PDF de programación - Detección de intrusos con Snort

2015

Universitat Oberta de Catalunya

Juan Clavero

Dirige: Cristina Pérez Solà



[DETECCIÓN DE INTRUSOS
CON SNORT]

PROYECTO DEL POSTGRADO EN SEGURIDAD EN REDES Y SISTEMAS



Sinopsis
Una información importante para proteger cualquier red de accesos no permitidos es el cono-
cimiento del tráfico que puede circular por dicha red, discriminando el tráfico deseado y per-
mitido del no deseado. Una herramienta como snort permite, en base a una reglas predefini-
das, catalogar el tráfico existente y realizar una serie de acciones frente al indeseado. Este
proyecto simula de forma simplificada una red privada en la que se desea conocer si se reali-
zan una serie de intentos de ataque desde el exterior.

Abstract
Every network administrator needs to know the traffic of its network in order to protect it
from forbidden access, distinguishing wanted and allowed traffic from unwanted one. A tool
like snort allows to classify the existing traffic and to perform a series of actions to tackle the
undesirable. This project simulates a simplified private network in which there’s a need to
know if some kind of attacks from the outside is performed.



i

Tabla de contenido
Sinopsis ................................................................................................ i

Abstract ................................................................................................ i

1

Introducción ................................................................................ 1

1.1

1.2

Problema a resolver ............................................................ 1

Objetivos ............................................................................. 1

1.3 Metodología ........................................................................ 1

1.4

Planificación ........................................................................ 2

1.4.1

Tareas .......................................................................... 2

1.4.2

Planificación temporal ................................................ 2

1.5

Estado del arte .................................................................... 2

2

Conceptos previos ....................................................................... 4

2.1

2.2

2.3

Sistemas de Detección de Intrusos ..................................... 4

Ataques de Inyección de SQL .............................................. 4

Ataques de Denegación de Servicio .................................... 5

3

Escenario planteado ................................................................... 6

3.1

Bastión ................................................................................ 7

3.1.1

Configuración .............................................................. 7

3.1.2

Snort ............................................................................ 7

3.1.3

Reglas .......................................................................... 8

3.2

Atacante .............................................................................. 9

4

Fase de Ataque.......................................................................... 10

4.1

4.2

4.3

Uso normal ........................................................................ 10

Ataque vulnerabilidades ................................................... 10

Ataque DoS ....................................................................... 11

4.3.1

DoS ICMP ................................................................... 11

4.3.2

DoS HTTP ................................................................... 11

Fase de Análisis ......................................................................... 13

Conclusión ................................................................................. 14

Tabla de Ilustraciones ............................................................... 15

Bibliografía ................................................................................ 16

Anexo ........................................................................................ 17

9.1

Reglas de snort .................................................................. 17

ii

5

6

7

8

9



9.1.1

web-attacks.rules ...................................................... 17

9.1.2

ddos.rules .................................................................. 17

9.2

Diagrama de Gantt ............................................................ 18

9.2.1

PAC1 .......................................................................... 18

9.2.2

PAC2 .......................................................................... 19

9.2.3

PAC3 .......................................................................... 20



iii

1 Introducción

1.1 Problema a resolver
Se plantea la protección de un entorno doméstico semi-profesional: un profesional autónomo,
trabajando desde el domicilio, ofrece un servicio web a sus clientes para la gestión de inciden-
cias basado en tickets para facilitar la gestión de los proyectos contratados.

Este servicio web se basa en la aplicación OTRS, implementado en Perl y que se puede ejecutar
en la pila LAMP. A pesar de ser una aplicación bastante robusta y con años de historia, el pro-
fesional no se fía y decide hacer todo lo que pueda para evitar ataques de denegación de ser-
vicio (DoS), que impidan a sus usuarios acceder al sistema y ponerse en contacto con él, y ata-
ques de inyección de instrucciones SQL, que permiten a los atacantes obtener información
privada.

En esta situación, se propone dirigir todo el tráfico entrante en su domicilio a un equipo bas-
tión, que realizará las tareas de firewall y de análisis de tráfico entrante antes de redirigirlo
hacia el equipo servidor o hacia el punto de acceso a la red doméstica.

Ilustración 1. Esquema del entorno



1.2 Objetivos
Los objetivos del proyecto son:

1. Evaluar las necesidades de seguridad del escenario planteado.
2. Estudiar las alternativas disponibles en el mercado para conseguir la seguridad espera-
da en el escenario planteado, tanto por su capacidad de protección como por los re-
quisitos hardware para su ejecución y su coste económico.
Instalar y configurar snort en la máquina bastión.

3.
4. Diseñar un plan de pruebas adecuado en el que evaluar las capacidades reales del apli-
cativo seleccionado, tanto en cuanto a su capacidad para detectar ataques reales co-
mo para evitar la generación de falsas alertas.

5. Ejecutar el plan de pruebas y comprobar el desempeño del aplicativo.

1.3 Metodología
Debido a las capacidades actuales de simulación, la misma máquina virtual realizará las tareas
de bastión y de servidor web. Esta funcionará con una versión de Linux basada en Ubuntu
14.04, en la que se configurará iptables (como firewall), snort (como detector de intrusiones),



1

BastiónServidor OTRSAtacante apache (como servidor web), MySQL (como servidor de bases de datos) y OTRS (como aplicati-
vo web).

Esta máquina virtual será atacada desde otra máquina en la que se instalará la distribución Kali
Linux para realizar ataques de escaneo de vulnerabilidades web y se lanzarán solicitudes simul-
táneas para activar la alerta de intento de DoS. Tras estos ataques se comprobará el registro
de snort para verificar su registro. También se realizará un uso habitual del aplicativo web para
comprobar si el sistema detector de intrusiones lanza falsos positivos.

1.4 Planificación

1.4.1 Tareas
1. Análisis Estado del Arte



2. Configuración Bastión



3. Configuración Atacante


4. Fase de Ataque



5. Fase de Análisis


Creación Máquina Virtual
Instalación Sistema Operativo
Configuración iptables
Comprobación iptables
Instalación Snort
Configuración Snort
Instalación Apache
Instalación MySQL
Instalación OTRS

2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
2.7.
2.8.
2.9.
2.10. Configuración OTRS


Creación Máquina Virtual
Instalación Kali Linux

Uso normal
Ataques vulnerabilidades
Ataques DOS

Recogida de datos
Análisis de Datos

3.1.
3.2.

4.1.
4.2.
4.3.

5.1.
5.2.

1.4.2 Planificación temporal
Creación y configuración de la máquina Bastión: 15 días, de 20/03/15 a 05/04/2015

Configuración de la máquina Atacante: 7 días, de 06/04/2015 a 12/04/2015

Fase de Ataque: 10 días, de 20/04/2015 a 29/04/2015

Fase de Análisis: 15 días, de 08/05/2015 a 23/05/2015

En el Anexo Diagrama de Gantt se presenta un desglose pormenorizado de la planificación
temporal de cada tarea, con distintas versiones según ha ido progresando el proyecto.

1.5 Estado del arte
Los sistemas de detección de intrusos (IDS) pretenden mejorar la seguridad de un sistema avi-
sando a los administradores cuando se detecten comportamientos relacionados con ataques
conocidos o que se alejen del comportamiento habitual de sus usuarios o equipos. Para ello,



2

monitorizan el tráfico que circula por la red y por algunos sistemas y actúan frente a patrones
de tráfico conocidos, lo que permite a los administradores conocer claramente qué está pa-
sando por la red, almacenar información sobre las actividades observadas y recibir alertas ante
patrones específicos. Debido a su naturaleza detectora, los IDS no pueden prevenir ataques ni
ofrecer protección sobre los recursos internos, sólo constituyen un nivel adicional de seguri-
dad. Dependiendo de la ubicación desde la que se obtienen los datos, se pueden clasificar en
IDS de red (Network IDS) que capturan la información en la interfaz de red, o IDS de equipo
(Host IDS), que analizan información de eventos del sistema operativo de la máquina. Cuando
un IDS tiene capacidad para modificar la configuración de elementos de red, lo que le permit