PDF de programación - Herramientas de monitoreo y detección de intrusos en servidores Linux

Centro de Investigación y de Estudios Avanzados

del Instituto Politécnico Nacional

Unidad Zacatenco

Departamento de Computación

Herramientas de monitoreo y detección de intrusos

en servidores Linux

Tesis que presenta:

Hilda María Chablé Martínez

para obtener el Grado de:

Maestro en Ciencias

en la Especialidad de

Ingeniería Eléctrica

Director de la Tesis:

Dr. Arturo Díaz Pérez

México, D.F.

Febrero 2007

II

III

A mi mamá Hilda y mi papá Herminio a quienes amo y de quienes

me siento plenamente orgullosa porque me han enseñado a luchar por

mis metas pese a cualquier adversidad. Ellos llenan mi vida de

esperanza, amor y felicidad.

A Sebastián porque ha sido mi compañero y apoyo a lo largo de esta

aventura y sé que llegó a mi vida para llenarla de amor, comprensión

y sobre todo de felicidad. Te amo.

IV

Agradecimientos

Gracias a mis padres porque me han apoyado incondicionalmente en todas las decisio-
nes que he tomado en mi vida y a ellos dedico todo lo que soy y lo que he logrado. Doy
gracias a Dios por tenerlos a mi lado.

Gracias a mis hermanos Lupita y Carlos porque han sido mi ejemplo a seguir desde
que era pequeña. De ellos aprendí a ser mejor cada día y a confiar en que puedo alcanzar
cualquier meta que me proponga en la vida. Les agradezco todos los buenos momentos
que pasamos juntos.

Agradezco a José Sebastián González Altamirano porque fue quien me brindó su ayuda
para levantarme las tantas veces que caí y estuvo conmigo a lo largo de mi maestría
apoyándome en todo momento y trayendo alegría extra a mi vida.

Gracias a mi amiga Magally Morales por hacer más amena mi estancia en el D.F.
con su buen humor y a mi amigo Ismael Hernández por haberme ayudado cuando más lo
necesité. Gracias por haber sido mi familia en estos dos años.

Agradezco a mis amigos del CINVESTAV Florecita Radilla, Claudia Hernández, Re-
nato Zacapala, Oscar Irineo, Daniel López, Oscar Alvarado, Héctor Acosta y Julio Mocte-
zuma por todos los momentos de diversión y entretenimiento que pasamos juntos, también
porque aprendí mucho de cada uno de ustedes.

Agradezco a las secretarias del departamento de Computación, especialmente a Sofía
Reza porque siempre me ayudó a superarme como persona. Además hizo de todos mis
trámites un proceso fácil y ameno y me aconsejó cuando lo necesité.

Agradezco a mi asesor el dr. Arturo Díaz Pérez por haberme brindado su confianza y

haberme transmitido tantos conocimientos como profesor y como asesor de tesis.

Gracias a los revisores de este trabajo de tesis el dr. Luis Gerardo de la Fraga y el dr.

Miguel Ángel León Chávez por haber contribuido a mejorar este documento.

Gracias al CINVESTAV por haberme dado la oportunidad de estudiar en sus instala-

ciones.

VI

Agradecimientos

Gracias al Conacyt por haberme brindado una beca que sirvió para mi manutención

durante mis estudios de maestría.

Gracias al Conacyt por financiar parcialmente este trabajo a través del proyecto 45306:
Estudio, Análisis y Desarrollo de Algoritmos de Muy Alto Desempeño para Arquitecturas
Hardware/Software.

Gracias al departamento de Computación por haberme facilitado todos los recursos

para realizar mis estudios de maestría.

Gracias a la Biblioteca del departamento de Ingeniería Eléctrica por haberme propor-

cionado todos los libros que necesité.

Resumen

Debido al acelerado crecimiento de las redes de computadoras, el aspecto de la seguri-
dad informática se ha convertido en un área que demanda mayor atención y causa mayor
preocupación a los administradores de redes. Dentro de los mecanismos para afianzar la
seguridad de un sistema están los Sistemas de Detección de Intrusos (SDI), los cuales son
muy importantes.

En este trabajo de tesis se propone un SDI híbrido que combina las características
de un SDI basado en huésped y un SDI basado en red, esto con el fin de explotar las
ventajas que se obtienen de combinar ambos enfoques. Por un lado, los SDI basados en
red permiten obtener información general y amplia de un ataque, y por otro lado los SDI
basados en huésped proporcionan información más específica del rastro del atacante.

El sistema de monitoreo y detección de intrusos implementado cuenta con un módulo
que analiza las bitácoras de un sistema Linux. De éstas se obtienen variables que son
supervisadas y de las que se pueden obtener patrones de uso normal. Por otro lado se
cuenta con un módulo que supervisa el tráfico de entrada y salida muestreado de un
segmento de red. Cuando se detecta una actividad maliciosa en algunos de los dos módulos,
se correlaciona la información de ambos y si detecta alguna anomalía se envía una alerta
al administrador del sistema.

Así se supervisan varios servidores de una red en base a las actividades del sistema
operativo y las aplicaciones que en éstos se ejecutan, añadiendo la capacidad de supervisar
el tráfico que entra y sale de cada uno de estos servidores, aumentando así la confianza y
la exactitud en las detecciones de intrusos.

Con este SDI híbrido se pueden detectar ataques tan específicos como una exploración
de contraseñas y nombres de usuario legítimos, correo SPAM, abuso de los recursos del
servidor web, hasta ataques más generales como exploraciones de puertos y direcciones
IP, ataques de negación de servicio, entre otros.

El sistema fue implementado y evaluado en dos modos: en tiempo real y en modo de
simulación. Se hicieron pruebas en ambos modos, aunque en el modo de simulación hubo
más flexibilidad de modelar plataformas exhaustivas de pruebas. El sistema final tuvo
resultados de desempeño, rapidez y funcionalidad satisfactorios.

Abstract

Due to the accelerated growth of computer networks, the aspect of the computer science
security has become an area that demands more attention and cause more preoccupation
to network managers. Within the mechanisms to strengthen system security are Intrusion
Detection System (IDS), which is very important.

The present thesis work proposes a hybrid IDS that combines the characteristics of
a IDS based on host and a IDS based on network, this with the purpose to exploit the
advantages obtained from to combine both approaches. First of all, the IDS based on
network allow you to obtain general and ample information about an attack, and on the
other hand, the IDS based on host provide more specific information about the attacker’s
trace.

The monitoring and intruders detection system implemented has a module that analy-
zes the loging files of a Linux system. From these loging files, variables are obtained which
are supervised to get normal use patterns. In addition it has a module that supervises the
input/output traffic sampled of a network segment. When a malicious activity in some
of both modules is detected, the information of both is correlated and if some anomaly is
detected an alert is sent to the system manager.

Thus several hosts of a network are monitoring based on the operating system acti-
vities and the applications that are executed on it, adding the capacity to supervise the
input/output traffic from these hosts. In this way, it can increase the confidence and exac-
titude in the intruders detection.

This hybrid IDS can detect from specific attacks as user names and passwords cracking,
abuse of the web server resources, mail SPAM, to more general attacks for example, port
scaning and IP address scaning, denial of service, among others.

The system was implemented and evaluated in two ways: in real time and simulation
way. Tests were done in both ways, although in the simulation way there was more flexibi-
lity to model exhaustive platforms of tests. In the final system, the results of performance,
rapidity and functionality were satisfactory.

X

Abstract

Índice general

Agradecimientos

Resumen

Abstract

1. Introducción

1.1. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Metodología . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3. Organización de la tesis

V

VII

IX

1
4
4
5

2. Sistemas de Detección de Intrusos

2.1. Seguridad informática

2.3. Sistemas de Detección de Intrusos (SDI)

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.1.1. Seguridad, ataques y vulnerabilidades . . . . . . . . . . . . . . . . .

7
7
8
2.2. Herramientas de seguridad informática . . . . . . . . . . . . . . . . . . . . 14
2.2.1. Mecanismos de prevención . . . . . . . . . . . . . . . . . . . . . . . 14
2.2.2. Mecanismos de detección . . . . . . . . . . . . . . . . . . . . . . . . 16
2.2.3. Mecanismos de recuperación . . . . . . . . . . . . . . . . . . . . . . 16
. . . . . . . . . . . . . . . . . . . 17
2.3.1. Fuentes de datos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.3.2. Tipo de análisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.3.3. Mecanismo de respuesta . . . . . . . . . . . . . . . . . . . . . . . . 20
2.4. Clasificación de los SDI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.4.1. Sistemas de detección de intrusos basados en huésped (SDIh) . . . . 21
2.4.2. Sistemas de detección de intrusos basados en red (SDIr)
. . . . . . 23
. . . . . . . . . . . . . . 25
2.4.3. Sistemas de detección de intrusos híbridos
2.5. Técnicas de detección de los SDI
. . . . . . . . . . . . . . . . . . . . . . . 28
2.6. Discusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.7. Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31

3. Sistema Híbrido de Monitoreo y Detección de Intrusos

33
3.1. Descripción general del sistema de monitoreo y detección de intrusos . . . . 35
3.2. Agente de huésped (SDIh) . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.2.1. Agente de supervisión . . . . . . . . . . . . . . . . . . . . . . . . . 38

XII

ÍNDICE GEN