Intrusion Detection/Prevention Systems SNORT.

Transcripción

1 Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre de

2 1. INTRODUCCIÓN Snort es un sistema para la prevención y detección de intrusiones en la red (IDS / IPS) desarrollado por Sourcefire. Snort es una herramienta de seguridad muy utilizada en linux, con la cual podemos asegurar nuestro equipo o nuestra red. Ofrece muchas posibilidades, un ejemplo es la detección de escaneo de puertos. Snort nos ofrece de forma muy clara las ips que han intentado escanear nuestro equipo, así como la hora del escaneo y detalles sobre los paquetes empleados. Snort ofrece varias opciones para la prevención y detección de intrusos. Los tres modos principales para la prevención de intrusiones son el filtrado integrado, la cooperación con un cortafuegos existente basado en iptables y el modo TCP-RST. Snort como IDS o Sistema de detección de intrusiones basado en la red (NIDS), Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos de aprovechar alguna vulnerabilidad, análisis de protocolos, etc. Todo esto en tiempo real. 2

3 2. MARCO TEÓRICO Un Sistema Snort como IPS (Intrusion Prevention System)es un sistema que permite prevenir las intrusiones. Se trata de un tipo de sistema que permite ir paso a paso más allá de los IDS, ya que puede bloquear determinados tipos de ataques antes de que estos tengan éxito. Cuando Snort trabaja para la prevención de intrusos como filtro integrado, todo el tráfico debe pasar a través del sistema con Snort antes de que llegue a la red interna. Si el tráfico dispara una regla de Snort, se desechan los paquetes que la activaron. La prevención de intrusiones puede impedir el acceso a los sistemas debido a falsos positivos, o ralentizar la red en caso de que haya más tráfico del que el sensor de Snort fuese capaz de manejar. Para el modo integrado, tendremos que añadir enable-inline a la hora de hacer la configuración. Si se dispone de un cortafuegos basado en iptables, podemos configurar Snort para modificar reglas dinámicamente. La opción de iptables reduce algunos de los retardos en el tráfico entrante, pero en general, el sistema será más lento en la respuesta a los ataques. Cada vez que el tráfico malicioso dispara una alerta, Snort envía un comando al sistema que tiene iptables para que bloquee al atacante. Este estilo de IPS, si no se configura correctamente, podría ser manipulado por un atacante con dotes creativas para provocar una denegación de servicio a nuestros propios sistemas. La última opción es permitir a Snort desconectar las conexiones no deseadas mediante el envío de paquetes TCP-RST. Con esto podemos terminar una conexión no deseada desde ambos extremos de la misma. De todas formas, esta solución provoca una condición de carrera entre nuestro IPS y el tráfico malicioso. El IPS tratará de cerrar la conexión antes de que el atacante complete el ataque. El atacante tiene una ventaja en este caso, debido a que el tráfico malicioso ya se encuentra dentro de nuestra red antes de que Snort pueda actuar. Este modo de operar previene ciertos ataques, pero puede resultar menos fiable que las otras técnicas. Si pretendemos instalar un Snort como IPS, primero probaremos el servidor en modo IDS hasta haber ajustado bien la configuración y haber reducido el número de falsos positivos. Una vez satisfechos con la configuración, ya podemos dejar que Snort asuma su nuevo rol de sistema de prevención. 3

4 Un IDS es una herramienta de seguridad que intenta detectar o monitorizar los eventos ocurridos en un determinado sistema informático o red informática en busca de intentos de comprometer la seguridad de dicho sistema. Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host. Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos. Los IDS aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc. Snort está disponible bajo licencia GPL, gratuito y funciona bajo plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad. Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos NmaP. Puede funcionar como sniffer (podemos ver en consola y en tiempo real qué ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS). * Componentes de los IDS. Estos se suelen componer de tres componentes fundamentales. a) Origen de la información: Desde donde se suministra la información usada para determinar donde un intruso ha intentado penetrar. Esos orígenes pueden pueden ser de diferente nivel de monitoreo del sistema, de la red, del host o de las aplicaciones. b) Análisis: Organiza los eventos derivados del origen de la información como intentos de intrusión o que ha tenido una intrusión efectiva. 4

5 c) Respuesta: Acciones que el sistema puede tomar para detectar/eliminar las intrusiones. Estas acciones pueden ser activas (intervenciones automáticas) o pasivas (informes). Los IDS se suelen componer de los siguientes componentes lógicos fundamentales. d) Motor: Componente que desensambla y ensambla paquetes que llegan a él para analizarlos. e) Base de Datos: Componente que almacena los registros alertas y alarmas del IDS. * Arquitectura del IDS Snort. 5

6 * Reglas en Snort. Veamos ahora un ejemplo de regla Snort para alertar de un escaneo nmap del tipo TCP ping: 6

7 3. OBJETIVOS Aprender sobre la instalación y funcionamiento de Snort, crear reglas que nos ayuden a proteger nuestros sistemas de información ante posibles intrusiones. Instalar Snort bajo la plataforma linux en Ubuntu y ponerlo en funcionamiento. Crear algunas reglas en el IDS Snort para observar el funcionamiento. Configurar Snort para detectar cualquier tipo de intrusión por escaneo de puertos y analizar la intrusión por parte del software NMAP. 7

8 4. DESARROLLO DE LA PRACTICA 1. Intalación de snort por medio de consola 2. La consola pedirá una configuración para la instalación del software. Se debe digitar la tecla s y presionar enter para continuar. 8

9 3. En el proceso de instalación snort solicita la dirección IP o el conjunto de las direcciones IP que se desea monitorear. 4. Se realiza una reconfiguración del snort, este se hace para configurar unos para metros adicionales aplicando el siguiente comando. 9

10 5. Se configura para que esnort arranque desde el inicio. 6. Interfaz eth0 que viene por defecto, damos aceptar. 10

11 7. Nuevamente solicitara la red que se desea monitorear. 8. En la instalación preguntaran si se desea recibir las notificaciones de correo electrónico. Se selecciona la opción que se desea y se pulsa la tecla enter. 11

12 9. Si confirmo que se desea recibir las notificaciones por correo electrónico se solicitara que digite el correo electrónico al cual se enviaran las notificaciones. 10. Después preguntara el número mínimo de alertas que deben existir para enviar el informe por correo electrónico. Se debe pulsar aceptar para continuar. 12

13 11. La consola mostrara que snort ha terminado de configurar y que su reinicio para aplicar los cambios es correcto. 12. Se realiza un escaneo general de la red para confirmar el funcionamiento correcto de snort, esto se realiza por medio del comando v el cual permite que snort solo muestre un resumen de cada notificación y con el parámetro i se indica la interfaz de red que se va a monitorear, en este caso la eth0. 13

14 13. Snort se iniciara y mostrara en la pantalla las diferentes notificaciones para las diferentes novedades que se presenten durante la ejecución del sofware. 14. Se pulsa control-c para terminar el análisis y snort mostrara un resumen de la monitorización. 14

15 15. Snort permite configurara nuestras propias reglas, las cuales se incluirán dentro de la configuración de snort para que muestre notificaciones cuando estas reglas sean violadas. Para ello ingresamos al directorio donde están almacenados los archivos que almacenan las reglas predefinidas por snort. /etc/snort/rules Se crea nuestro propio archivo para almacenar nuestras reglas el cual debe tener una extensión.rules 16. Redactamos nuestras propias reglas. En este caso se definió reglas para detectar escaneos realizados por el software nmap. 15

16 17. Se ubica nuevamente la ruta del archivo de configuración de snort para incluir nuestro archivo de reglas en su configuración. 18. se ubica en el final del archivo el segmento donde snort define los archivos de reglas a continuación se incluye el archivo de reglas que se ha creado. 16

17 19. se realiza un escaneo por medio de nmap desde Windows para revisar que la configuración de snort está funcionando. Para ello se debe iniciar el snort por medio del comando: snort -c snort.conf A console i eth0. Se le está diciendo a snort que se inicie cargando el archivo de configuración y muestre las notificaciones en la consola para las novedades que se presenten en la interfaz eth0. Se debe pulsar enter para iniciar snort. 20. Snort queda en espera de sucesos que se presenten para mostrar en pantalla. 17

18 21. En windows realizamos un escaneo con nmap a la máquina de Ubuntu donde se configura el snort a través de la IP que en este caso es La dirección IP de la maquina Windows donde se realiza el escaneo es

19 22. Se revisa la consola de Ubuntu donde se inició snort para verificar si se notifico acerca del escaneo con nmap desde Windows. En los cuadros marcados se observa que detecto el escaneo, el primero con las reglas que se define y el segundo con las reglas por defecto de snort. Igualmente se visualiza la ip que realizo el escaneo que corresponde a la ip de la máquina de Windows. 19

20 5. RECOMENDACIONES Muchos incidentes de seguridad ocurren debido a que los administradores no implementan medidas que contabilicen ataques, o que reconozcan riesgos potenciales como hackers o personal interno infiltrado. En este sentido se recomienda enterarse de la existencia de sistemas como Snort que podrían ser de gran ayuda a la hora de detectar amenazas en la red. Los Routers proveen un gran número de servicios de red que permite a los usuarios mantener procesos y conectividad de red, algunos de estos servicios podrían ser restringidos o deshabilitados para prevenir posibles problemas de seguridad. 20

21 6. CONCLUSIONES Aprendimos a instalar, configurar y crear reglas en Snort instalado en Ubuntu 12.04, el cual es una potente herramienta de administración de red. Es de gran ayuda contar con sistemas como Snort para mantener la seguridad en una red, pero es importante aclarar que los riesgos de seguridad no se pueden eliminar o prevenir completamente. Una política de seguridad es importante para decidir como el riesgo puede ser manejado. Encontrar amenazas de seguridad es importante para eliminarlas y de esta manera que los diferentes procesos que se llevan en las organizaciones se realicen o sean llevados de la mejor manera, en este sentido la confiabilidad se incrementa y se obtiene así margenes de éxito altos. 21