PDF de programación - Propuesta de una arquitectura de sistemas de detección de intrusos con correlación

PROPUESTA DE UNA

ARQUITECTURA DE SISTEMAS
DE DETECCI ÓN DE INTRUSOS

CON CORRELACI ÓN

Escola T`ecnica Superior d’Enginyeria

Universidad de Valencia

Ángel Alonso Párrizas

Director: Santiago Felici Castell

7 de noviembre de 2005

2

A María Dolores.

Agradecimientos

A Santiago, mi director del proyecto, gracias por haber confiado en éste
proyecto y haber sido un referente como persona y tutor.

A mi madre María Dolores, por haber conseguido que llegara tan lejos y
haberme dado la oportunidad de realizar unos estudios, a ti te lo debo todo.

A todos los compañeros de clase, Ramón, Ángel, Edu, Timoteo, Michel,
María, Agustín y todos aquellos que se me olvidan.

A mi familia, mis tíos, mi primo Rafa, a mi abuela Dolores y a mi her-
mana Alba por haberse interesado en todo momento por mis estudios. Y a la
pequeña de la casa, Marina.

Y como no a mi novia María, por la paciencia mostrada durante estos últi-
mos meses y su contribución a este proyecto.

Resumen

Las redes de ordenadores pueden presentar vulnerabilidades difíciles de pro-
teger, dada la heterogeneidad de equipos, sistemas operativos, servicios (apli-
caciones) y usuarios.

Las vulnerabilidades conocidas son aprovechas por los atacantes para di-
ferentes fines. Dado que el tipo de ataque utilizado puede ser de lo más
diverso, desde denegación de servicio, usurpación/alteración de información,
suplantación, etc, en la comunidad científica se han desarrollado y diseñado
diferentes implementaciones de sensores o detectores de intrusos (IDSs) con
técnicas diversas, con la finalidad de acaparar el máximo número de compor-
tamientos ilícitos.

Como contrapartida a un mayor volumen de información generado por la
proliferación de IDSes, un mayor número de alertas son generadas. El efecto
colateral que conlleva la diversidad de IDSs, es el incremento de alertas, im-
plicando un aumento de falsos positivos (alertas que no son ataques reales)
e indirectamente, un aumento de los falsos negativos (ataques que no son
considerados) que impide en cierta manera, el objetivo final de los IDSs, que
es la detección de intrusos.

La técnica más utilizada para minimizar este efecto colateral es aplicar corre-
lación sobre las alertas, con el fin de resumir la información que finalmente
se le presenta al administrador de la red.

La propuesta realizada en este proyecto ha sido el despliegue de una red
de diferentes sensores, los cuales hemos correlado utilizando herramientas de
libre distribución.

La idea correlación ha consistido en generar ’metaalertas’, producidas tras
ciertas secuencias de alertas determinadas de diferentes sistemas de detección
de intrusos y herramientas de seguridad.

Es decir, un mismo ataque es capaz de generar diferentes alertas, pero el
ataque es uno y único. Si somos capaces de detectar un ataque fiable y real,
con intrusión fidedigna y generar una única alarma, habremos cumplido con
el objetivo.

Índice general

1. Introducción

9
1.1. Problemática . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
1.2. Motivación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3. Objetivos del proyecto . . . . . . . . . . . . . . . . . . . . . . 10

2. Estado del Arte

13
2.1. Sistemas de detección de intrusos (IDS) . . . . . . . . . . . . . 13
2.1.1. Clasificación de los IDS . . . . . . . . . . . . . . . . . 14
2.1.2. Herramientas IDS de código libre . . . . . . . . . . . . 17
2.1.3. Herramientas IDS comerciales . . . . . . . . . . . . . . 20
2.1.4. Formatos estándar de alertas . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . . . . . . 22
2.1.5. Nuevas tendencias
. . . . . . . . . . . . . . . . . . . 23
2.2.1. Herramientas de auditoría . . . . . . . . . . . . . . . . 24
2.3. Otras herramientas de seguridad . . . . . . . . . . . . . . . . . 25
2.3.1. Herramientas de red . . . . . . . . . . . . . . . . . . . 26
2.3.2. Herramientas para la detección de sistemas operativos . 26
. . . . . . 26
2.4.1. Descripción de la maqueta desarrollada en ELAS . . . 27
2.5. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

2.4. Proyecto Elementos Activos de Seguridad (ELAS)

2.2. Análisis de vulnerabilidades

3. Análisis del sistema

31
3.1. Análisis del sistema . . . . . . . . . . . . . . . . . . . . . . . . 31
3.1.1. Análisis de herramientas . . . . . . . . . . . . . . . . . 31
3.2. Análisis de correladores . . . . . . . . . . . . . . . . . . . . . . 32
3.2.1. Correlación mediante Algoritmos Heurísticos . . . . . . 33
3.2.2. Correlación mediante secuencia de eventos . . . . . . . 34
3.3. Un modelo de correlación general
. . . . . . . . . . . . . . . . 35
3.4. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

1

2

ÍNDICE GENERAL

4. Diseño del sistema

39
4.1. Open Source Security Information Management (OSSIM) . . . 39
4.1.1. Las etapas de OSSIM . . . . . . . . . . . . . . . . . . . 40
4.1.2. Los procesos de OSSIM . . . . . . . . . . . . . . . . . . 43
4.1.3. Las herramientas de OSSIM . . . . . . . . . . . . . . . 44
4.1.4. Las directivas en OSSIM . . . . . . . . . . . . . . . . . 44
4.2. Diseño de la arquitectura propuesta . . . . . . . . . . . . . . . 45
. . . . . . . . . . . . . . . 46
4.2.1. Switch Catalyst Cisco 2950
4.2.2. Máquina con correlación - ’ircisco28.uv.es’
. . . . . . . 47
4.2.3. Máquina de pruebas - ’labd.uv.es’ . . . . . . . . . . . . 48
4.2.4. Acercamiento mediante directivas al modelo general de

correlación . . . . . . . . . . . . . . . . . . . . . . . . . 49
4.3. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

5. Implantación del sistema

51
5.1. Preparación de la máquina de control . . . . . . . . . . . . . . 51
Instalación del sistema operativo . . . . . . . . . . . . 51

5.1.1.
5.1.2. Configuración del conmutador con Switch Port Analy-

5.1.3.

5.2. Preparación de la máquina de pruebas

zer (SPAN)
. . . . . . . . . . . . . . . . . . . . . . . . 53
Instalación de OSSIM . . . . . . . . . . . . . . . . . . 53
. . . . . . . . . . . . . 58
5.2.1.
Instalación del sistema operativo . . . . . . . . . . . . 58
5.2.2.
Instalación Apache . . . . . . . . . . . . . . . . . . . . 59
5.2.3.
Instalación de Ossim-agent . . . . . . . . . . . . . . . . 59
5.2.4.
Instalación de Osiris
. . . . . . . . . . . . . . . . . . . 60
5.2.5. Configuración de Ossim-agent . . . . . . . . . . . . . . 63
5.2.6. Modificación del parser ParserOrisis.py . . . . . . . . . 64
5.2.7.
. . . . . . 65
5.3. Configuración y adaptación del sistema . . . . . . . . . . . . . 65
5.3.1. Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
5.3.2. Nessus . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
5.3.3. Configuración a través del framework de OSSIM . . . . 66
5.4. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Instalación de un portal en PHP vulnerable

6. Resultados

69
6.1. Pruebas realizadas
. . . . . . . . . . . . . . . . . . . . . . . . 69
6.2. Análisis del tráfico con Snort sobre ’glup.uv.es’ . . . . . . . . . 69
6.3. Análisis de vulnerabilidades
. . . . . . . . . . . . . . . . . . . 70
6.4. Pruebas de correlación . . . . . . . . . . . . . . . . . . . . . . 72
6.4.1. Métricas de OSSIM . . . . . . . . . . . . . . . . . . . . 74
6.5. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

ÍNDICE GENERAL

3

7. Conclusiones

79
7.1. Revisión de objetivos . . . . . . . . . . . . . . . . . . . . . . . 79
7.2. Discusión y conclusiones . . . . . . . . . . . . . . . . . . . . . 79
7.3. Trabajo futuro
. . . . . . . . . . . . . . . . . . . . . . . . . . 81
7.4. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

8. Planificación y presupuesto

83
8.1. Planificación temporal de las tareas . . . . . . . . . . . . . . . 83
8.2. Presupuesto del proyecto . . . . . . . . . . . . . . . . . . . . . 84
8.3. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

A. Configuración switch Cisco modelo 2950

87
A.1. Configuración SPAN (Switch Port Analyzer) . . . . . . . . . . 87

B. Configuraciones servidor de correlación

91
B.1. Iptables en máquina de correlación . . . . . . . . . . . . . . . 91
B.2. Configuración OSSIM-agent . . . . . . . . . . . . . . . . . . . 92
B.3. Snort.xml
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
B.4. Ntop.xml
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
B.5. Configuración Ossim-framework . . . . . . . . . . . . . . . . . 94
B.6. Directivas correlación . . . . . . . . . . . . . . . . . . . . . . . 94

C. Configuraciones máquina de víctima ’labd.uv.es’

99
. . . . . . . . . . . . . . . . . . . . . . 99
C.1. Configuracion iptables
C.2. Configuración Apache.xml
. . . . . . . . . . . . . . . . . . . . 100
C.3. Configuración Syslog.xml . . . . . . . . . . . . . . . . . . . . . 100
C.4. Configuración Orisis.xml
. . . . . . . . . . . . . . . . . . . . . 100
C.5. Configuración de Osiris . . . . . . . . . . . . . . . . . . . . . . 101

4

ÍNDICE GENERAL

Índice de figuras

2.1. Ejemplo de Sistema de Detección de Intrusos Distribuido (DIDS)

con HIDS (Host Intrusion Detection System y NIDS (Network
Intrusion Detection System . . . . . . . . . . . . . . . . . . . 23
2.2. Topología Elementos Activos Seguridad (ELAS) . . . . . . . . 27

3.1. Ejemplo de correlación de eventos en diferentes instante de

tiempo: T0, T1, T2 y T3 . . . . . . . . . . . . . . . . . . . . . 34
3.2. Procesos que intervienen en la correlación . . . . . . . . . . . 36

4.1. Topología de la red, con el conmutador configurado con SPAN

(Switch Port Analyzer) haciendo duplicado de paquetes.

. . . 46

5.1.
Interfaz de accesso a OSSIM . . . . . . . . . . . . . . . . . . . 56
5.2. Menú de políticas de OSSIM . . . . . . . . . . . . . . . . . . . 67

6.1. Resultados del análisis de vulnerabilidades sobre la máquina

en producción ’labd.uv.es’

. . . . . . . . . . . . . . . . . . . . 70
6.2.