del sistema inmediatamente, evitando así que se pierda información valiosa. Detectar preámbulos de ataques (normalmente pruebas de red y otras actividades). Cuando un intruso ataca un sistema, lo hace típicamente en fases predecibles. En la primera fase, este realiza pruebas y examina el sistema o red en busca de un punto de entrada óptimo. En sistemas o redes que no disponen de un IDS, el intruso es libre de examinar el sistema con un Autor: Pablo Astudillo Aguilar 26/06/

15 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones riesgo mínimo de ser detectado. Esto le facilita la búsqueda de puntos débiles en la red. La misma red, con un IDS monitorizando sus operaciones, le presenta una mayor dificultad. Aunque el intruso puede examinar la red, el IDS observará estas pruebas, las identificará como sospechosas, podrá activamente bloquear el acceso del atacante al sistema objetivo y avisará al personal de seguridad de lo ocurrido para que tome las acciones pertinentes. Documentar el riesgo de la organización. Cuando se hace un plan para la gestión de seguridad de la red o se desea redactar la política de seguridad de la organización, es necesario conocer cual es el riesgo de esta ante posibles amenazas, la probabilidad de ser atacada, o, si incluso ya está siendo atacada. Un IDS ayuda a conocer la amenaza existente, fuera y dentro de la organización, brindando soporte en la toma de decisiones acerca de los recursos de seguridad que se deben emplear, y del grado de cautela que se debe adoptar al redactar la política de seguridad. Proveer información útil sobre las intrusiones que se producen. Incluso cuando los IDS no son capaces de bloquear ataques, pueden recoger información relevante sobre éstos. Esta información puede ser usada para corregir fallos en la configuración de seguridad de los equipos o en la política de seguridad de la organización. 1.3 Definiciones Antes de hacer que un sistema o red sea seguro, primero es necesario definir lo que se entiende por términos como seguridad, confianza, vulnerabilidad, etc Seguridad, dos puntos de vista La seguridad se puede entender desde dos puntos de vista; el práctico y el formal. Desde una perspectiva práctica, un sistema seguro es "aquel con que se cuenta que actúe de la manera esperada". Este punto de vista tiene unas explícitas implicaciones de confianza. Pero la confianza no se puede medir. No es posible Autor: Pablo Astudillo Aguilar 26/06/

16 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones confiar en que un sistema se comporte como debe. Nadie puede asegurar que un sistema se está comportando como realmente tiene que hacerlo. Según el enfoque formal, más preciso, la seguridad se define a través de una "tríada de conceptos": confidencialidad, integridad y disponibilidad. La confidencialidad implica que la información sea accedida exclusivamente por el personal autorizado a la misma. La integridad consiste en la necesidad de mantener la información inalterada. La disponibilidad se refiere a la necesidad de ofrecer un servicio ininterrumpidamente, de forma que pueda ser accedido en cualquier momento y desde cualquier lugar, evitando en lo posible que algún tipo de incidencia detenga el mismo Confianza La confianza es la esperanza que se tiene de que un sistema se comporte como realmente debería. Establecer relaciones de confianza sin garantías conlleva la aparición de vulnerabilidades, que se convierten en potenciales amenazas Vulnerabilidad Las vulnerabilidades son deficiencias o agujeros de seguridad del sistema que pueden ser utilizadas para violar las políticas de seguridad. Estas pueden deberse a problemas en el diseño de una aplicación, bien de software o de hardware, o también a un plan poco exhaustivo o insuficiente de políticas de sistema. Autor: Pablo Astudillo Aguilar 26/06/

17 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Amenaza Las amenazas son el resultado de explotar las vulnerabilidades. Una amenaza es una situación que tiene la capacidad de perjudicar o dañar al sistema Políticas de seguridad Las políticas de seguridad son el resultado de documentar las expectativas de seguridad. El concepto de seguridad, como se explicó antes, está relacionado con el comportamiento esperado de un sistema. Se puede afirmar que las políticas de seguridad intentan plasmar de alguna manera en el mundo real, los conceptos abstractos de seguridad Intruso Se llama intruso o atacante a la persona que accede (o intenta acceder) sin autorización a un sistema ajeno, ya sea en forma intencional o no. Los tipos de intrusos se pueden caracterizar desde el punto de vista del nivel de conocimiento, formando una pirámide: 1. Clase A: el 80% en la base son los nuevos intrusos que bajan programas de Internet y juegan a probar lo que sucede. 2. Clase B: es el 12%, son más peligrosos. Saben compilar programas aunque no saben programar. Prueban programas, saben como detectar el sistema operativo que está usando la víctima, prueban las vulnerabilidades del mismo e ingresan por ellas. 3. Clase C: es el 5%. Son personas que saben, que conocen y definen sus objetivos. A partir de aquí buscan todos los accesos remotos e intentan ingresar. 4 GONZALEZ, Diego. Sistemas de Detección de Intrusiones [en línea]. Edición Julio 2003, revisado en julio del 2003 para correcciones tipográficas. Capítulo 2. Términos de Seguridad. Página 13. Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

18 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones 4. Clase D: es el 3% restante. Cuando entran a determinados sistemas buscan la información que necesitan. Para llegar desde la base hasta el último nivel se tarda de 4 a 6 años, por el nivel de conocimiento que se requiere asimilar. 5 Figura 1-1. Tipos de Intrusos Alarmas o Alertas Una alarma es una advertencia emitida por el IDS hacia el administrador del sistema cuando detecta una actividad sospechosa. Los IDS envían alertas hacia una consola local o remota en una variedad de formas como: logs del sistema, archivos planos, s, ventanas emergentes e incluso mensajes de texto a teléfonos celulares. 6 5 BORGHELLO, Cristian. Seguridad Informática, sus Implicancias e Implementación [en línea]. Edición 1. Septiembre Capítulo 1, De quién debemos protegernos. Página 9. Disponible en: 6 CUFF, Andy. Intrusion Detection Terminology (Part One) [en línea]. SecurityFocus. Ultima actualización Septiembre 3, Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

19 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Falsos positivos y falsos negativos Los falsos positivos son alarmas generadas por un IDS en las que se alerta sobre eventos que son en realidad benignos. En otras palabras, son falsas alarmas. Lo opuesto son los falsos negativos, que se dan cuando el IDS falla al identificar una actividad como intrusión cuando en efecto lo era. 7 La clave para cualquier IDS es maximizar las alertas correctas (verdaderos positivos) y, al mismo tiempo, minimizar la ocurrencia de falsos positivos Motivos que originan problemas de seguridad Los problemas de seguridad pueden deberse a una enorme variedad de razones. No obstante, las causas de la mayoría de los problemas de seguridad se divide en tres categorías: diseño/desarrollo, gestión, y confianza Diseño o desarrollo Los problemas originados por un diseño o desarrollo ineficaces afectan tanto al software como al hardware. Un ejemplo de esto ocurre cuando un usuario malicioso substituye un valor en un programa en el intervalo de tiempo en que este no lo está usando. Este fallo se denomina condición de carrera ("race condition"), y tiene lugar cuando aparece un intervalo entre el momento de creación de un valor y el de su chequeo. Otro ejemplo es el que consiste en desbordar el "buffer" de entrada de una determinada aplicación, pasándole como argumentos unos parámetros 7 RANUM, Marcus. False Positives: A User s Guide to Making Sense of IDS Alarms [en línea]. Edición 1. Febrero Definitions. Página 4. Disponible en: ids/whitepaper/falsepositives.pdf 8 FARSHCHI, Jamil. Intrusion Detection In Depth [en línea]. Edición 3.0. Assignment 1. Describe the State of Intrusion Detection. Página 2. Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

20 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones intencionadamente largos, provocando la caída del programa y consiguiendo entrar al sistema. Muchos de estos problemas se pueden prevenir mediante una sólida formación en mecanismos de diseño y desarrollo seguro, y sometiendo a los productos a duros controles de calidad Gestión En este grupo entran los problemas debidos a una incorrecta configuración del sistema o de cualquier mecanismo encargado de protegerlo. Son de índole diversa, como por ejemplo una inadecuada aplicación de los permisos de los archivos de sistema o una plantilla de seguridad demasiado permisiva. También entrarían aquí situaciones en la que bien los administradores o los usuarios sortean los mecanismos de seguridad de alguna manera. Por ejemplo, cuando en una red local, protegida mediante un firewall, alguien decide utilizar un módem para establecer una conexión con el exterior. Esta conexión está burlando los controles establecidos por el administrador Confianza Los problemas más agudos son los relacionados con la confianza. Y muchas veces ocurren por no diferenciar entre el entorno de desarrollo y el de producción. Como ejemplo está el sistema operativo UNIX. Durante sus comienzos, fue desarrollado en un entorno universitario. Con el paso del tiempo, sin embargo, surgieron expectativas comerciales para este sistema. Ya no iba a ser utilizado exclusivamente por programadores o ingenieros de sistemas. Al principio los diseñadores confiaban en que los usuarios utilizaran el sistema según las especificaciones, en un determinado entorno bajo unas características especiales. Los usuarios confiaban Autor: Pablo Astudillo Aguilar 26/06/

21 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones en que hubiera un administrador controlando el sistema de forma fiable y competente. Este escenario sigue teniendo lugar, provocando fallos de seguridad Elementos de la detección de intrusiones: Arquitectura de los IDS Existen varias propuestas sobra la arquitectura de los IDS pero ninguna de ellas se usa mayoritariamente. Esto provoca que los productos de los fabricantes que trabajan con distinta arquitectura tengan serias dificultades para interoperar entre sí. Para que estos productos funcionen juntos debe aplicarse un estándar. Los estándares originales fueron el formato autopost de AusCERT y CIDF. En estos momentos, los esfuerzos de estandarización actuales parecen ser IDWG y CVE y posiblemente algunos productos comerciales CIDF (Common Intrusion Detection Framework) El Marco de Detección de Intrusiones Común fue un primer intento de estandarización de la arquitectura de un IDS. No logró su aceptación como estándar, pero estableció un modelo y un vocabulario para discutir sobre las intrusiones. Mucha gente que trabajó en el proyecto original está fuertemente involucrada en los esfuerzos del Grupo de Trabajo de Detección de Intrusiones (Intrusion Detección Working Group, IDWG) del Internet Engineering Task Force (IETF). Los cuatro tipos básicos de equipos que contempla el CIDF son los siguientes: 1. Equipos E, o generadores de eventos, son los sensores. Su trabajo es detectar eventos y lanzar informes. 2. Equipos A, reciben informes y realizan análisis. Pueden ofrecer una prescripción y un curso de acción recomendado. 9 GONZALEZ, Diego. Sistemas de Detección de Intrusiones [en línea]. Edición Julio 2003, revisado en julio del 2003 para correcciones tipográficas. Capítulo 2. Motivos que originan problemas de seguridad. Página 17. Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

22 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones 3. Equipos D, son componentes de bases de datos. Pueden determinar si se ha visto antes una dirección IP o un ataque por medio de correlación y pueden realizar análisis de pistas. 4. Equipos R, o equipos de respuesta, pueden tomar el resultado de los equipos E, A y D y responder a los eventos. Figura 1-2. Diagrama de Bloques de la Arquitectura CIDF Estos componentes necesitan un lenguaje para comunicarse, aparece entonces CISL (Common Intrusion Specification Language). Este Lenguaje de Especificación de Intrusiones Común se creó con el objetivo de unir los cuatro tipos de equipos de CIDF. Los diseñadores de CISL pensaron que este lenguaje debería ser capaz, al menos, de transmitir los siguientes tipos de información: Información de eventos en bruto. Auditoría de registros y tráfico de red. Sería el encargado de unir equipos E con equipos A. Resultados de los análisis. Descripciones de las anomalías del sistema y de los ataques detectados. Uniría equipos A con D. Autor: Pablo Astudillo Aguilar 26/06/

23 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Prescripciones de respuestas. Detener determinadas actividades o modificar parámetros de seguridad de componentes. Encargado de la unión entre equipos A y R. CISL es un lenguaje bastante complicado, de sintaxis parecida a LISP, que no llegó a cuajar en la comunidad de seguridad Autopost de AusCERT A diferencia de CIDF/CISL, el CERT australiano (AusCERT) desarrolló un sistema de trabajo sencillo que permitía que se analizara y se agregara un informe en una base de datos con tan solo un par de líneas de Perl. Este sistema tiene una alta interoperabilidad y es muy sencillo de construir y analizar. El problema es que los analistas a menudo necesitan un gran nivel de detalle (una fidelidad alta) acerca del evento, por ejemplo, para análisis forense, y en este modelo toda esa información se perdería. La solución de interoperabilidad que parece ser la elegida es IDWG; según progresa el trabajo, la fidelidad de los datos es el indicador a vigilar más importante Arquitectura de IDWG (Intrusion Detection Working Group) El IETF rechazó el enfoque de CIDF debido a su complejidad, y creó un grupo de trabajo llamado IDWG (Intrusion Detection Working Group) que tenía como objetivo el de definir formatos y procedimientos de intercambio de información entre los diversos subsistemas del IDS. Los resultados de este grupo de trabajo serán: 1. Documentos que describan los requerimientos funcionales de alto nivel para la comunicación entre sistemas de detección de intrusiones, y entre estos y sus sistemas de gestión. 2. Un lenguaje común de especificación que describa el formato de los datos. Autor: Pablo Astudillo Aguilar 26/06/

24 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones 3. Un marco de trabajo que identifique los mejores protocolos que se pueden usar para la comunicación entre los IDS y que defina como se mapean en éstos lo formatos de datos. 10 Figura 1-3. Descripción de un Sistema de Detección de Intrusiones del IDWG 1.6 Clasificación de los IDS Generalmente existen dos grandes enfoques a la hora de clasificar a los sistemas de detección de intrusiones: o bien en función de qué sistemas vigilan, o bien en función de cómo lo hacen. Si se elige la primera de estas aproximaciones, se tienen dos grupos de IDS: Basados en Host: analizan actividades de una única máquina, revisando los eventos generados por los sistemas operativos o software de aplicación, en busca de posibles ataques. 10 MIRA, Emilio. Implantación de un Sistema de Detección de intrusos en la Universidad de Valencia [en línea]. Edición 1. Valencia, España. Capítulo 1. Arquitectura de los IDS. Página 15. Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

25 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Basados en Red: analizan paquetes de red, capturados del backbone o de segmentos LAN, en busca de señales de intrusión IDS basados en host (HIDS) Operan sobre la información recogida desde dentro de un computador, como podrían ser los ficheros de auditoría del sistema operativo. Esto permite que el IDS analice las actividades que se producen con una gran precisión, determinando exactamente qué procesos y usuarios están involucrados en un ataque particular dentro del sistema operativo. Los HIDS pueden ver el resultado de un intento de ataque, al igual que pueden acceder directamente y monitorizar los ficheros de datos y procesos del sistema atacado. Ventajas: Al tener la capacidad de monitorizar eventos locales a un host, pueden detectar ataques que no pueden ser vistos por un IDS basado en red. Pueden operar en un entorno en el cual el tráfico de red viaja cifrado, ya que la fuente de información es analizada antes de que los datos sean cifrados en el host origen y/o después de que los datos sea descifrados en el host destino. Herramienta potente, registra comandos utilizados, ficheros abiertos, etc. Tienden a tener menor número de falsos positivos que los IDS basados en red, así como menor riesgo en las respuestas activas. Desventajas: Son costosos de administrar, ya que deben ser gestionados y configurados en cada host monitorizado. Si la estación de análisis se encuentra dentro del host monitorizado, el IDS puede ser deshabilitado si un ataque logra tener éxito sobre la máquina. Pueden ser deshabilitados por ciertos ataques de DoS. Autor: Pablo Astudillo Aguilar 26/06/

26 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Usan recursos del host que están monitorizando, influyendo en el rendimiento del sistema monitorizado. Tienden a confiar en las capacidades de auditoria y logging de la máquina en sí IDS basados en red (NIDS) Los NIDS detectan ataques capturando y analizando paquetes de la red. Escuchando en un segmento, un NIDS puede monitorizar el tráfico que afecta a múltiples hosts que están conectados a ese segmento de red, protegiendo así a estos hosts. Son capaces de comprender todas las diferentes banderas y opciones que pueden coexistir dentro de un paquete de red. Por lo tanto, un NIDS puede detectar paquetes armados maliciosamente y diseñados para no ser detectados por las reglas de filtrado de los firewalls. Habitualmente, los hackers arman ese tráfico para componer un mapa de la red, como una forma de reconocimiento pre-ataque. Los NIDS son capaces de identificar el programa al que se están enviando paquetes en el servidor, y las opciones que se están utilizando, produciendo alertas cuando un atacante intenta explotar alguna falla de esa codificación. La mayoría de las barreras de firewall no pueden hacer esta tarea. Ventajas: Cuando está bien localizado, puede monitorizar una red grande. Tienen un impacto pequeño en la red, siendo normalmente dispositivos pasivos que no interfieren en las operaciones habituales de ésta. Se pueden configurar para que sean muy seguros ante ataques, haciéndolos invisibles al resto de la red. 11 VILLALON, Antonio. Seguridad en Unix y Redes [en línea]. Edición 2.1. España. Julio Capítulo 18. Sistemas de detección de intrusos. IDSes basados en máquina. Página 314. Disponible en: es.tldp.org/manuales-lucas/doc-unixsec/unixsec-html/ Autor: Pablo Astudillo Aguilar 26/06/

27 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Desventajas: Pueden tener dificultades procesando todos los paquetes en redes con mucho tráfico y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto. No analizan la información cifrada. Este problema se incrementa cuando la organización utiliza cifrado en el propio nivel de red (IPSec) entre hosts. Los IDS basados en red no saben si el ataque tuvo o no éxito, lo único que pueden saber es que el ataque fue lanzado. Esto significa que después de que un NIDS detecte un ataque, los administradores deben manualmente investigar cada host atacado para determinar si el intento de penetración tuvo éxito o no. Algunos NIDS tienen problemas al tratar con ataques basados en red que viajan en paquetes fragmentados. Estos paquetes hacen que el NIDS no detecte dicho ataque o que se vuelva inestable. Su implementación de la pila de protocolos de red puede diferir a la pila de los sistemas a los que protege. Muchos sistemas servidores y de escritorio actuales no cumplen en ciertos aspectos los estándares TCP/IP, pudiendo descartar paquetes que el NIDS ha aceptado. Esta inconsistencia de información entre el NIDS y el sistema protegido es la base para las técnicas de ocultación de ataques Topologías de los NIDS La decisión de donde ubicar el NIDS es primaria y determinante. De esta decisión dependerá tanto el equipo que se utilice, como el software NIDS y la base de datos. Existen principalmente tres zonas en las que se puede colocar un NIDS, tal y como muestra la Figura 1-4: Autor: Pablo Astudillo Aguilar 26/06/

28 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Figura 1-4. Zonas de un NIDS dentro de una organización Las características que presenta cada una de estas zonas son: Zona roja: Esta es una zona de alto riesgo. El NIDS debe ser configurado para ser poco sensible, puesto que verá todo el tráfico que entre o salga de la red, y habrá más posibilidad de falsos positivos. Zona verde: El NIDS debería ser configurado para tener una sensibilidad un poco mayor que en la zona roja, puesto que ahora, el firewall deberá ser capaz de filtrar algunos accesos definidos mediante la política de nuestra organización. En esta zona aparecen un menor número de falsos positivos que en la zona roja, puesto que en este punto solo deberían estar permitidos accesos hacia nuestros servidores. Zona azul: Esta es la zona de confianza. Cualquier tráfico anómalo que llegue hasta aquí debe ser considerado como hostil. En este punto de la red se producirán el menor número de falsos positivos, por lo que cualquier alarma del NIDS debe ser inmediatamente estudiada. Es importante destacar que la zona azul no es parte de la red interna. Todo lo que llegue al NIDS de la zona azul irá hacia el firewall (por ejemplo, si se utiliza un proxy-cache para los usuarios de web) o hacia el exterior. El NIDS no escuchará ningún tipo de tráfico interno dentro de la red. Autor: Pablo Astudillo Aguilar 26/06/

29 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones En el caso de tener un NIDS escuchando tráfico interno (por ejemplo, colocado entre una VLAN y su router), las falsas alarmas vendrán provocadas en su mayor parte por máquinas internas al acceder a los servidores de nuestra red, por servidores nuestros (DNS sobre todo) y escaneadores de red, por lo que habrá que configurar el NIDS para que no sea muy sensible. 12 A continuación se analizarán algunos ejemplos de las diferentes posibilidades en una misma red. Considere una red dónde un firewall separa la Internet de la Zona Desmilitarizada (DMZ - Demilitarized Zone), y otro que divide la DMZ de la intranet de la organización como se muestra en la Figura 1-5. Por zona desmilitarizada se entiende la zona de acceso público que se muestra al exterior, desde la cual se ofrece servicios. Figura 1-5. Red con NIDS simple El situar el NIDS antes del firewall exterior permite detectar los escaneos de puertos, actividad típica de reconocimiento que señala el comienzo de una intrusión, y se obtendría como ventaja un aviso prematuro. Sin embargo, si los escaneos no son seguidos por un ataque real, se generará una gran cantidad de alertas innecesarias, con el peligro de comenzar a ignorarlas. En este escenario se captura todo el tráfico de entrada y salida de la red. La posibilidad de falsos positivos es grande. 12 MIRA, Emilio. Implantación de un Sistema de Detección de intrusos en la Universidad de Valencia [en línea]. Edición 1. Valencia, España. Capítulo 1. Dónde colocar un IDS?. Página 22. Disponible en: Autor: Pablo Astudillo Aguilar 26/06/

30 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Si se escoge colocar el NIDS en la DMZ, se tiene como ventaja la posibilidad de adecuar la base de datos de firmas del NIDS para considerar aquellos ataques dirigidos a los sistemas que están en la DMZ (servidores WEB, FTP, Correo, etc), y configurar el firewall para bloquear ese tráfico. Esta ubicación detrás del firewall monitorizará todo el tráfico que no sea detectado y detenido por el firewall, por lo que será considerado como malicioso en un alto porcentaje de los casos. La posibilidad de falsos positivos es muy inferior. Así mismo, un NIDS dentro de la red, por ejemplo de Recursos Humanos, podría monitorear todo el tráfico entrante y saliente de esa red. El resultado se puede visualizar en la Figura 1-6: Figura 1-6. Red con varios NIDS El NIDS 1 se encargaría de reportar el escaneo de puertos, enviando una alarma al responsable de la seguridad de la organización. El NIDS 2 se encargaría de vigilar la zona desmilitarizada y analizar el tráfico que reciben tanto el servidor WEB, como el servidor de correo. Los otros dos se encargarían de la red interna, el NIDS 3 de la totalidad de la red, y el NIDS 4 de una subred, en este caso la de RRHH. Estos dos NIDS internos podrían ser sensores que recogiesen la información y lo enviasen a una consola dónde se realizarían los cálculos. Autor: Pablo Astudillo Aguilar 26/06/

31 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Consideraciones adicionales sobre la topología Los estudios demuestran que la mayoría de los ataques ocurren en las redes internas, por eso debe considerarse seriamente la implementación de NIDS, no solo en la DMZ, sino también en la red interna. La habilidad de un NIDS para hacer su trabajo implica que el sensor es capaz de hacer "sniffing" (capturar y revisar los paquetes que circulan por una red) de todo el tráfico, desde y hacia los sistemas monitoreados, y comparar todos los paquetes con la base de datos de "firmas" maliciosas. Este hecho hace necesaria la instalación del NIDS en un segmento de red que le permita capturar TODO el tráfico a monitorear. Esto se puede lograr instalando puertos espejados en los switches, o instalando hubs en las conexiones uplink de las interfases de los routers o switches. En una red de arquitectura redundante, cada link redundante debe contar con su propio NIDS Un modelo de funcionamiento El modelo más aceptado para la detección de intrusiones tiene tres fases principales: 1. Fase de recogida de datos (fuentes de información). 2. Fase de análisis. 3. Fase de respuesta. En líneas generales, para que la detección de intrusiones pueda obtener buenos resultados, debe llevar a cabo un proceso de recopilación de información, que posteriormente deberá someter a diversas técnicas de análisis, y en función de los datos obtenidos tendrá que dar algún tipo de respuesta. 13 Presentando IDS. NEX Periódico de Networking [en línea]. Edición 3. Disponible en: nex_1/seguridad/nota1.asp Autor: Pablo Astudillo Aguilar 26/06/

32 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones En las siguientes secciones de este capítulo se analizará la fase de recogida de información y se analizarán las diferentes fuentes de información disponibles. En el Capítulo 2 se estudiará la fase de Análisis: las técnicas para procesar esta información. Finalmente, en el Capítulo 3 se expondrán algunos procedimientos de respuesta que implementan algunos IDS activos (detectan y responden a ataques). Como se comentó en la sección anterior, la detección de intrusiones se puede clasificar según las fuentes de información que utiliza. Aquí se estudiarán los casos pertenecientes a la recopilación de datos basados en máquina y en red Fuentes de información basadas en máquina Este tipo de fuentes de información consisten principalmente en registros de auditoría de sistemas operativos (registros generados por mecanismos del sistema operativo), y los registros de sistema (ficheros generados por el sistema y aplicaciones, generalmente ficheros de texto generados línea a línea). Los monitores basados en múltiples "hosts" utilizan las mismas fuentes, por lo que los apartados a continuación también son aplicables a estos Registros de auditoría El primer elemento de importancia en sistemas de detección basados en máquina son los registros de auditoría. Estos registros son una colección de información sobre las actividades del sistema, creados cronológicamente y dispuestos en un conjunto de ficheros de auditoría. Estos registros son originados por los usuarios y los procesos y comandos que estos invocan. Ventajas: La propia estructura del sistema operativo está diseñada para otorgar suficiente seguridad al sistema de auditoría, y los registros que este genera. El sistema de auditoría trabaja a bajo nivel, por lo que ofrece mayor nivel de detalle que el que puede ofrecer otro mecanismo. Autor: Pablo Astudillo Aguilar 26/06/

33 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Desventajas: Gran parte de los sistemas operativos comerciales existentes no cumplen con los requisitos de auditoría necesarios, a pesar de la documentación que hay sobre el tema. Añadir funcionalidades al núcleo del sistema para que genere la información de auditoría necesaria provoca costes en el rendimiento del sistema, y costes asociados al mantenimiento de las alteraciones de los sistemas operativos. Obtener datos excesivamente detallados dificulta la diferenciación entre las actividades originadas directamente por usuarios y aquellas originadas por programas que han tomado la identidad de un usuario Registro de Sistema El registro del sistema ("system log") es otro elemento importante a la hora de recopilar información del sistema. Es un fichero en el que se guardan los eventos generados por el sistema. El sistema operativo UNIX cuenta con una variedad importante de este tipo de registros, relacionados por un servicio común, denominado "syslog". Este servicio genera y actualiza los registros de eventos mediante el proceso syslogd. Ventajas: Aportan información muy útil a los programas de detección de intrusiones, y complementan a los datos provenientes de los registros de auditoría. Son más fáciles de revisar que los registros de auditoría de sistema. Siempre es más conveniente utilizar varias fuentes de información que una sola. Así, se pueden detectar signos de intrusiones a través de las discrepancias encontradas. Desventajas: La seguridad de los registros de sistema es uno de los puntos débiles frente a la de los de auditoría. En este sentido, los registros de sistema son menos fiables que los de auditoría. Autor: Pablo Astudillo Aguilar 26/06/

34 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Los registros de sistema son escritos por aplicaciones, más vulnerables que el subsistema de auditoría. Suelen almacenarse en directorios no protegidos del sistema, relativamente fáciles de localizar y alterar. Están escritos en texto en claro, y no en una forma más críptica como los registros de auditoría, que siempre ayuda más a detectar cambios Información de aplicaciones El nivel de sistema se supone el más robusto e inaccesible para todos salvo los más expertos. Sin embargo, los modelos de seguridad y de protección están en constante evolución, al mismo tiempo que los sistemas operativos. En el futuro, la mayoría de los datos de importancia procederán del nivel de aplicación. Uno de los ejemplos de esta realidad es el progresivo avance de los sistemas distribuidos y los sistemas orientados a objetos. En el sistema operativo Windows NT, muchos de los eventos generados por el nivel de registro de sistema operativo han migrado a almacenes de datos de aplicación. Además, casi todos los sistemas operativos comerciales soportan la entrada de registros de auditoría generados en el nivel de aplicación Fuentes de información basadas en red Los monitores basados en red son quizás los más famosos en el ámbito de la detección de intrusiones. El tráfico de red es el flujo de información tal como viaja por un segmento de red. La recopilación de datos de red tiene varias ventajas. Para empezar, utilizar como fuente de información el tráfico de red, no afecta al rendimiento del resto de las máquinas de la red. Por otra parte, el monitor puede ser transparente al resto de los miembros de la red. Esto significa que puede ser indetectable, lo que es una ventaja ya que no puede Autor: Pablo Astudillo Aguilar 26/06/

35 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones convertirse en objetivo directo de posibles intrusos. Con este propósito, existe la posibilidad de utilizar un cable de sólo recepción ("sniffing cable") para el monitor, de forma que sólo pueda recibir datos, impidiendo físicamente cualquier envío de señales. Una opción equivalente al cable de sólo recepción es el uso de un "network tap" (dispositivo de escucha de red); un dispositivo de aspecto similar a un concentrador de red, que permite a un sniffer pinchar las comunicaciones sin ser detectado. Por último, el tráfico de red puede revelar información sobre ataques que no podrían ser detectables por un monitor basado en máquina. Estos ataques podrían ser basados en paquetes malformados y algunos de denegación de servicio Paquetes de red Para extraer los paquetes de un segmento de red, un NIDS suele utilizar un dispositivo de red en modo promiscuo. Esto hace que el dispositivo genere una interrupción cada vez que detecta algún paquete en la red. Esté método es eficaz, pero tiene inconvenientes. Es útil en los casos en los que el dispositivo está situado en algún punto de la red en el que puede haber tráfico no destinado a sí mismo. Por ejemplo, en redes con switchs (conmutadores), el modo promiscuo no es efectivo, ya que el dispositivo de red sólo recibe el tráfico destinado a él. Por otra parte, un sniffer tampoco puede monitorizar conexiones hechas con un módem, puesto que utilizan distintas interfases. En la Figura 1-7 se observa a la izquierda un escenario con concentrador (hub), en el que el sniffer puede recibir todo el tráfico relacionado con las máquinas que comparten el medio. En la siguiente situación (con switch), el sniffer sólo detecta el tráfico enviado o destinado a él mismo. Por último, se ilustra un tipo de conexión que el sniffer no es capaz de interceptar. Autor: Pablo Astudillo Aguilar 26/06/

36 CAPITULO 1. Introducción a los Sistemas de Detección de Intrusiones Figura 1-7. Escenarios de conexión de un sniffer Captura de paquetes en sistemas Windows Existen numerosas opciones para extraer y analizar los paquetes que pasan por un dispositivo de red utilizando estos sistemas operativos. Spynet, Iris, Windump Ethdump, Ethload, son sólo algunos de los productos que se pueden utilizar para llevar a cabo esta tarea. Con el desarrollo del "Systems Management Server" (SMS), apareció el "Microsoft Network Monitor". Este es el sniffer propuesto por Microsoft. Ofrece la capacidad de capturar paquetes de red con soporte para varios tipos de protocolos, un conjunto de filtros, y la interfaz de usuario común de Windows. También ofrece la posibilidad a una máquina remota conectarse y capturar los datos locales Captura de paquetes en sistemas UNIX Los sistemas UNIX cuentan con una infraestructura en materia de redes bastante más amplia y robusta que Windows. Esto no es así de forma arbitraria. No en vano, fueron los entornos más utilizados para desarrollar la mayoría de las tecnologías de red. El "Lawrence Berkeley National Laboratory" desarrolló el "Berkeley Packet Filter" (BPF). Este filtro utiliza dos componentes, un "network tap" (dispositivo de escucha Autor: Pablo Astudillo Aguilar 26/06/