www.securityartwork.es
www.s2grupo.es
Securiza tu red
con Snort y sus
amigos
José Luis Chica Uribe
Técnico de seguridad IT
[email protected]
Índice
• Seguridad: conceptos
• Tipos de ataques
• ¿Cómo defenderse? Buenas prácticas
•
IDS
– Snort
– OSSEC
• Openvas
2
Conceptos
• ¿De qué va esto? Seguridad de la información
• Información, elemento más valioso para una
organización
• Imprescindible proteger el Sistema de
Información de su acceso, uso, divulgación, o
interrupción no autorizada
3
Conceptos 2
• Confidencialidad: visibilidad sólo a las personas
• Integridad: fiable, sin errores, modificada
autorizadas
ilegítimamente
• Disponibilidad: accesible siempre que se
necesite
• Otros: autenticidad, trazabilidad, no repudio...
4
Amenazas
• Acceso no autorizado
– Robo de datos
– Pérdida de información
– Interrupción del servicio
– Interrupción de procesos de negocio
– Deterioro de imagen corporativa
5
Ejemplos ataques
INYECCIÓN SQL
- Formulario de acceso con esta sentencia sql:
SELECT * FROM tablaLogin WHERE usuario='campoUser'
AND password='campoClave';
- ¿Qué pasaría si escribimos en el campo usuario: admin' or 1=1;--
SELECT * FROM tablaLogin WHERE usuario='admin' or
1=1; AND password='';
- Hasta la cocina!
6
Solución?
• Sanear! Sanear! Sanear!
• Imprescindible comprobar todas las entradas
que la aplicación recibe del usuario
7
Fuerza Bruta
• Servicio restringido con usuario y contraseña
• Cuentas con claves triviales o relacionadas con
la persona (fecha de nacimiento, iniciales)
• Aplicaciones: thc-hydra, brutus, metasploit,
prueban permutaciones o usando diccionario
• Malware también se aprovecha
8
Soluciones?
• Política de contraseñas
– Mayúsculas, dígitos, caracteres especiales (#$&!
@)
– Longitud mínima
– Impedir uso de iniciales, o palabras de diccionario
• Añadir retardo
• Evitar usar la misma contraseña para todo, en
especial para servicios críticos
• Usar bóveda de contraseñas
• Desactivar cuenta o banear IP (peligroso)
9
Explotación de Vulnerabilidades
• Fallos en la implementación de software que
produce agujeros de seguridad
– Denegación de servicio
– Ejecución de código remoto
– Control total de la máquina
• Software antiguo, sin parchear
• Igualmente, uso frecuente de malware
10
¿Soluciones?
• Despedir al sysadmin
• Realizar periódicamente auditorías de
revisión de software
• Paradas programadas del servicio para
actualizar el software
11
Y muchos más.....
• XSS
• Directorio transversal
• Denegación de servicio
• Denegación de servicio distribuido
• DNS amplification attack
• OWASP TOP 10
• Hispasec una al día
12
SNORT!
• Sistema de detección de intrusiones (IDS)
• Sistema de prevención de intrusiones (IPS)
• Analiza el tráfico en busca de anomalías o
ataques
• Basado en patrones y reglas
• Opensource
• Muy extendido
13
ESQUEMA IDS
14
ESQUEMA IPS
15
¿Cómo funciona snort?
• Sniffer
– Captura el tráfico
• Preprocesador
– Lo hace entendible
• Motor de reglas
– Busca patrones
• Procesador de salida
– Loguea, escribe en BBDD...
16
Preprocesadores
• Frag3
– Ensambla los datagramas fragmentados
• Stream5
– Reensambla paquetes TCP
• http_inspect
– Analiza sesiones web
• Smtp, ftp/telnet, ssh, rpc.....
17
Ya está bien de tanto rollo
»DEMO!
18
OSSEC
• Sistema de detección de intrusos basado en Host
(HIDS)
• …. o en logs (LIDS)
• Monitoriza cambios en el sistema de ficheros
• Analiza logs en busca de eventos
• Basado en cliente – servidor
– Clientes envían logs al servidor
– Servidor analiza y busca patrones
• Capaz de correlar eventos
• Puede disparar comandos a los clientes
19
Estructura de OSSEC
• Rsyslog remoto
– Recoge las reglas de los agentes
• Decoder
– Las formatea en campos xml
• Motor de reglas
– Busca patrones
• Output al log
– Escribe a disco el evento generado
20
Ejemplo reglas
•
<rule id="5710" level="5">
<if_sid>5700</if_sid>
<match>illegal user|invalid user</match>
<description>Attempt to login using a non-existent user</description>
<group>invalid_login,authentication_failed,</group>
</rule>
<rule id="5712" level="10" frequency="6" timeframe="120" ignore="60">
<if_matched_sid>5710</if_matched_sid>
<description>SSHD brute force trying to get access to </description>
<description>the system.</description>
<same_source_ip />
<group>authentication_failures,</group>
</rule>
21
Al lío!
»DEMO!
22
Openvas
• Scanner de vulnerabilidades
• Basado en Nessus
• Estructura cliente – servidor
• Integración con otras herramientas
–Nikto
–Nmap
23
Amos pa'ya!
»DEMO!
24
www.neuronasdigitales.com
Twitter: @BufferOverCat
25
Comentarios de: Securiza tu red con Snort y sus amigos (0)
No hay comentarios