Modo nids (Network Intrusion Detection System)




descargar 50.83 Kb.
títuloModo nids (Network Intrusion Detection System)
fecha de publicación06.03.2016
tamaño50.83 Kb.
tipoDocumentos
b.se-todo.com > Contabilidad > Documentos
Complemento a documentación de SNORT.
En primera instancia, puede decirse que Snort es un sistema que permite un alto nivel de personalización, optimización y configuración para manipular los paquetes que viajan en una maquina e incluso, aquellos que viajan por el segmento de red, en este orden de ideas, se definen 3 modos básicos de ejecución de Snort, estos son:

Modo Pasivo o sniffer:


Es el modo más básico de ejecución de Snort, consiste simplemente en la captura de los paquetes entrantes y salientes de la maquina y posteriormente, dichos paquetes se enseñan de forma constante en la consola.




Modo Logger:


En una extensión del modo Pasivo, se trata de capturar todos los paquetes entrantes y salientes de la maquina, pero almacenando los resultados de forma persistente al disco duro, este modo tiene algunas características que le permiten a Snort optimizar su ejecución.

Modo NIDS (Network Intrusion Detection System):


Sin lugar a dudas es el modo más interesante (y mas complejo) de Snort, se trata de la captura y manipulación de los paquetes entrantes y salientes del segmento de red, para conseguir esto, Snort se basa en un conjunto de reglas predefinidas que indican que es lo que se debe hacer con cada uno de los paquetes que cumplan con las características de dichas reglas, en este sentido es bastante similar a IPTables, sin embargo permite realizar muchas más acciones en función a lo que se encuentre definido en las reglas declaradas.

Para definir estas reglas, frecuentemente se utiliza un fichero de configuración para tal fin, utilizando la opción “-c” que permite recibir como parámetro un fichero de configuración valido.





Tras la ejecución de los comandos anteriores, se generan una serie de trazas de log que en algunos casos no es necesaria, especialmente con el nivel de detalle que se genera en algunas ocasiones cuando ocurre una alerta, para controlar las opciones de salida de Snort en modo NIDS existen diferentes modos disponibles desde línea de comandos, todos controlados por medio de la opción -A, estos son:


-A fast: Modo de alerta rápido, escribe la alerta en un formato sencillo y solamente con los campos básicos: Fecha, mensaje de alerta, Direcciones IP y puertos de origen y destino.

-A full: Modo de alerta completo, se trata del valor por defecto, y traza todos los campos de una alerta.

-A unsock: Se trata de un modo de alerta interesante, consiste en el envío de las trazas por medio de un socket UNIX a otro programa en la maquina local o remota que se encuentra en espera de conexiones.

-A none: No genera ningún tipo de alerta.

-A console: Se trata del mismo modo de “alerta rápida” indicado anteriormente, pero todas las trazas son enviadas directamente a la consola.

-A cmg: Genera alertas con el estilo CMG.

Para desactivar el logging de paquetes generado utilizando la opción -N, mientras que por otro lado también es posible enviar las alertas generadas al syslog del sistema con la opción -s




Mensajes de Alerta


Los mensajes de alerta generados por Snort, contienen información muy valiosa para saber qué tipos de paquetes viajan por la red y/o para detectar ataques diferentes tipos, sin embargo, como resulta obvio es necesario entenderlos primero. Los mensajes generados por Snort, tienen una estructura definida.

Técnicas de detección

Existen varios técnicas y tipos de detección para los IDS, estos son los más usados y destacados:
Anomalía (anomaly)

Sirve para descubrir patrones anómalos comparándolos con los considerados normales.

Especial interés para aplicación de algoritmos genéticos, redes neuronales y estadística (data mining en general [1])

Se puede separar también en “Protocol Modelling”, que buscan anomalías en los protocolos o configuraciones poco comunes.
Firma (signature)

Comparación de firmas almacenadas contra una porción de un paquete de red.

Reducción del análisis, subconjunto del total.
Objetivo (target)

Generalmente a nivel de sistema operativo, buscan modificaciones en archivos específicos, controles de accesos, uso de recursos. (HIDS en su mayoría)

Existen varios software para administrar los IDS, mirar alertas, etc.
ACID / BASE

Es una consola para el Snort, que trabaja con la base de datos (interfase web, php, apache y mysql).

Oinkmaster

Permite hacer un upgrade de las reglas de forma automática (o semi). IDS Policy Manager

Permite administrar las reglas en forma de políticas por sensor. La interfaz es muy potente pero está hecha para Win32 y no es de código abierto.

SnortCenter

Administra las reglas y maneja remotamente los sensores (interfase web).

Snortsam

Plugin que permite bloquear direcciones IP en los firewalls mas conocidos:
COMERCIALES:

• Checkp*int Firewall-1

• Cisc* PIX firewalls

• Cisc* Routers (con ACLs o Null-routes)

• F*rmer Netscreen, (ahora Juniper)

• WatchGuard Fireb*x

• 8signs (Win32)

• M$ ISA Server (Win32)

• CHX
OPEN SOURCE AND FREE:

• ipchains

• iptables (ebtables tambi´en)

• ipf (conocido en BSD)

• ipfw2 (FreeBSD 5.x)

• pf (OpenBSD packet filter)

Creación de nuevas reglas

Las reglas nos sirven para machear el tráfico contra una “firma”, la cual dispara una alarma (o evento).

Es importante mantener nuestra base de reglas actualizada, pero para mayor eficacia es conveniente armar (o modificar) nuestras propias reglas, de esa manera minimizamos los falsos positivos.

Las reglas que abarcan muchos casos generales, suelen poseer altos índices de falsos positivos, mientras que las particulares no. La idea es dar un detalle de cómo crear nuevas reglas avanzadas, en función de los servicios que deseamos monitorear. Snort permite mucha versatilidad para crear nuevas reglas. La estructura de una regla tiene esta forma:

Algunos ejemplos de reglas para el snort, que no explicaremos en detalle pero son bastante claras, son:
1, Conexión al ftp de usuarios con cualquier nombre, como "warez", muy utilizado en el entorno del pirateo de programas:
alert TCP $EXTERNAL any -> $INTERNAL 21 (msg: "IDS327/ftp_ftp-user-warez"; flags: A+; content: "user warez"; nocase; classtype: system-attempt; reference: arachnids,327;)
2, Intentos de aprovecharse de una de las múltiples vulnerabilidades del IIS, en concreto la de "directory traversal", donde el IIS permite a conexiones remotas moverse por todo el árbol de ficheros del servidor ya que no comprueba (comprobaba si se le ha aplicado el parche) correctamente las cadenas unicode: (la cadena es "..|25|c1|25|1c", que equivale a "../" transformado; el contenido entre “||” indica que es hexadecimal)
alert TCP $EXTERNAL any -> $INTERNAL 80 (msg: "IDS432/web-iis_http-iis-unicodetraversal"; flags: A+; uricontent: "..|25|c1|25|1c"; nocase; classtype: system-attempt; reference: arachnids,432;)
3, conexiones varias a samba:
alert UDP $EXTERNAL any -> $INTERNAL 137 (msg: "IDS177/netbios_netbios-namequery";

content: "CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA|00 00 |"; classtype: info-attempt; reference: arachnids,177;)


Arquitectura del Snort:


Instalando N-Map






Escaneo de puertos al Host 192,168,1,2 con nmap


Integración SNORT + POSTFIX para enviar los reportes por correo electrónico:
Snort tiene muchas registro de habilidad, syslog, unixsock, tcpdumps, CSV, XML, unificado y mi favorito, la base de datos. Todos estos métodos de explotación forestal son grandes si usted va a mirar a través de sus  registros con regularidad. Pero si estás ocupado haciendo otras cosas o mantener Snort no es la principal prioridad que ¿cómo se espera que mantenga al día con los registros.

Me parece que tener resoplido correo electrónico mí cada mañana con un sencillo informe es una forma mucho mejor de asegurar que nadie está atacando a mis sistemas. Sólo me toma un minuto para leer a través del informe y si hay algo que creo que viendo las necesidades que fácilmente se puede acceder a mi base de datos y obtener información tanto en el caso de que necesito. Entonces, ¿cómo configurar correo electrónico los informes , así si se ha instalado Snort en Debian sistema basado en que ya está instalado, no sólo configurar correctamente:

La configuración predeterminada de correo electrónico los informes están siendo enviados a raíz @ dirección local, y si su resoplido del servidor no se está ejecutando en su correo electrónico del servidor a continuación, su poco probable que veamos alguna vez el informe . En primer lugar, si usted no tiene ya que tendrá que instalar después de la revisión , para una sencilla configuración sólo tienes que escribir:

1, configuramos el archivo snort.conf










Usa vez instalado el servidor para envío de correo se debe realizar la configuración:
El fichero de configuracion de postx es /etc/postfix/main.cf.

Características de la conexión
Para enviar correo utilizando el servidor SMTP de Gmail la conexión tiene que estar cifrada con TLS (nueva denominación de SSL), para lo que debemos añadir la Autoridad Certificadora adecuada (en este caso Thawte) y autenticada, para lo que utilizaremos un nombre de usuario (dirección de correo) y contraseña del servicio.

Configuración de main.cf
Tenemos que editar el fichero y añadir las siguientes líneas:
relayhost = [smtp.gmail.com]:587

smtp_use_tls = yes

smtp_tls_CAfile = /etc/postfix/cacert.pem
Para que utilice TLS y confíe en las autoridades certificadoras que se añadan al fichero

cacert.pem
smtp_sasl_auth_enable = yes

smtp_sasl_password_maps = hash:/etc/postfix/sasl/passwd

smtp_sasl_security_options = noanonymous
Donde le decimos a postfix que debe autenticarse mediante SASL y especificamos la ubicación del fichero con la información del nombre de usuario y contraseña.


Datos de autenticación
Creamos el fichero /etc/postfix/sasl/passwd con el siguiente contenido:

[smtp.gmail.com]:587 wilfredurielgarcia@gmail.com:XXXXXXX
Y lo protegemos adecuadamente con:

chmod 600 /etc/postfix/sasl/passwd
El fichero de configuración hay que transformarlo a un fichero indexado de tipo hash mediante la instrucción:
postmap /etc/postfix/sasl/passwd
Que creara el fichero /etc/postfix/sasl/passwd.db


Para el caso se debe configurar una segunda contraseña para que el correo trabaje con aplicaciones de este tipo. He generado mi contraseña y es la que guardo.

Utilización del certificado adecuado
Para añadir la autoridad certificadora Thawte al fichero de certificados que utilizara postfix, hacemos:
cat /etc/ssl/certs/Thawte_Premium_Server_CA.pem >> /etc/postfix/cacert.pem
Previamente debemos haber instalado sudo apt-get install ca-certificates

Comprobación del Servidor de correos
Para realizar la comprobación de que nuestro servidor de correo ha quedado funcionando correctamente realizamos la configuración de segunda contraseña del correo.



Una vez obtenida la contraseña realizamos la prueba simple del envío correcto del correo electrónico.


Podemos ver que el correo ha sido recibido satisfactoriamente:






Ahora el paso siguiente es configurar el SNORT para que haga provecho de este servidor de correos creado y se pueda enviar reportes al correo electrónico de la persona que supervisa el sistema.
Para ello se debe configurar el archivo sudo nano /etc/snort/snort.debian.conf
Ya dentro de este archivo se configura el mismo, de manera que se define el mail al cual se desean recibir los correos, y la frecuencia (numero de correos por dia) con que se desea que se informe al supervisor de las alertas. Donde el valor “1” significa 1xdia y el valor “24” significa 1xHora:

# This file is used for options that are changed by Debian to leave

# the original lib files untouched.

# You have to use "dpkg-reconfigure snort" to change them.

DEBIAN_SNORT_STARTUP="boot"

DEBIAN_SNORT_HOME_NET="[192.168.1.2]/32"

DEBIAN_SNORT_OPTIONS=""

DEBIAN_SNORT_INTERFACE="eth0"

DEBIAN_SNORT_SEND_STATS="true"

DEBIAN_SNORT_STATS_RCPT="[wilfredurielgarcia@gmail.com]"

DEBIAN_SNORT_STATS_THRESHOLD="24"
De esta manera lo hemos configurado para que se reciba un reporte por hora.

Reglas para escaneo por NMAP y NESUSS
Se deben agregar las siguientes reglas para que se realice reporte de un escaneo por NMAP y NESUSS respectivamente:
#alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN synscan portscan"; content:”nessus”; id: 1150204; flags: SF;reference:arachnids,441; #classtype:attempted-recon; sid:630; rev:1;)
#alert icmp $EXTERNAL_NET any -> $HOME_NET any / (msg:”Escaneo ping con nmap”; content:”icmp ping”; id: 11502041; flags:A; ack:0; / #reference:arachnids,28; classtype:attempted-recon; sid:628; / rev:1;)

similar:

Modo nids (Network Intrusion Detection System) iconCo-option of the polarity gene network shapes filament morphology in angiosperms

Modo nids (Network Intrusion Detection System) iconGeneral Surgery and the Digestive System

Modo nids (Network Intrusion Detection System) iconLegion: Lessons Learned Building a Grid Operating System

Modo nids (Network Intrusion Detection System) iconIdentifying institutional relationships in a geographically distributed...

Modo nids (Network Intrusion Detection System) icon1970 Heart, F. E.; Kahn, R. E.; Ornstein, S. M.; Crowther, W. R.;...

Modo nids (Network Intrusion Detection System) iconLat malus: “de modo incorrecto”, “contrario a lo debido”

Modo nids (Network Intrusion Detection System) iconUna primera sentencia: percibir de otro modo

Modo nids (Network Intrusion Detection System) icon1. la patria potestad: quienes la ejercen y modo de ejercicio

Modo nids (Network Intrusion Detection System) iconPlan de manejo organic / organic system plan

Modo nids (Network Intrusion Detection System) iconEn el trasfondo subyace la autolimitación moderna de la razón, expresada...




Todos los derechos reservados. Copyright © 2019
contactos
b.se-todo.com