Sistemas

Sistemas de Deteccin de Intrusos
Manuel Humberto Santander Pelez manuel@santander.name
AGENDA
Introduccin Ataques de red
Recoleccin de Evidencia de Ataques
INTRODUCCIN
Instalacin Sensor de Monitoreo Conceptos bsicos computacin forense
Principios del anlisis forense

Metodologa de investigacin forense TCP/IP para deteccin de intrusiones
INSTALACIN SENSOR DE MONITOREO

Sistema Operativo Linux
Versatilidad para el manejo de mltiples protocolos de red Aseguramiento de la integridad de la evidencia en el proceso Distribucin Ubuntu 10.04
Mayores funcionalidades para el manejo de paquetes y dispositivos de red que un sistema operativo Windows
INSTALACIN SENSOR DE MONITOREO (2)
http://www.ubuntu.com
5
INSTALACIN SENSOR DE MONITOREO (3)
http://www.ubuntu.com
6
HERRAMIENTAS INSTALADAS
Herramientas de red
dsniff 2.4b1
ettercap NG 0.7.3 tcpdump 3.9.8
netcat 1.10
nmap 4.53-3 wireshark 1.0.2
ngrep 1.45
tcpreplay tcprewrite
7
AMBIENTE DE TRABAJO
Mquina virtual VMWARE
Modo Host-only: Conexin de red con el sistema operativo principal Adaptador de red directo con la mquina Windows
Configure la red en la mquina virtual

Ejecute dhclient eth1
Verifique la configuracin de red de la respectiva interfaz en la mquina virtual Verifique la conectividad desde el sistema operativo principal
8
CONFIGURACIN DE RED
CONFIGURACIN DE RED (2)
10
INTRODUCCIN
Instalacin Sensor de Monitoreo TCP/IP para deteccin de intrusiones
11
DETECCIN DE INTRUSIONES
Existen numerosas amenazas En la red circula trfico normal y malicioso Es necesario un esquema de monitoreo para eventos maliciosos en la infraestructura de las compaas Una sola intrusin puede ocasionar un impacto catastrfico
Cmo detectamos las intrusiones?
ENCABEZADO IP
Fuente: http://www.networksorcery.com/enp/protocol/ip.htm
ENCABEZADO IP (2)
Version: Versin del Paquete IP IHL (Internet Header Length): Nmero de palabras de 4 bytes que componen el encabezado IP. Si el IHL es mayor a 5, el paquete IP tiene opciones.
Differentiated Services: Prioridad definida para el paquete de acuerdo con el RFC 2474.
ENCABEZADO IP (3)
Total Length: Tamao total del paquete IP en bytes
Identification: Identificacin por cada paquete IP enviado en la conversacin

Flags: Banderas que determinan la fragmentacin del paquete Fragment offset: Posicin del fragmento dentro del paquete total
ENCABEZADO IP (4)
Time To Live (TTL): Campo que se decrementa por cada salto de nivel 3 que tenga el paquete IP Protocol: Nmero del protocolo encapsulado en el paquete IP Header Checksum: Chequeo de errores para el encabezado IP y opciones Source IP and Destination IP address: Direcciones IP fuente y destino.
ENCABEZADO TCP
Fuente: http://www.networksorcery.com/enp/protocol/tcp.htm
ENCABEZADO TCP (2)

Source port: Puerto fuente Destination port: Puerto destino Sequence Number: Nmero de secuencia del paquete en la comunicacin Acknowledge Number: Siguiente nmero de secuencia esperado para recibir en la comunicacin Data offset: Nmero de palabras de 4 bytes en el encabezado TCP
ENCABEZADO TCP (3)

Explicit congestion notification: Campos de control de conexin segn el RFC3168
Control Bits:
URG: Usado para comunicar datos urgentes al stack de TCP/IP ACK: Usado para confirmar la recepcin de un paquete. SYN: Usado para sincronizacin de comunicaciones
ENCABEZADO TCP (4)

Control Bits:
PUSH: Usado para indicar datos en el paquete RST: Usado para terminar una conexin de manera anormal FIN: Usado para terminar una conexin correctamente
Window:
Cantidad de informacin que puede enviarse al mismo tiempo sin ser confirmada por el receptor
ENCABEZADO TCP (4)

Checksum: Cdigo para chequeo de errores del encabezado TCP
Urgent Pointer: Puntero a la informacin urgente que debe ser procesado por el sistema operativo Opciones: Parmetros adicionales para la conexin
ENCABEZADO UDP
Fuente: http://www.networksorcery.com/enp/protocol/udp.htm
ENCABEZADO UDP (2)

Source port: Puerto fuente Destination port: Puerto destino Length: Tamao del encabezado UDP Checksum: Cdigo de chequeo de errores para el encabezado UDP Data: Informacin del paquete UDP
ENCABEZADO ICMP
Fuente: http://www.networksorcery.com/enp/protocol/icmp.htm
ENCABEZADO ICMP (2)

Type: Tipo del mensaje Code: Cdigo del mensaje Length: Tamao del encabezado UDP ICMP Header Checksum: Cdigo de chequeo de errores para el encabezado ICMP Data: Informacin del paquete ICMP. No tiene aplicacin prctica. Es usado por algunas herramientas maliciosas.
EJERCICIO
Cmo catalogara usted los siguientes paquetes?
4600 0020 d2d1 0000 0102 558d 0a01 027e efff fffa 9404 0000 1600 fa04 efff fffa
4500 0028 d2d3 4000 8006 dd56 0a01 027e 0a78 33af 0dc3 06b3 a1c3 a798 0921 1f24 5010 ff37 dfdf 0000 4500 003c da85 0000 ff01 c9ba 0a01 0101 0a01 027e 0000 d35b 0200 8000 6162 6364 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 7576 7761 6263 6465 6667 6869
EJERCICIO (2)
Cmo catalogara usted los siguientes paquetes?
4500 0028 879a 4000 4006 9a7c 0a01 023a 0a01 027e 1f90 0e7d 7b0b 92c5 e52e ceed 5010 c1e8 e537 0000 0000 0000 0000 4500 006e f0f4 0000 7e11 012d 0a78 3367 0a01 027e 0035 0e80 005a e721 0001 8580 0001 0001 0000 0000 0331 3033 0235 3103 3132 3002 3130 0769 6e2d 6164 6472 0461 7270 6100 000c 0001 c00c 000c 0001 0000 04b0 001a 0865 706d 2d64 6330 3104 636f 7270 0365 706d 0363 6f6d 0263 6f00
AGENDA
28
ATAQUES DE RED
Reconocimiento Tipos de exploits
29
RECONOCIMIENTO
Portscanners Preguntas a DNS
Google Hacking
30
PORTSCANNERS
Su finalidad es determinar si un puerto est o no abierto
Tcnicas TCP:
Connect Scan SYN Scan
Tcnica UDP
UDP Scan
CONNECT SCAN
SYN SCAN
SYN SCAN (2)
UDP SCAN
UDP SCAN (2)
NMAP
Es el portscan ms popular de Internet http://www.nmap.org Soporta varios tipos de portscan
SYN Scan
FIN Scan
XMAS scan (Bits SFPUA activos) Connect Scan
UDP Scan
NMAP (2)
Connect Scan
nmap -sT <direccin ip>
Christmas Scan
nmap -sX <direccin ip>
Syn Scan
nmap -sS <direccin ip>
UDP Scan
nmap -sU <direccin ip>
NMAP (3)
NMAP (4)
NMAP (5)
NMAP (6)
EJERCICIO
En la red se encuentra una mquina Linux vulnerable. Ejecute un portscan y determine los puertos TCP y UDP abiertos.
RECONOCIMIENTO
Google Hacking
44
SERVICIO DNS
Domain Name Service Servicio que permite manejar la conversion entre nombres de mquina y direcciones IP a nivel mundial Compuesto por 8 servidores DNS distribuidos a nivel mundial
Estos a su vez se distribuyen en muchos mas Nombres:
a.root-servers.net (198.41.0.4): Verisign INC
b.root-servers.net (192.228.79.201): Information Science institute
45
SERVICIO DNS (2)

Nombres:
c.root-servers.net (192.33.4.12): Cogent Communications
d.root-servers.net (128.8.10.90): University of Maryland

e.root-servers.net (192.203.230.10): NASA Ames Research Center f.root-servers.net (192.5.5.241): Internet Systems Consortium g.root-servers.net (192.112.36.4): U.S. DoD Network Information Center h.root-servers.net (128.63.2.53): U.S. Army Research Lab
46
SERVICIO DNS (3)

Nombres:
i.root-servers.net (192.36.148.17): Autonomica j.root-servers.net (192.58.128.30): Verisign INC k.root-servers.net (193.0.14.129): RIPE NCC l.root-servers.net (199.7.83.42): ICANN m.root-servers.net (202.12.27.33): WIDE Project
DNS autoritativos para cada top-level domain

Redundantes entre s Sirven como referencia para que las compaas de registro de dominios registren los DNS
47
SERVICIO DNS (4)

Servidores DNS dominio colombiano
48
SERVICIO DNS (4)

Servidores DNS dominio .com
49
TIPOS DE REGISTRO DNS

A: Mapeo entre nombre de mquina y direccin IP
PTR: Mapeo entre direccin IP y nombre

MX: Intercambiador de correo del dominio NS: Nameserver autoritativo para el dominio
SOA: Start of Authority. Descripcin del DNS autoritativo para el dominio

HINFO: Texto informativo asociado al objeto buscado
50
ATAQUES DE RECONOCIMIENTO A DNS

Algunos servidores estn mal configurados y permiten transferencia de zonas
Toda la informacin de los equipos con direcciones IP pblicas se comparte

Comandos para transferencia de dominio
host l dominio
dig @dns_ip dominio t AXFR
51
ATAQUES DE RECONOCIMIENTO A DNS (2)
52
RECONOCIMIENTO
Google Hacking
53
INFORMACIN DISPONIBLE EN INTERNET

Muchas compaas tienen presencia en Internet
Tienen aplicaciones con las que tienen interaccin los usuarios

Google indexa aplicaciones la informacin de las
pero tambin cualquier otra informacin que coloquemos en los sitios web!!
54
DIRECTIVAS DE BSQUEDA EN GOOGLE

Directiva site
Permite buscar las palabras clave dentro de las mquinas indexadas de un dominio especfico site:internic.net
Directiva link
Muestra todos los sitios enlazados a un sitio web especfico link:www.eltiempo.com
55
DIRECTIVAS DE BSQUEDA EN GOOGLE (2)

Directiva intitle
Muestra las pginas que tengan como ttulo las palabras clave buscadas intitle:exploit
Directiva inurl
Muestra las pginas web que tengan dentro de su URL las palabras clave buscadas inurl:hack
Directiva related
Muestra pginas relacionadas a la buscada
56

Directiva cache
Busca versiones guardadas del estado de las pginas web indexadas Slo permite ver cdigo HTML. Las pginas se cargan del sitio web original Existe un sitio web con ms historial: http://www.archive.org Desde dicho sitio web se cargan las imgenes y el cdigo html
57

Directiva filetype
Busca archivos de una extensin especfica. Se utiliza comnmente en conjunto con site site:eltiempo.com filetype:xls
Pueden utilizarse mltiples combinaciones de directivas Si existe en el sitio web, es muy probable que google lo haya indexado
Disponibilidad de indice de informacin confidencial para el resto del mundo

58
EJEMPLOS
Archivos de configuracin mysql
filetype:cnf my.cnf -cvs example
Cmaras web mal configuradas

intitle:Live View / AXIS | inurl:view/view.sht
Impresoras HP en Internet?
inurl:hp/device/this.LCDispatcher
Archivos de passwords en excel

filetype:xls username password email
59
EJERCICIO
Sobre una plataforma en la cual usted tenga permiso, realice consultas de google para determinar si existen vulnerabilidades interesantes que pudiera aprovechar Considere las existentes en este sitio web: http://www.hackersforcharity.org/ghdb/
60
ATAQUES DE RED
Reconocimiento Tipos de exploits
61
TIPOS DE EXPLOITS
Buffer overflow Denial of Service
Punteros desligados (dangling pointers)

SQL Injection Cross Site Scripting FTP Bounce attack Brute force
62
TIPOS DE EXPLOITS (2)

Buffer overflow
Teniendo en cuenta el siguiente cdigo:
Cul es el resultado?
63

Buffer overflow
Compilemos el programa
Y ahora ejecutemoslo. Cul es el valor de a?
64

Buffer overflow
Por qu? Por la manera como el sistema operativo reserva la memoria

b 1 2 3 a 4
65

Buffer overflow
Recordemos que cuando un ejecutable se carga en memoria, crea los siguientes segmentos
Code Segment BSS Segment Heap Segment Stack Segment
Code Segment: Segmento que contiene las instrucciones a ejecutar en el procesador BSS Segment: Segmento que contiene las variables no inicializadas y las variables estticas
Heap Segment: Segmento que contiene los datos dinmicos

66

Buffer overflow
Stack segment: En este segmento se guarda la informacin correspondiente a los registros del procesador en cada momento de la ejecucin Considere el siguiente programa:
67

Buffer overflow
Qu ocurre si colocamos considerable de letras A? Compilemos el programa un nmero
Ejecutemos el programa
68

Buffer overflow
Efectivamente ocurri un error de escritura en los lmites de la memoria
Logro sobreescribir los registros?
69

Buffer overflow
70

Buffer overflow
El registro base pointer y el stack pointer fueron sobreescritos con 0x41414141 Si verificamos a qu corresponde el hexadecimal 41 en ASCII, veremos que es la letra A. Esto ocurri porque se violaron dos lmites de memoria
AAAAAAAAA AAAAAAAAAA AAAAAA Code Segment BSS Segment Heap Segment Stack Segment
71

Buffer overflow
Si la memoria se sobreescribe con cdigo objeto ejecutable, se pueden reescribir los registros del procesador para que se ejecute el cdigo que el atacante decida Esto permite ejecucin de comandos con los privilegios del usuario que est ejecutando el programa Si los programas ejecutan con privilegios de sistema operativo o de usuario administrador, imaginen las posibilidades
72

Denial of service
Su objetivo es causar la interrupcin del servicio de una mquina o de un programa en particular Varios tipos de denial of service en una mquina
Explotacin de una vulnerabilidad del sistema operativo Congestin del canal de red para acceder a un servidor especfico
El primer caso materializa en Windows una pantalla azl y en UNIX un Kernel Panic.
Cmo se puede congestionar la red de datos para causar Denial of Service?

73

Denial of service
El mximo trfico que puede generar el cliente es lo que soporte su tarjeta de red El servidor normalmente tiene una tarjeta de red de alta capacidad Es dificil congestionarlo con trfico de un equipo
74

Denial of service
Qu pasa si 100000 equipos empiezan a mandar un paquete ICMP echo request a la misma direccin IP?
75

Denial of service
Qu pasa si 100000 equipos empiezan a mandar un paquete ICMP echo request a la misma direccin IP?
Cul es el ancho de banda de un canal de internet corporativo promedio? Qu le ocurrira a la salida a Internet de una compaa?
76

Denial of service
Puede ocasionarse denial of service a los servicios de la mquina
Vulnerabilidades especficas
en
programas
versiones
Exploits posiblemente disponibles en las herramientas de anlisis de vulnerabilidades y en los sitios web especializados del tema

Su objetivo es escribir punteros en memoria con direcciones donde se encuentra cdigo interesante para el atacante
77

Considere el siguiente cdigo:
78

Cul es el valor del puntero ptr, una vez se libera la memoria dinmica reservada por ste?
79

Cuando el contenido de la memoria se libera, la direccin del puntero se conserva Esta vulnerabilidad permite inyeccin de cdigo en la memoria a partir de la conservacion de direcciones en memoria
Ms informacin en https://www.blackhat.com/presentations/bh-usa07/Afek/Whitepaper/bh-usa-07-afek-WP.pdf
80

SQL Injection
Considere una aplicacin que tenga una pantalla de inicio de sesin:
81

SQL Injection
La programacin de la pgina web contiene lo siguente: consulta := "SELECT * FROM usuarios WHERE nombre = '" + nombreUsuario + "';"
Qu puede ocurrir con esta aplicacin a partir de los datos entrados? Dos escenarios: msantand y msantand; DROP TABLE usuarios;
82

SQL Injection
Primer caso:
Se ejecuta la consulta normalmente
El inicio de sesion resulta exitoso o fallido si existe el usuario
Segundo caso:
Se ejecuta lo siguiente:
SELECT * FROM usuarios WHERE nombre msantand'; DROP TABLE usuarios; =
Los comandos inyectados se ejecutan con los privilegios del usuario de la base de datos que accede la aplicacin Imagine las posibilidades
83

Cross Site Scripting
Se basa en el procesamiento de cdigo HTML por parte de las aplicaciones web y la exposicin de las mismas al navegador web, permitiendo la ejecucin de cdigo malicioso para otros usuarios que accedan la aplicacin
Considere la siguiente aplicacin:
84

Qu pasa si digito Andres?
Y que pasa si mi nombre es <script type="text/javascript"> alert("Tengo un nombre extrano"); </script>?
85

Forma sencilla de insertar cdigo malicioso en las aplicaciones para que otros usuarios los ejecuten
86

FTP Bounce attack
Considere el siguiente esquema de red
87

FTP Bounce attack
Servidores en DMZ protegidos por un firewall
DNS tiene permitidos los puertos 53/TCP y 53/UDP
Servidor de correo tiene permitidos el 25/TCP y 110/TCP Servidor FTP tiene permitidos 21/TCP y 20/TCP
Qu implicaciones tiene colocar un servidor FTP en una DMZ?

El protocolo FTP tiene inmerso el comando PORT para abrir la conexin para transferencia de datos
88

FTP Bounce attack
Permite realizar portscan indirectos mquinas que estn alrededor a las
No es necesario tener activos los puertos en el firewall Permite enfocar mejor los ataques, una vez se conocen los servicios abiertos de las mquinas
89

FTP Bounce attack
Permite realizar portscan indirectos mquinas que estn alrededor a las
No es necesario tener activos los puertos en el firewall Permite enfocar mejor los ataques, una vez se conocen los servicios abiertos de las mquinas
Brute Force
Su objetivo es conseguir mediante suposicin la contrasea correspondiente a un nombre de usuario
90

Brute Force
Existen mltiples diccionarios en mltiples idiomas que permiten determinar un universo interesante de claves para ensayar si la buscada se encuentra dentro de estas Existen programas que ensayan todas las combinaciones de cadenas de caracteres ASCII Funciona en todos los casos pero el tiempo para la solucin es considerablemente grande No es efectivo si existe una poltica de bloqueo por intentos fallidos
91
AGENDA
92
RECOLECCION DE EVIDENCIA DE ATAQUES

Analizadores de protocolos Repositorios de evidencia
93
ANALIZADORES DE PROTOCOLOS
Su finalidad es recolectar informacin correspondiente al trfico que est pasando a la interfaz de red del equipo. Vulnerabilidades en protocolos (texto plano?) til cuando hay ataques desconocidos
Antivirus no detecta Firewall no detecta IDS no detecta Qu pasa entonces?
ANALIZADORES DE PROTOCOLOS (2)

Los filtros de Wireshark permiten filtrar el trfico de red en bsqueda de parmetros especiales que puedan ser de nuestro inters
Ms informacin en http://www.networksorcery.com/enp/protocol/ip.ht m
Estos filtros son la base de las firmas que se colocan en los Sistemas de Deteccin de Intrusos

tcpdump/windump
Basado en libpcap Analizador de protocolos en modo texto Funciona en Windows y UNIX Permite la aplicacin de filtros para depurar capturas de red Permite hacer dump hexadecimal de los paquetes de red

tcpdump/windump
i: Interfaz para captura de paquetes n: No resuelva direcciones IP X: Dump hexadecimal del paquete r <archivo pcap>: Lectura de un archivo de captura de red w <archivo pcap>: Escritura de un archivo de captura de red
<filtro>: Filtro para aplicar en la captura

tcpdump/windump
Las siguientes primitivas de filtros son vlidos:
o Direccin de trfico: src, dst, src and dst, src or dst o Protocolo: ether, fddi, ip, ip6, arp, rarp, decnet, tcp, udp, icmp, igmp
o Tipo de origen o destino: host, net, port
En windows, debe enumerar primero las interfaces con el comando windump -D
EJERCICIO
Intercambie la informacin de su direccin IP con alguno de sus compaeros
Inicie una captura de red con wireshark

Inicie un portscan a la direccin IP de su compaero con NMAP Detenga la captura de red Defina y aplique un filtro para conocer los puertos abiertos de la maquina remota
EJERCICIO (2)
Defina y aplique un filtro para conocer los puertos cerrados de la maquina remota Hay alguna forma de saber, desde la captura de red, qu sistema operativo tiene la mquina que usted est escaneando? Utilice nmap para realizar un syn scan, un connect scan y un UDP scan. Cmo se define el patrn de cada uno de estos tipos de scan en trminos de la variacin de los campos de los encabezados tcp, udp e ip?
EJERCICIO (3)
Utilizando wireshark, Qu filtros colocara usted para determinar qu puertos estn abiertos? Qu filtros colocara usted para determinar qu puertos estn cerrados? Utilice nessus contra la mquina del profesor y realice una captura de red. Qu ataques puede reconocer? Cmo parametrizara el ataque en trminos de los encabezados tcp, udp, icmp e ip?
RECOLECCION Y PROCESAMIENTO DE EVIDENCIA

Analizadores de protocolos Repositorios de evidencia
106
FIREWALLS
Dispositivo utilizado para el control de accesos a mquinas individuales o zonas de red Control mediante reglas
Encabezados de los protocolos: nivel 3 Encabezados y contenidos de los protocolos: nivel 7
Recolecta evidencia por conexiones exitosas e intentos de conexin no autorizados Tipos de firewalls
Nivel 3: Stateful Packet Filter y Packet Filter
FIREWALLS (2)
Tipos de firewalls
Nivel 7: Proxy Packet Filter: Realiza el control de trfico mediante reglas correspondientes a los encabezados ip, tcp, udp, icmp.
Stateful Packet Filter: Iguales funcionalidades pero realiza el control de sesin de los paquetes
Proxy: Realiza el control de trfico mediante inspeccin del contenido y el origen de la transmisin
FABRICANTES FIREWALLS
Comerciales
Cisco ASA (http://www.cisco.com/en/US/products/ps6120/index.html) Checkpoint Power-1 (http://www.checkpoint.com/products/power-1/index.html) 3com Firewall (http://www.h3cnetworks.com/en_US/product.page?pathtype= Purchase&category=CAT_SECURITY&class=CLS_SEC_APP LIANCES&family=FAM_SP_FRWL&product=0235A11L&nam e=H3C-SecPath-F100-A-Advanced-VPN-Firewall) Astaro Security Gateway (Linux) (http://www.astaro.com/our_products/astaro_security_gateway ) ISA Server (Proxy Microsoft)
FABRICANTES FIREWALLS (2)

Libres
iptables Ip filter (http://coombs.anu.edu.au/~avalon/) Squid Proxy(http://www.squid-cache.org/) Delegate Proxy (http://www.delegate.org/)
Cmo escoger cul usar? Dependiendo de las funcionalidades requeridas y el presupuesto disponible
IPTABLES
Firewall en kernel disponible para Linux Funcionalidades
Stateful Packet Filtering NAT
Tres tipos de cadenas

INPUT: Trfico de entrada para el firewall OUTPUT: Trfico de salida del firewall
FORWARD: Enrutamiento de trfico en el firewall
IPTABLES (2)
Definicin de reglas
Soporta protocolos TCP, UDP, ICMP e IP Puede referenciarse cualquiera de los campos correspondientes a los encabezados de los protocolos
Permite negar o admitir trfico

No permite autenticacin de usuario para activar reglas personalizadas
IPTABLES (3)
Argumentos para reglas:
s: Direccin ip fuente o direccin de red fuente. La direccin de red puede darse en formato CIDR d: Direccin ip destino o direccin de red destino. Tambin puede darse en formato CIDR.
p: Protocolo. Puede ser tcp, udp, icmp o ip.

-source-port: Puerto fuente -destination-port: Puerto destino
-j LOG: lleva registro del trfico donde la regla haga match
IPTABLES (4)
Argumentos para reglas:
-tcp-flags [SYN|RST|ACK|FIN|PUSH|URG]: Realiza match con las banderas tcp definidas. -state [INVALID|ESTABLISHED|NEW|RELATED]
o INVALID: El paquete no pudo ser identificado como parte de una conexin o ESTABLISHED: El paquete est asociado a una conexin previamente establecida o NEW: El paquete est iniciando una conexin o RELATED: Inicio de una conexin nueva pero relacionada a otra establecida previamente (Ej: FTP)
IPTABLES (5)
Existen manejadores grficos para evitar teclear comandos en modo texto
fwbuilder (http://www.fwbuilder.org/)
Bifrost (http://freshmeat.net/projects/bifrost-fw/)
Ms informacin en http://iptablestutorial.frozentux.net/other/iptables.html (Anexo 1)
IPTABLES (6)
Ejemplo: Realice una regla para restringir la salida de trfico de internet slo a http a la mquina www.google.com
iptables A FORWARD p tcp s 192.168.17.0/24 d www.google.com --destination-port 80 j ACCEPT
IPTABLES (7)
Ejemplo: Realice una regla para permitir conexiones entrantes ssh a la mquina ssh.homelinux.org
iptables A FORWARD p tcp s 0.0.0.0/0 d ssh.homelinux.org --destination-port 22 j ACCEPT
IP FILTER
Firewall en kernel disponible para Linux Funcionalidades
Packet Filtering NAT
Dos tipos de cadenas

block: Bloquea trfico entre dos interfaces pass: Permite trfico entre dos interfaces
IP FILTER (2)
Definicin de reglas
Soporte de protocolos tcp, udp, icmp e ip Bloqueo de entrada y salida de trfico en las interfaces Uso de in y out para determinar la direccin del trfico Comodn all para todas las direcciones ip Directiva port para especificacin del puerto Ms informacin en http://www.obfuscation.org/ipf/ipf-howto.html
IP FILTER (2)
Ejemplo: Permitir acceso por http a Internet a travs de la interfaz de salida eth1
pass out quick on eth1 proto tcp from 192.168.17.0/24 to all port = 80 block out quick all on eth1
Ejemplo: Permitir acceso por ssh a la maquina intercambio.udi.edu.co a travs de la interfaz de entrada eth1
pass in quick on eth1 proto tcp from all to intercambio.udi.edu.co port = 22 block in quick all on eth1
SQUID
Proxy para plataformas Linux y Windows Permite habilitar cache para navegacin de http y ftp Permite bloqueo de contenido
Extensin dansguardian: http://dansguardian.org/
Puede instalarse en la mquina con salida a Internet

O una maquina alterna con salida habilitada por FW
SQUID (2)
Desde Ubuntu se instala as:
apt-get install squid
Para iniciar el servicio:

/etc/init.d/squid start
Para parar el servicio:

/etc/init.d/squid stop
DELEGATE
Proxy para mltiples servicios
FTP, HTTP, SOCKS, SSL, POP3, IMAP, LDAP, SMTP, DNS
Gateway entre mltiples protocolos

Proxy ipv4 a ipv6 http a samba http a ftp ftp a sftp Qu otros?
DELEGATE (2)
Usos ms comunes
Proxy: delegate P8080 SERVER=http ftp a ssh: delegated -P21 SERVER=ftp MOUNT="/* sftp://server/* servidor relay smtp: delegated -P25 SERVER=smtp
Ms informacin en:
http://www.delegate.org/delegate/HowToDG.html http://www.delegate.org/delegate/Manual.htm
SNORT
IDS/IPS codigo abierto Dos tipos de reglas
Community: Libres sin costo Licenciadas: Pago completo con mltiples tipos de detecciones
Reglas: /etc/snort/rules Modos de operacin

Inline: Todo el trfico pasa por l

Sistemas

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Sistemas

Uploaded by

Copyright:

Available Formats

Sistemas de Deteccin de Intrusos

Manuel Humberto Santander Pelez manuel@santander.name

Recoleccin de Evidencia de Ataques

Principios del anlisis forense

INSTALACIN SENSOR DE MONITOREO

INSTALACIN SENSOR DE MONITOREO (2)

INSTALACIN SENSOR DE MONITOREO (3)

Configure la red en la mquina virtual

CONFIGURACIN DE RED (2)

Cmo detectamos las intrusiones?

Identification: Identificacin por cada paquete IP enviado en la conversacin

ENCABEZADO TCP (2)

ENCABEZADO TCP (3)

ENCABEZADO TCP (4)

ENCABEZADO TCP (4)

ENCABEZADO UDP (2)

ENCABEZADO ICMP (2)

Recoleccin de Evidencia de Ataques

SYN SCAN (2)

UDP SCAN (2)

SERVICIO DNS (2)

d.root-servers.net (128.8.10.90): University of Maryland

SERVICIO DNS (3)

DNS autoritativos para cada top-level domain

SERVICIO DNS (4)

SERVICIO DNS (4)

TIPOS DE REGISTRO DNS

PTR: Mapeo entre direccin IP y nombre

SOA: Start of Authority. Descripcin del DNS autoritativo para el dominio

ATAQUES DE RECONOCIMIENTO A DNS

Toda la informacin de los equipos con direcciones IP pblicas se comparte

ATAQUES DE RECONOCIMIENTO A DNS (2)

INFORMACIN DISPONIBLE EN INTERNET

Tienen aplicaciones con las que tienen interaccin los usuarios

DIRECTIVAS DE BSQUEDA EN GOOGLE

DIRECTIVAS DE BSQUEDA EN GOOGLE (2)

DIRECTIVAS DE BSQUEDA EN GOOGLE (2)

DIRECTIVAS DE BSQUEDA EN GOOGLE (3)

Disponibilidad de indice de informacin confidencial para el resto del mundo

Cmaras web mal configuradas

Archivos de passwords en excel

Punteros desligados (dangling pointers)

TIPOS DE EXPLOITS (2)

TIPOS DE EXPLOITS (3)

Y ahora ejecutemoslo. Cul es el valor de a?

TIPOS DE EXPLOITS (4)

Por qu? Por la manera como el sistema operativo reserva la memoria

TIPOS DE EXPLOITS (5)

Heap Segment: Segmento que contiene los datos dinmicos

TIPOS DE EXPLOITS (6)

TIPOS DE EXPLOITS (7)

TIPOS DE EXPLOITS (8)

Efectivamente ocurri un error de escritura en los lmites de la memoria

Logro sobreescribir los registros?

TIPOS DE EXPLOITS (9)

TIPOS DE EXPLOITS (10)

TIPOS DE EXPLOITS (11)

TIPOS DE EXPLOITS (12)

Cmo se puede congestionar la red de datos para causar Denial of Service?

TIPOS DE EXPLOITS (13)

TIPOS DE EXPLOITS (14)

TIPOS DE EXPLOITS (15)

TIPOS DE EXPLOITS (16)