PDF de programación - Securiza tu red con Snort y sus amigos

www.securityartwork.es
www.s2grupo.es

Securiza tu red
con Snort y sus

amigos
José Luis Chica Uribe
Técnico de seguridad IT

[email protected]

Índice

• Seguridad: conceptos
• Tipos de ataques
• ¿Cómo defenderse? Buenas prácticas
•

IDS
– Snort
– OSSEC

• Openvas

2

Conceptos

• ¿De qué va esto? Seguridad de la información

• Información, elemento más valioso para una

organización

• Imprescindible proteger el Sistema de

Información de su acceso, uso, divulgación, o
interrupción no autorizada

3

Conceptos 2

• Confidencialidad: visibilidad sólo a las personas

• Integridad: fiable, sin errores, modificada

autorizadas

ilegítimamente

• Disponibilidad: accesible siempre que se

necesite

• Otros: autenticidad, trazabilidad, no repudio...

4

Amenazas

• Acceso no autorizado

– Robo de datos
– Pérdida de información
– Interrupción del servicio
– Interrupción de procesos de negocio
– Deterioro de imagen corporativa

5

Ejemplos ataques

INYECCIÓN SQL

- Formulario de acceso con esta sentencia sql:
SELECT * FROM tablaLogin WHERE usuario='campoUser' 
AND password='campoClave';

- ¿Qué pasaría si escribimos en el campo usuario: admin' or 1=1;--
SELECT * FROM tablaLogin WHERE usuario='admin' or 
1=1;­­ AND password='';

- Hasta la cocina!

6

Solución?

• Sanear! Sanear! Sanear!

• Imprescindible comprobar todas las entradas

que la aplicación recibe del usuario

7

Fuerza Bruta

• Servicio restringido con usuario y contraseña

• Cuentas con claves triviales o relacionadas con

la persona (fecha de nacimiento, iniciales)

• Aplicaciones: thc-hydra, brutus, metasploit,
prueban permutaciones o usando diccionario

• Malware también se aprovecha

8

Soluciones?

• Política de contraseñas

– Mayúsculas, dígitos, caracteres especiales (#$&!

@)

– Longitud mínima
– Impedir uso de iniciales, o palabras de diccionario

• Añadir retardo
• Evitar usar la misma contraseña para todo, en

especial para servicios críticos

• Usar bóveda de contraseñas
• Desactivar cuenta o banear IP (peligroso)

9

Explotación de Vulnerabilidades

• Fallos en la implementación de software que

produce agujeros de seguridad
– Denegación de servicio
– Ejecución de código remoto
– Control total de la máquina

• Software antiguo, sin parchear
• Igualmente, uso frecuente de malware

10

¿Soluciones?

• Despedir al sysadmin

• Realizar periódicamente auditorías de

revisión de software

• Paradas programadas del servicio para

actualizar el software

11

Y muchos más.....

• XSS
• Directorio transversal
• Denegación de servicio
• Denegación de servicio distribuido
• DNS amplification attack

• OWASP TOP 10
• Hispasec una al día

12

SNORT!

• Sistema de detección de intrusiones (IDS)
• Sistema de prevención de intrusiones (IPS)
• Analiza el tráfico en busca de anomalías o

ataques

• Basado en patrones y reglas
• Opensource
• Muy extendido

13

ESQUEMA IDS

14

ESQUEMA IPS

15

¿Cómo funciona snort?

• Sniffer

– Captura el tráfico

• Preprocesador

– Lo hace entendible

• Motor de reglas

– Busca patrones

• Procesador de salida

– Loguea, escribe en BBDD...

16

Preprocesadores

• Frag3

– Ensambla los datagramas fragmentados

• Stream5

– Reensambla paquetes TCP

• http_inspect

– Analiza sesiones web

• Smtp, ftp/telnet, ssh, rpc.....

17

Ya está bien de tanto rollo

»DEMO!

18

OSSEC

• Sistema de detección de intrusos basado en Host

(HIDS)

• …. o en logs (LIDS)
• Monitoriza cambios en el sistema de ficheros
• Analiza logs en busca de eventos
• Basado en cliente – servidor

– Clientes envían logs al servidor
– Servidor analiza y busca patrones

• Capaz de correlar eventos
• Puede disparar comandos a los clientes

19

Estructura de OSSEC

• Rsyslog remoto

– Recoge las reglas de los agentes

• Decoder

– Las formatea en campos xml

• Motor de reglas

– Busca patrones

• Output al log

– Escribe a disco el evento generado

20

Ejemplo reglas

•



<rule id="5710" level="5">
<if_sid>5700</if_sid>
<match>illegal user|invalid user</match>
<description>Attempt to login using a non-existent user</description>
<group>invalid_login,authentication_failed,</group>
</rule>

<rule id="5712" level="10" frequency="6" timeframe="120" ignore="60">
<if_matched_sid>5710</if_matched_sid>
<description>SSHD brute force trying to get access to </description>
<description>the system.</description>
<same_source_ip />
<group>authentication_failures,</group>
</rule>

21

Al lío!

»DEMO!

22

Openvas

• Scanner de vulnerabilidades
• Basado en Nessus
• Estructura cliente – servidor
• Integración con otras herramientas

–Nikto
–Nmap

23

Amos pa'ya!

»DEMO!

24

www.neuronasdigitales.com



Twitter: @BufferOverCat

25