PDF de programación - Detección de intrusos con Debian GNU/Linux

LinuxFocus article number 274
http://linuxfocus.org

Detección de intrusos con Debian
GNU/Linux

Abstract:

Ahora que toda la información se almacena de manera digital en medios
electrónicos es mucho más ágil acceder a ella por medio de redes de
computadoras que nos permiten el paso de datos a distancia, datos de índole
financiera, gubernamental, militar, industrial y comercial que
lamentablemente son objetivo fácil para las personas malintencionadas que
no cuenten con la ética suficiente para obtenerla o destruirla.

Debido a la falta de conciencia no existen recursos abundantes sobre este
tema en diversos idiomas, en este pequeño artículo haré una revisión
"básica" sobre las técnicas y herramientas que podemos utilizar para detectar
a los intrusos en Linux. Procuraré no repetir información con otras palabras
de manuales de usuarios por lo que me centro en puntos específicos que se
presentan.

_________________ _________________ _________________

by José Salvador González
Rivera
<jsgr(at)linuxpuebla.org>

About the author:

José Salvador González
Rivera es miembro activo del
Grupo de Usuarios Linux de
Puebla en México,
constantemente participa en
eventos para promover el uso
de Software Libre y
principalmente Linux, este
semestre egresó de la
Licenciatura en Sistemas
Computacionales, puedes
contactarlo en
jsgr(at)linuxpuebla.org y
también en
jsgr(at)tec.com.mx

Introducción

Al seleccionar un sistema operativo Linux debemos considerar al gran número de distribuciones que existen,
la mayoría se basan principalmente en RedHat, por ejemplo Conectiva (Brasil), Hispa fuentes(España),
Mandrake(Francia), SuSE (Alemania), Caldera y muchas otras que utilizan el manejador de paquetes RPM.
Otra distribución es Slackware, el cual busca un Unix muy tradicional al seguir utilizando únicamente
archivos de instalación .tgz "Casi" todas son desarrolladas por empresas comerciales, pero Debian no es el
caso. Debian tiene un manejador de paquetes (DPKG) que nos facilita la actualización de programas al buscar
automáticamente las actualizaciones desde Internet y cumpliendo dependencias de archivos y librerías que un
paquete requiera facilitando la administración del sistema y permitiendo siempre estar al día automáticamente
con las nuevas actualizaciones de seguridad.

1/8

¿Porqué Debian GNU/Linux?

Debian también presenta algunas características sustanciales importantes:

1) Carece de fines comerciales y no obedece a urgencias mercantiles.
2) Tiene un buen seguimiento de errores, problemas son arreglados en menos de 48 horas.
3) Desde el principio su principal prioridad es desarrollar un sistema operativo completo y confiable.
4) Es desarrollado por voluntarios en todo el mundo.

Cada nueva versión soporta nuevas arquitecturas de hardware, actualmente estan soportadas: Alpha, ARM,
HP PA−RISC, Intel x86, Intel IA−64, Motorola 680x0, MIPS, MIPS (DEC), Power PC, IBM S/390, Sparc y
actualmente están por soportar Sun UltraSparc y SuperH de Hitachi siendo el sistema Linux que más
arquitecturas soporta.

Dentro de los paquetes existentes en Debian tenemos varias herramientas para la detección de intrusiones en
tiempo real que detectan comportamientos hostiles en una conexión, se suelen clasificar de 2 tipos, los que
monitorean intentos de ataque a toda una red o los que solo monitorean las actividades de un host
determinado.

* Herramientas de host

Utilizamos la herramienta PortSentry para detectar escaneo de puertos, TripWire para detectar modificaciones
a los archivos de sistema y LogSentry para el análisis de bitácoras; siendo el primero y el último parte de la
suite de herramientas llamada TriSentry de Psionic Technologies.

Detección de Escaneo de Puertos

El sistema PortSentry vigila los puertos de nuestro sistema y ejecuta una acción (generalmente un bloqueo) en
caso de detectar un intento de conexión a un puerto que no queremos sea escuchado.

Su página principal se encuentra en http://www.psionic.com/products/portsentry.html y está disponible para
sistemas Solaris, BSD, AIX, SCO, Digital Unix, HP−UX, y Linux.

En Debian puede instalarse tecleando la instrucción:

apt−get install portsentry

Se pueden especificar diferentes niveles de actividad, el modo clásico, stealth y avanzado, toda la
configuración se encuentra en el archivo /usr/local/psionic/portsentry/portsentry.conf

Las principales opciones las consulte directamente de un artículo de José Torres Luque en la revista ES Linux
Magazine y son las siguientes:

TCP_PORTS, aquí se ponen los puertos a logear tanto para el modo clásico como para el stealth. El autor del
programa propone tres listas distintas de puertos según el grado de sensibilidad que queramos aplicar. El
máximo de puertos es 64.

2/8

UDP_PORTS, este es un equivalente al anterior pero para puertos UDP.

ADVANCED_PORTS_TCP, ADVANCED_PORTS_UDP, indican el rango máximo del puerto a usar para el
modo advanced. Todo puerto inferior al indicado será monitorizado salvos los que ya vimos que eran
excluidos. El rango máximo puede ser definido hasta el 65535. Aunque no se recomienda exceder de mas de
1024 pues podría generar falsas alarmas.

ADVANCED_EXCLUDE_TCP, ADVANCED_EXCLUDE_UDP, son una lista de exclusión de puertos,
todo los que aqui se pongan no serán tenidos en cuenta a la hora de monitorear en el modo avanzado. Se
ponen puertos típicos de conexión que sean habituales por clientes remotos y en los que no se este ofreciendo
un servicio real. Por ejemplo: ident

IGNORE_FILE, Aqui especificamos el archivo donde incluiremos las IPs que no tendremos en cuenta al
momento de monitorear, en el también se debería poner las IP de los interfaces locales incluyendo el "lo". Se
podría también incluir las IPs locales.

KILL_ROUTE, aqui podemos poner el comando a ejecutar para bloquear accesos del host atacante. p/e:
iptables −I INPUT −s $TARGET$ −j DROP aqui $TARGET$ sirve para hacer referencia al host atacante.

KILL_RUN_CMD, indicamos un comando a ejecutar antes que se bloquee el acceso al host atacante.

SCAN_TRIGGER, define a los cuantos intentos hará saltar la alarma.

PORT_BANNER, muestra un mensaje en los puertos abiertos con el modo connect.

Una vez configurado tenemos que ejecutarlo en alguno de los 3 modos, para esto se puede elegir las opciones:
para TCP tenemos −tcp (modo básico), −stcp (modo stealth) y −atcp (avanzado), para UDP tenemos −udp,
−sudp, −audp.

Análisis de Integridad

El sistema TripWire permite monitorear la integridad de los archivos del sistema, su página principal se
encuentra http://www.tripwire.org/ y está disponible para el sistema operativo Linux y de manera comercial
para Windows NT, Solaris, AIX y HP−UX.

En Debian puede instalarse tecleando la instrucción:

apt−get install tripwire

Se utilizan dos claves para almacenar la información, la primera "site key" se utiliza para cifrar los archivos
de políticas y configuración, la "local key" se utiliza para cifrar la información que muestra el estado de los
archivos que son monitoreados.

La configuración se realiza de manera sencilla en el archivo /etc/tripwrie/twpol.txt y una vez modificado se
"instala" tecleando la instrucción:

twadmin −m P /etc/tripwire/twpol.txt

Para generar la base de datos inicial con el estado actual de los archivos ejecutamos la instrucción:

3/8

tripwire −m i 2

Para verificar la integridad del sistema de archivos ejecutamos la instrucción:

tripwire −m c

El archivo de configuración puede ser borrado para que un posible intruso no pueda ver que archivos son
revisados por lo que ejecutamos la siguiente instrucción:

rm /etc/tripwire/twcfg.txt /etc/tripwire/twpol.txt

Para crearlos en caso de ser necesario tecleamos la instrucción:

twadmin −m p > /etc/tripwire/twpol1.txt twadmin −m f > /etc/tripwire/twcfg.txt

Análisis de Bitácoras

El sistema LogCheck forma parte de LogSentry, nos permite hacer una revisión de bitácoras de manera más
efectiva pues clasifica y genera reportes de las actividades y errores que realmente se deben consultar, lo hace
en 4 niveles: ignorar, actividad no usual, violación de seguridad y ataque.

Su página principal se encuentra en http://www.psionic.com/products/logsentry.html y está disponible para
sistemas Solaris, BSD, HP−UX y Linux.

En Debian puede instalarse tecleando la instrucción:

apt−get install logcheck

Instala el programa logtail en /usr/local/bin para mantener un registro de que logs ya han sido analizados,
también instala los siguientes archivos:

Logcheck.sh,
Es un script que incluye la configuración básica.

Logcheck.hacking,
Contiene las reglas para identificar los niveles de actividad.

Logcheck.ignore,
Contiene expresiones que no deben reportarse.

Logcheck.violations,
Contiene expresiones que pueden considerarse como violaciones de seguridad.

Logcheck.violations.ignore,
Ignora las expresiones que se encuentren en este archivo.

Para programar el reporte de logs podemos crear un cron que corra el programa cada hora: 0 * * * * /bin/sh
/usr/local/etc/logcheck.sh

4/8

Herramientas de red

Utilizamos la herramienta Snort para registrar los intentos de ataque a nuestra red. Su página principal se
encuentra http://www.snort.org/ y está disponible para BSD, Solaris, AIX, Irix, Windows, MacOS y Linux.
En Debian puede instalarse tecleando la instrucción:

apt−get install snort

Funciona en tres modos, como sniffer, packet logger y como detector de intrusos.

Tiene los siguientes parámetros:

−l directorio
Indicamos el directorio donde se almacenarán los archivos.

−h IP
Especificamos el IP de nuestra red que queramos monitorear.

−b
Captura todos los paquetes en forma binaria.

−r archivo
Procesa un archivo binario.

Modo Sniffer y Packet Logger de Snort

En modo sniffer lee todos los paquetes que pasan por la red y los muestra en consola, en modo packet logger
envía los datos a un archivo dentro de un directorio.

Snort −v

Muestra el IP y las cabeceras.

Snort −dv

También muestra los datos que pasan.

Snort −dev

De manera más detallada.

Modo Detección de int