PDF de programación - Estudio de una plataforma de detección de intrusos Open Source

UNIVERSITAT POLIT`ECTICA DE CATALUNYA

Estudio de una plataforma de detección

de intrusos Open Source

per

Alan Alberto Ramírez García

Projecte Final de Carrera

a la

Escola T`ecnica Superior d’Enginyeria de Telecomunicació de Barcelona

Departament d’Enginyeria Telem`atica

Juliol de 2009

Agradecimientos

He de expresar mi gratitud e ilimitada admiración a mis padres, Óscar y María Teresa, y
a mis hermanos, por su comprensión, perseverancia y persistencia durante el desarrollo
de este trabajo pero en especial, por las muchas otras cosas más que vivimos y que
compartiremos. . .

Asimismo, manifestar agradecimiento a mis compañeros y grandes amigos, los cuales
han dado soporte moral e incluso, a veces, ayudas invaluables para la finalización de mi
proyecto, desde antes y para siempre, a Gianfranco, a Manuel, a Franco, a Juan Manuel,
inexorablemente a Lisset, a Jon, a Cristhian; a Gustavo; al Marc, al Jordi Palmés y al
Jordi Jaldo, al Alessandro, al Enric, por supuesto a Carlos Jiménez; a Milagros; a mi
camarada Krishna. . .

También manifestar mi inmensa gratitud y aprecio a Enriqueta, Julián y María Dolores,
por ser, no sólo durante el tiempo que ha durado este trabajo sino, siempre, afectuosos
conmigo y considerarme parte de la formidable familia que son. . .

Además, agradecer especialmente al doctor Carlos Silva y a mi director José Luis Muñoz
por haber confiado en mí y tolerarme a pesar de todo.

En general, a todos los que de una forma u otra desearon, expresa o tácitamente, lo
mejor de este proyecto. . .

i

Índice general

Agradecimientos

Lista de Figuras

1. Introducción

1.1. Motivación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2. Objetivos
1.2.1. Generales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.2. Específicos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3. Descripción de los contenidos . . . . . . . . . . . . . . . . . . . . . . . . .

I

V

1
1
2
2
2
2

2. Marco Teórico

4
4
2.1. Código abierto u Open Source . . . . . . . . . . . . . . . . . . . . . . . . .
4
2.2. Seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.3. Ataques de red . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
2.3.1. Denegación de servicios o DOS . . . . . . . . . . . . . . . . . . . .
6
2.3.2. Denegación de servicios distribuida o DDOS . . . . . . . . . . . . .
6
2.3.3. Scanning
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6
2.3.4. Sniffing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7
2.3.5. Ataques de autentificación . . . . . . . . . . . . . . . . . . . . . . .
7
IP Spoofing . . . . . . . . . . . . . . . . . . . . . . . . . .
2.3.5.1.
7
. . . . . . . . . . . . . . . . . . . . . . . .
2.3.5.2. DNS Spoofing
8
. . . . . . . . . . . . . . . . . . . . . . . .
2.3.5.3. ARP Spoofing
8
2.3.5.4. SMTP Spoofing y Spamming . . . . . . . . . . . . . . . .
8
2.4. Métodos de defensa tradicionales . . . . . . . . . . . . . . . . . . . . . . .
8
2.4.1. Firewalls y proxies . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
2.4.2. Redes privadas virtuales . . . . . . . . . . . . . . . . . . . . . . . .
2.4.3. Listas de acceso o ACL . . . . . . . . . . . . . . . . . . . . . . . .
9
2.4.4. Sistemas de detección y prevención de intrusos . . . . . . . . . . . 10
2.5. Virtualización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

2.5.1. Sistema anfitrión o host
2.5.2. Sistema operativo guest
2.5.3. Máquina virtual

3. Sistemas de Detección de Intrusos y Snort

12

ii

Contenido

iii

3.3.1.
3.3.2.
3.3.3.

. . . . . . . . . . . . . . . . . . . . . . 12
3.1. Sistemas de Detección de Intrusos
3.2. Arquitectura general
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3. Clasificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
IDS basado en host . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
IDS basado en red . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Implementación de IDSs . . . . . . . . . . . . . . . . . . . . . . . . 13
3.4. Snort como IDS basado en red . . . . . . . . . . . . . . . . . . . . . . . . 15
3.4.1. Características . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.4.2. Arquitectura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4.2.1. Sniffer de paquetes . . . . . . . . . . . . . . . . . . . . . . 16
3.4.2.2. Decodificadores
. . . . . . . . . . . . . . . . . . . . . . . 17
3.4.2.3. Preprocesadores . . . . . . . . . . . . . . . . . . . . . . . 17
3.4.2.4. Motor de detección . . . . . . . . . . . . . . . . . . . . . 18
3.4.2.5. Mecanismo de registro (logging) y alerta
. . . . . . . . . 18
. . . . . . . . . . . . . . 18
3.4.2.6. Procesadores de salida (output)
3.4.3. Configuración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.4.3.1. Fichero de configuración . . . . . . . . . . . . . . . . . . 19
3.4.3.2. Fichero de referencias . . . . . . . . . . . . . . . . . . . . 19
3.4.4. Reglas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.4.1. Descripción . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.4.2. Metodología en la composición de reglas . . . . . . . . . . 20
3.4.4.3. Estructura . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.4.4. Configuración y escritura . . . . . . . . . . . . . . . . . . 22

4. Implementación del Escenario

23
4.1. Herramientas de propósitos generales . . . . . . . . . . . . . . . . . . . . . 23
4.1.1. Network mapper o nmap . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.1.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 23
4.1.2. Wireshark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.1.2.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.3. Scapy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.3.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 25
4.1.3.2. Comandos y funciones . . . . . . . . . . . . . . . . . . . . 26
4.1.3.3. Funciones genéricas . . . . . . . . . . . . . . . . . . . . . 26
4.1.4. Base analisys and secutiry engine o BASE . . . . . . . . . . . . . . 26
4.2. Herramientas de virtualización . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2.1. VirtualBox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
4.2.1.1. Características . . . . . . . . . . . . . . . . . . . . . . . . 27
Implementación del escenario . . . . . . . . . . . . . . . . . . . . . . . . . 29
Instalación y configuración de VirtualBox . . . . . . . . . . . . . . 29
4.3.1.
4.3.1.1.
Instalación . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.3.2. Creación y configuración de máquinas virtuales . . . . . . . . . . . 30
4.3.3.
. . . . . . 31
4.3.4. Configuración de Snort + BASE para el escenario . . . . . . . . . 33
Instalación y preconfiguración de mysql y snort-mysql . . 33
4.3.4.1.
4.3.4.2. Configuración vía Web . . . . . . . . . . . . . . . . . . . 37
4.3.4.3. Clonación y backup de discos duros en VirtualBox . . . . 39

Instalación de herramientas y programas de uso general

4.3.

Contenido

iv

4.3.4.4. Asignación de propiedades de red en las VMs . . . . . . . 40
4.3.5. Escenario de pruebas . . . . . . . . . . . . . . . . . . . . . . . . . . 41

5. Ejecución de Pruebas y Análisis de Resultados

42
5.1. Escaneos con nmap y scapy . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.1.1. Escaneo nmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
5.1.2. Escaneo con Scapy . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.2. Alteración en los ttls de paquetes ICMP fragmentados . . . . . . . . . . . 48
5.3. Detección de actividad específica . . . . . . . . . . . . . . . . . . . . . . . 50

6. Conclusiones

54

Índice de figuras

Implementación paralela de Firewall, DMZ e IDS . . . . . . . . . . . . . . 14
3.1.
3.2. Vulneración de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3. Arquitectura de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4. Arquitectura de Snort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.5. Estructura de la cabecera de la regla en Snort . . . . . . . . . . . . . . . . 21
. . . . . . . . . . . . . . . 22
3.6. Ejemplo de composición de una regla en Snort

4.1. Técnicas de escaneos en nmap . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2. Listado de elementos de un paquete IP en Scapy a través de la función ls
27
4.3. Diagrama de un escenario de congifuración Snort+BASE . . . . . . . . . 28
4.4. Diagrama de un escenario distribuido de Snort
. . . . . . . . . . . . . . . 28
Instalación de VirtualBox . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.5.
4.6. Compilación del módulo de kernel vboxdrv . . . . . . . . . . . . . . . . . 31
4.7. Creación del grupo de usuarios de VirtualBox . . . . . . . . . . . . . . . . 31
4.8.
Inicio del New Vitual Machine Wizard . . . . . . . . . . . . . . . . . . . . 32
4.9. Selección del SSOO y del nombre de la VM . . . . . . . . . . . . . . . . . 32
4.10. Asignación de la RAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.11. Inicio del Create New Virtual Disk . . . . . . . . . . . . . . . . . . . . . . 33
4.12. Elección del tipo de imagen . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.13. Elección del nombre y tamaño del nuevo disco virtual
. . . . . . . . . . . 34
4.14. Creación de un nuevo disco virtual - Sumario . . . . . . . . . . . . . . . . 35
4.15. Creación de una máquina virtual en VB . . . . . . . . . . . . . . . . . . . 35
4.16. Definición d