PDF de programación - SNORT Detector de intrusiones ligero para redes

SNORT



Detector de intrusiones ligero para redes.

Curso de Administración de Sistemas y Servicios Telemáticos
Martín de la Herrán Brickmanne
DNI 50879032-L





SNORT
Detector de intrusiones ligero para redes.



SNORT................................................................................................................................2
1.- Introducción ...................................................................................................................3
2.- Utilidad ..........................................................................................................................3
3.- Entorno...........................................................................................................................4
4-. Uso personal práctico.....................................................................................................5
5.- Ejemplos de reglas de snort ...........................................................................................7
6.- Instalación......................................................................................................................8
7.- Uso como capturador de paquetes ...............................................................................10
8.- Para más información y referencias:............................................................................11



-2-





SNORT

Detector de intrusiones ligero para redes.


Resumiendo lo más posible la descripción, SNORT es un programa multiplataforma
diseñado para analizar el tráfico que circula a través de una red, compararlo con una serie
de patrones predeterminados, y generar las alarmas correspondientes.

1.- Introducción

Desde la aparición de internet hasta nuestros días, las redes informáticas han crecido a
una velocidad tremenda, y junto con su crecimiento han aparecido multitud de "crackers"
con propósitos no siempre benignos. Para defenderse de dichos ataques, que en principio
asumiremos externos, hay ante todo que identificarlos. En este trabajo vamos a centrarnos
en ataques provienientes de una red IP, y que por lo tanto cumplen forzosamente una
condición instrínseca: todos ellos son detectables desde cualquier ordenador que esté
conectado a la entrada de la red que queremos proteger.

Podemos hacer un cierto paralelismo entre los distintos programas de detección de
intrusiones, como el SNORT, y agentes de aduana en un aeropuerto. Los programas de
detección de intrusiones, Network Intrusion Detection Systems (NIDS en adelante),
examinan todos y cada uno de los paquetes que reciben los distintos interfaces de red de
una máquina. Una vez adquirido, el paquete es analizado para ver si el tráfico recibido
cumple alguna de las reglas establecidas por el administrador. En tal caso, el programa se
encarga de realizar alguna acción, como anotar el tráfico, hacer una copia local de los
paquetes recibidos o hacer sonar un alarma.

2.- Utilidad

SNORT es pues un programa capaz de cumplir las siguientes funciones:


A. Escuchar en modo promiscuo en un interfaz de red, es decir, atendiendo tanto a
los paquetes dirigidos a dicho interfaz como a los que no le correspondería
escuchar, y mostrar o registrar localmente en el disco duro dicho tráfico. En este
modo de operación se asemeja al programa "tcpdump" y es de hecho muy similar
a él, hasta el punto de que comparte el sistema de registro en el disco de tráfico.


B. Escuchar en modo promiscuo en un interfaz de red, pero atender a una serie de
reglas más avanzadas que las de tcpdump, lo cual puede servir para analizar y
depurar tráfico y protocolos de red.



-3-



C. Como herramienta para el análisis avanzado del tráfico de red, obviamente
también en modo promiscuo, y utilizando una base de reglas sofisticada para
detectar y avisar sobre tráfico no deseado que esté circulando por nuestra red.



SNORT no se limita exclusivamente al protocolo IP+TCP/UDP/ICMP, aunque
sobresalga su especialización en ellos. También es capaz de escuchar otros protocolos
como ethernet, fddi, arp, rarp, decnet, lat, sca, moprc y mopdl.
Para ser capaz de filtrar y analizar el tráfico lo mejor posible, snort lleva una serie de
módulos que le permiten:


-
-

-
-
-

recomponer el tráfico fragmentado
recomponer las cadenas de caracteres enviadas a través de servicios como telnet,
ftp, smtp, http, pop3 e imap, lo que le permite explorar el tráfico desde el nivel de
aplicación y no sólo del nivel de red.
entender el tráfico http, como p.ej. la expansión de caracteres " " = "%20"
entender el tráfico rpc
reconocer el tráfico generado por el BackOrifice, independientemente de los
puertos que use

- detectar escaneos remotos en busca de puertos abiertos


Además, está diseñado de modo que sea fácil incorporarle nuevos módulos para expandir
su funcionalidad.

3.- Entorno

Snort es un programa escrito bajo licencia Gnu GPL, por lo que es libremente distribuible.
Al estar escrito en C y con todo el código fuente liberado, funciona en múltiples
plataformas como linux, windows, *BSD, Solaris, MkLinux, HP-UX, MacOS X y BeOS.
Esto le diferencia de los sistemas integrados comerciales, cuyo precio normalmente es
prohibitivo, y que requieren de hardware especializado. Snort funciona bien en cualquier
PC doméstico, siempre y cuando no se le exijan velocidades de proceso demasiado
elevadas para la CPU de la máquina.

Así pues, snort se puede instalar en casi cualquier ordenador u ordenadores de nuestra red,
afectando muy poco al funcionamiento de ésta, mientras que permite detectar fácilmente
el tráfico sospechoso. Su pequeño tamaño, licencia abierta y código multiplataforma le
convierten en una herramienta útil para todos los administradores de red. Esa es la razón
por la que se le da el calificativo de ligero (lightweight), en comparación los grandes
NIDS comerciales.



-4-




4-. Uso personal práctico

Mi experiencia personal con snort se sitúa en el ámbito del firewall que he puesto a la
salida del router ADSL de mi casa, antes de los dos ordenadores familares. Utiliza el
sistema operativo OpenBSD 2.9, y he estado probando snort en varias ocasiones. Pese a
estar filtrando un gran número de puertos con mi firewall (y que por lo tanto no llegan al
snort, pues "ipf", el programa de firewall del OpenBSD 2.9 precede a snort, estas son
algunas de las alarmas que ha generado el snort en mi ADSL, basándome en las reglas de
www.whitehats.com:


•

Intento de overflow: IDS488/misc_identd-overflow_SuSE


[**] [1:0:0] IDS488/misc_identd-overflow_SuSE [**]
[Classification: system integrity attempt] [Priority: 11]
08/24-08:02:15.657493 62.81.156.181:35782 -> 192.168.0.253:113
TCP TTL:58 TOS:0x0 ID:49551 IpLen:20 DgmLen:1500 DF
***A**** Seq: 0x3A5EE176 Ack: 0xBDD66DFC Win: 0x16D0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 58071660 1930206606
[Xref => http://www.whitehats.com/info/IDS488]


• Tests de existencia de agujeros remotos como el BackOrifice:


[**] IDS397/trojan_trojan-BackOrifice1-scan [**]
08/02-23:07:10.547650 63.197.54.27:2517 -> 192.168.1.70:31337
UDP TTL:110 TOS:0x0 ID:8344 IpLen:20 DgmLen:47
Len: 27

[**] IDS397/trojan_trojan-BackOrifice1-scan [**]
07/28-14:00:31.343145 62.2.142.36:4406 -> 192.168.1.70:31337
UDP TTL:111 TOS:0x0 ID:13682 IpLen:20 DgmLen:47
Len: 27


• Autentificaciones fallidas a mi ftp:


[**] IDS364/ftp_ftp-bad-login [**]
06/22-19:15:29.378104 212.109.196.81:21 -> 192.168.0.253:40930
TCP TTL:40 TOS:0x10 ID:59645 IpLen:20 DgmLen:62 DF
***AP*** Seq: 0xA60E75BB Ack: 0x60176F55 Win: 0x4470 TcpLen: 20


• Multitud de intentos de conexión a samba, tanto españoles


(este host pertenece a la red de telefónica)
[**] [1:0:0] IDS177/netbios_netbios-name-query [**]
[Classification: information gathering attempt] [Priority: 8]



-5-



09/01-17:00:52.741894 213.96.141.35:1263 -> 192.168.0.253:137
UDP TTL:116 TOS:0x0 ID:3643 IpLen:20 DgmLen:78
Len: 58
[Xref => http://www.whitehats.com/info/IDS177]


como extranjeros


cs666824-67.austin.rr.com
[**] [1:0:0] IDS177/netbios_netbios-name-query [**]
[Classification: information gathering attempt] [Priority: 8]
08/24-02:51:44.795386 66.68.24.67:1164 -> 192.168.0.253:137
UDP TTL:109 TOS:0x0 ID:13442 IpLen:20 DgmLen:78
Len: 58
[Xref => http://www.whitehats.com/info/IDS177]

pc132.cpool6.quickclic.net
[**] IDS177/netbios_netbios-name-query [**]
07/31-05:50:02.093897 24.244.201.132:62520 -> 192.168.1.70:137
UDP TTL:105 TOS:0x0 ID:27529 IpLen:20 DgmLen:78
Len: 58



[**] IDS238/scan_Traceroute IPOPTS [**]
06/28-15:05:49.727722 138.100.17.15 -> 192.168.0.253
ICMP TTL:244 TOS:0x0 ID:31944 IpLen:60 DgmLen:124
IP Options (2) => RR EOL
Type:0 Code:0 ID:53795 Seq:2 ECHO REPLY


• Tráfico poco común:

• Comandos de "traceroute" con ipopts (hecho por mi mismo desde la universidad)


[**] [1:0:0] IDS7/misc_SourcePortTraffic-53-tcp [**]
[Classification: suspicious miscellaneous traffic] [Priority: 1]
08/23-07:51:51.967810 210.183.235.129:53 -> 192.168.0.253:53
TCP TTL:241 TOS:0x0 ID:19942 IpLen:20 DgmLen:40
******S* Seq: 0x41CA6D73 Ack: 0x4B3AE2CE Win: 0x28 TcpL