PDF de programación - Intrusiones - Semana 3: Control Control de Acceso

Semana 3: Control de Acceso
Semana 3: Control de Acceso

Intrusiones

Aprendizajes esperados

Contenidos:
• Verificación de la seguridad
• Detección de Intrusiones
• Detección de Intrusiones
• Métodos de ataque

¿Q é
INTRUSIÓN?
¿Qué es una INTRUSIÓN?

i

Ó

d fi

• Vamos a definir INTRUSIÓN como cualquier
intento de comprometer la confidencialidad,
integridad o disponibilidad de un sistema
informático, o de eludir los mecanismos de
seguridad de éste.

i

l

• Las intrusiones se pueden producir de varias

formas:
 Atacantes que acceden a los sistemas desde
 Atacantes que acceden a los sistemas desde

p

p

Internet.

INTRUSIÓN?
¿Qué es una INTRUSIÓN?
¿Q é
i
d l

 Usuarios autorizados del sistema que intentan
ganar privilegios adicionales para los cuales no
están autorizados.

i d

i

i

tá

t

i d

 Usuarios autorizados que hacen un mal uso de
los privilegios o recursos que se les ha sido
asignados.

• Para diferenciar de forma clara lo que es intrusión
de lo que no lo es, una organización debería
establecer una política de seguridad, donde se
deje claro qué está permitido y qué no.

¿Q é
IDS?
¿Qué es un IDS?
Ó

(

de

• Un SISTEMA DE DETECCIÓN DE INTRUSOS o
IDS (Intrusion Detection System) es una
intenta
herramienta
detectar o monitorizar los eventos ocurridos
detectar o monitorizar los eventos ocurridos
en un determinado sistema informático en
busca de intentos de intrusión
busca de intentos de intrusión.

y
seguridad

)
que

IDSIDS

• En términos de funcionamiento,

IDS
buscan patrones previamente definidos que
p
q
actividad
impliquen
sospechosa o maliciosa sobre nuestra red o
sospechosa o maliciosa sobre nuestra red o
host.

los

p

cualquier

tipo

de

IDSIDS

• Los IDS permiten aportar a la seguridad del
sistema una capacidad de prevención y de
alerta anticipada ante cualquier actividad
sospechosa
sospechosa.

p

p

y

• Los IDS usualmente NO están diseñados para
detener un ataque, aunque sí pueden generar
ciertos tipos de respuesta ante éstos.

í

IDSIDS

g

• Los IDS permiten: aumentar la seguridad de
nuestro sistema, vigilar el tráfico de nuestra
red, examinar los paquetes analizándolos en
busca de datos sospechosos y detectar las
busca de datos sospechosos y detectar las
primeras fases de cualquier ataque, como
pueden ser el análisis de nuestra red
pueden ser el análisis de nuestra red
(sniffing), barrido de puertos (port scanning),
etc.

Tipos de IDS
Tipos de IDS

g

• HIDS (Host IDS) ‐ Protege contra un único
Servidor, PC o host. Monitorizan gran cantidad
de eventos, analizando actividades con una
gran precisión determinando de esta manera
gran precisión, determinando de esta manera
qué procesos y usuarios se involucran en una
determinada acción Recaban información del
determinada acción. Recaban información del
sistema como archivos,
logs, recursos, etc,
para su posterior análisis en busca de posibles
incidencias.

Tipos de IDS
Tipos de IDS

• Todo ello en modo local, dentro del propio
sistema. Fueron los primeros IDS en desarrollar
por la industria de la seguridad informática.
• NIDS (Net IDS) ‐ Protege un sistema basado en
NIDS (Net IDS)
Protege un sistema basado en
red. Actúan sobre una red capturando y
analizando paquetes de red es decir son sniffers
analizando paquetes de red, es decir, son sniffers
del tráfico de red. Luego analizan los paquetes
capturados buscando patrones que supongan
capturados, buscando patrones que supongan
algún tipo de ataque.

Tipos de IDS
Tipos de IDS

li

d

ñ

di

t

tili

S bi

bi d

• Los NIDS, bien ubicados, pueden analizar grandes
d
tráfico suele ser
redes y su impacto en el
pequeño. Actúan mediante la utilización de un
l
A tú
dispositivo de
red configurado en modo
promiscuo (analizan “ven” todos los paquetes
promiscuo (analizan, “ven” todos los paquetes
que circulan por un segmento de red aunque
estos nos vayan dirigidos a un determinado
estos nos vayan dirigidos a un determinado
equipo). Analizan el trafico de red, normalmente,
en tiempo real No sólo trabajan a nivel TCP/IP
en tiempo real. No sólo trabajan a nivel TCP/IP,
también lo pueden hacer a nivel de aplicación.

ió d

Tipos de IDS
Tipos de IDS

Tipos de IDS
Tipos de IDS

• Por el tipo de respuesta los IDS se pueden

d

d

i

l

l

clasificar en:

p

• Pasivos: Son aquellos IDS que notifican a la
autoridad competente o administrador de la
red mediante el sistema que sea, alerta, etc.
Pero no actúa sobre el ataque o atacante.

• Las respuestas pasivas envían informes a
humanos para que sean éstos los encargados
humanos para que sean éstos los encargados
de tomar acciones al respecto.

q

Tipos de IDS
Tipos de IDS

• Activos: Generan algún tipo de respuesta
sobre el sistema atacante o fuente de ataqueq
como cerrar la conexión o enviar algún tipo de
nuestra
respuesta
respuesta
nuestra
configuración.

predefinida
predefinida

en
en

• Las

respuestas
automáticamente
ataques.

activas permiten lanzar
l
dichos

respuestas

a

Arquitectura de un IDS
Arquitectura de un IDS

l

t

l

• Normalmente la arquitectura de un IDS, a

N
t
grandes rasgos, está formada:

IDS

it

d

• La fuente de recogida de datos
• La fuente de recogida de datos ‐ Estas fuentes
Estas fuentes
pueden ser un log, dispositivo de red, o como en
el caso de los IDS basados en host el propio
el caso de los IDS basados en host, el propio
sistema.
• Reglas que contienen los datos y patrones para
Reglas que contienen los datos y patrones para
detectar anomalías de seguridad en el sistema.

• Filtros que comparan los datos “snifeados” de la
red o de logs con los patrones almacenados en
las reglas.

q

p

Arquitectura de un IDS
Arquitectura de un IDS

• Detectores de eventos anormales en el tráfico

de red.

casos
casos

• Dispositivo generador de informes y alarmas
con la sofisticación
‐ En algunos
En algunos
con la sofisticación
suficiente como para enviar alertas vía mail, o
SMS.
• Esto es a modo general. Cada IDS implementa
Esto es a modo general. Cada IDS implementa
la arquitectura de manera diferente.

Arquitectura de un IDS
Arquitectura de un IDS

g

p

• Existen varias propuestas sobre la arquitectura
de los IDS, pero ninguna de ellas se usa
mayoritariamente. Esto provoca que los
productos de los fabricantes que trabajan con
productos de los fabricantes que trabajan con
distinta
arquitectura puedan difícilmente
interoperar entre sí
interoperar entre sí.

Introducción a SNORT
Introducción a SNORT

• SNORT es un IDS o Sistema de detección de

intrusiones basado en red (NIDS).
)

(

Introducción a SNORT
Introducción a SNORT

l

d d

• SNORT Implementa un motor de detección de
ió d
ataques y barrido de puertos que permite
registrar, alertar y responder ante cualquier
anomalía
como
ataques,
patrones
alguna
barridos,
vulnerabilidad, análisis de protocolos, etc
conocidos.

previamente
que
intentos

definida

corresponden

a
aprovechar

• Todo lo anterior en tiempo real.

Introducción a SNORT
Introducción a SNORT

(

)

á di

gratuito y

• SNORT (www.snort.org) está disponible bajo
ibl b j
licencia GPL,
funciona bajo
plataformas Windows y UNIX/Linux. Es uno
/
de los IDS más utilizados y dispone de una
gran cantidad de filtros o patrones ya
actualizaciones
predefinidos,
constantes ante casos de ataques, barridos o
vulnerabilidades que vayan siendo detectadas
a través de los distintos boletines de
seguridad.

así

como

Introducción a SNORT
Introducción a SNORT

• SNORT implementa un lenguaje de creación 

de reglas flexible, potente y sencillo. 

p

g

y

• Durante su instalación SNORT nos provee de
cientos de filtros o reglas para backdoors
cientos de filtros o reglas para backdoors,
ddos, finger, ftp, ataques web, CGI, escaneos
NMAP, etc.

Introducción a SNORT
Introducción a SNORT

• La siguiente es la sintaxis de uso básica de

SNORT:

# snort –vde 

p

• Con la opción –v iniciamos SNORT en modo 
sniffer visualizando en pantalla las cabeceras 
de los paquetes TCP/IP es decir mostrará las
de los paquetes TCP/IP, es decir, mostrará las 
cabeceras IP, TCP, UDP y ICMP.

Introducción a SNORT
Introducción a SNORT

• La opción –d,

le permite a SNORT visualizar
la

los campos de datos que pasan por
interface de red.

p

p

p

q

• Por último la opción e le permitirá a SNORT
• Por último, la opción –e, le permitirá a SNORT
mostrar información más detallada del tráfico,
en la que se incluiran las cabeceras a nivel de
enlace.

b

l

l

l

l

Introducción a SNORT
Introducción a SNORT

# snort –vde –l ./log

• La opción –l, le indica a SNORT que debe
guardar los logs en un directorio determinado.

i d

i d

di

d

l

l

# snort –vde –l ./log –h 192.168.1.0/24

# snort –vde –l ./log –b

Introducción a SNORT
Introducción a SNORT

g

y q

• Podemos indicarle a SNORT la IP de la red a
registrar, con la opción –h, y que el formato de
los logs sea en modo binario, con la opción –b,
es decir el modo que entiende TCPDump o
es decir, el modo que entiende TCPDump o
Windump.
• El modo detección de intrusos de red de
l
SNORT se activa añadiendo a la línea de
comandos la opción ‐c snort.conf.

p

ó

Introducción a SNORT
Introducción a SNORT

• En este archivo, snort.conf, se guarda toda la
configuración de las reglas, preprocesadores y
y
g
configuraciones necesarias para el
otras
funcionamiento de SNORT en modo NIDS
funcionamiento de SNORT en modo NIDS.

p p

g

t

#
# snort –vde –l ./log –h 192.168.1.0/24 –c 
l /l
../etc/snort.conf

h 192 168 1 0/24

d

Introducción a SNORT
Introducción a SNORT

p

registro de paquetes
registro de paquetes

• SNORT

puede funcionar
y

como sniffer
(podemos ver en consola y en tiempo real
(p
todo nuestro
qué ocurre en nuestra red,
(permite
tráfico)
tráfico),
(permite
guardar en un archivo los logs para su
posterior análisis un análisis offline) o como
posterior análisis, un análisis offline) o como
un IDS normal (en este caso NIDS).

Ataques a la Seguridad
Ataques a la Seguridad

•Los tres elementos principales a proteger en
cualquier sistema informático son el software,
el hardware y los datos.
y
•Habitual