PDF de programación - Intrusión y respuesta

Intrusión y respuesta
Intrusión y respuesta

Yeray Santana Benítez
Yeray Santana Benítez

11

Introducción
Introducción

Las empresas manejan gran cantidad de información
Las empresas manejan gran cantidad de información
que guardan en sus sistemas informáticos.
que guardan en sus sistemas informáticos.

Como administradores de sistemas debemos asegurar la
Como administradores de sistemas debemos asegurar la
integridad y seguridad de nuestros equipos.
integridad y seguridad de nuestros equipos.

Un sistema de detección de intrusiones (IDS) es un
Un sistema de detección de intrusiones (IDS) es un
proceso o dispositivo que analiza al sistema y/o la
proceso o dispositivo que analiza al sistema y/o la
actividad de la red con el objetivo de encontrar entradas
actividad de la red con el objetivo de encontrar entradas
no autorizadas o actividad maliciosa.
no autorizadas o actividad maliciosa.

22

Clasificación de los IDS
Clasificación de los IDS

IDS basados en

hosts: intentan
: intentan

IDS basados en hosts
determinar actividades maliciosas,
determinar actividades maliciosas,
abusivas o intrusión. Para ello comparan
abusivas o intrusión. Para ello comparan
los logs
del sistema con una base de logs
logs
los
interna que representan ataques
interna que representan ataques
conocidos.
conocidos.
Tripwire

logs del sistema con una base de

, SWATCH, RPMs

Tripwire, SWATCH,
RPMs (verificación de
(verificación de
cambios en archivos: tamaño, permisos).
cambios en archivos: tamaño, permisos).

33

 IDS basados en la red:

escanean los
los

IDS basados en la red: escanean
paquetes que circulan por la red creando
paquetes que circulan por la red creando
logs asociados a paquetes sospechosos.
asociados a paquetes sospechosos.
logs
Luego comparan dicha información con
Luego comparan dicha información con
una base de datos interna. Muchos de
una base de datos interna. Muchos de
estos sistemas de detección necesitan
estos sistemas de detección necesitan
actuar en modo promiscuo para poder
actuar en modo promiscuo para poder
capturar todos los paquetes que circulan
capturar todos los paquetes que circulan
por la red.
por la red.
Ifconfig

Ifconfig eth0

eth0 promisc
promisc

44

1. Audición y monitorización
1. Audición y monitorización

Usaremos dos herramientas:
Usaremos dos herramientas:
Saint para escuchar

hosts de nuestra red y
de nuestra red y

Saint para escuchar hosts
descubrir vulnerabilidades.
descubrir vulnerabilidades.
Swatch para monitorizar

para monitorizar logs
logs..

Swatch

55

SAINT: Security Administrator’s
SAINT: Security Administrator’s

Integrated Network Tool
Integrated Network Tool

Escanea

Escanea ordenadores de una red y comprueba
ordenadores de una red y comprueba
las vulnerabilidades mediante una base de
las vulnerabilidades mediante una base de
datos dependiente del S.OS.O. .
datos dependiente del

Reporta la información necesaria para
Reporta la información necesaria para
determinar dichas vulnerabilidades.
determinar dichas vulnerabilidades.

Necesita ciertos requisitos para ser instalado:
Necesita ciertos requisitos para ser instalado:
PerlPerl 5.0 o superior.
5.0 o superior.

Samba

httphttp://://www.cpam.org
www.cpam.org
Samba: en caso de tener equipos en la red con
: en caso de tener equipos en la red con
Windows.
Windows.

66

 Nmap

2.53.tgztgz

nmap--2.53.

Nmap: comprueba puertos de la red
: comprueba puertos de la red
http://www.insecure.org/nmap/
http://www.insecure.org/nmap/
$ $ tartar --xzfxzf nmap
$ $ cdcd nmap
nmap--2.532.53
$ ./configure
$ ./configure
[…]
[…]
$ $ makemake
[…]
[…]
$ su$ su
Password::
Password
# # makemake install
install
[…]
[…]
# # exitexit
$$

77

Descargamos Saint desde
Descargamos Saint desde
http://www.wwdsi.com/saint/downloads/
http://www.wwdsi.com/saint/downloads/

saint--3.1.2.tar.gz.tgz
$ tar ––xzfxzf saint
3.1.2.tar.gz.tgz
$ tar
$ $ cdcd saint
saint--3.1.2
3.1.2
$ ./configure
$ ./configure
[…]
[…]
$ make
$ make
[…]
[…]
$ $ susu
Password:
Password:
# make install
# make install
mkdirmkdir ––p /usr/local/man/man1
p /usr/local/man/man1
install ––c c ––o root
install

/usr/local/man/man1/saint.
/usr/local/man/man1/saint.

o root ––g 0 g 0 ––m 444 saint.1
m 444 saint.1

##

Debemos tener una versión actualizada del programa ya
Debemos tener una versión actualizada del programa ya
que los ataques y las vulnerabilidades están en continua
que los ataques y las vulnerabilidades están en continua
evolución.
evolución.

88

Usando Saint
Usando Saint

Se ha de tener privilegios de

Se ha de tener privilegios de superusuario
en un terminal X.
en un terminal X.

superusuario y ejecutarlo
y ejecutarlo

Saint se ejecuta en una ventana de navegador.
Saint se ejecuta en una ventana de navegador.
./Saint
./Saint

Una vez se ha abierto la ventana, debemos ir a la opción
Una vez se ha abierto la ventana, debemos ir a la opción
“Target Selection”, que nos llevará a otra ventana en la
“Target Selection”, que nos llevará a otra ventana en la
que declararemos los hosts que queremos escanear.
que declararemos los hosts que queremos escanear.

Podemos poner el nombre del

Podemos poner el nombre del hosthost “myhost.mynet.net”,
“myhost.mynet.net”,
direcciones IP o subredes enteras. Si ponemos más de
direcciones IP o subredes enteras. Si ponemos más de
un equipo deberá haber un espacio entre ellos.
un equipo deberá haber un espacio entre ellos.

99

Una vez elegidos los equipos a escanear
escanear, ,
Una vez elegidos los equipos a
seleccionamos la intensidad del escaneado
escaneado. .
seleccionamos la intensidad del
Ahora estamos listos para proceder con la
Ahora estamos listos para proceder con la
audición pinchando sobre el botón “Start the
audición pinchando sobre el botón “Start the
scan”.
scan”.

NO se debe usar la ventana

NO se debe usar la ventana webweb que se abre
que se abre
para navegar fuera de la red, ya que SAINT es
para navegar fuera de la red, ya que SAINT es
ejecutado con privilegios de root
ejecutado con privilegios de
información usando el Netscape
Netscape..
información usando el

root y guarda
y guarda

Picamos sobre la opción de recargar la pagina
Picamos sobre la opción de recargar la pagina
del navegador y pinchamos sobre “Yes”:
del navegador y pinchamos sobre “Yes”:
empezará entonces la busqueda de
empezará entonces la busqueda de
vulnerabilidades.
vulnerabilidades.

1010

 Una vez que SAINT termine de

Una vez que SAINT termine de escanear
escanear, ,
pinchamos sobre ”Continue with report and
pinchamos sobre ”Continue with report and
analysis”.
analysis”.

En la pantalla de “Data analysis” se nos muestra
En la pantalla de “Data analysis” se nos muestra
una serie de opciones cada una de las cuales
una serie de opciones cada una de las cuales
muestra información sobre vulnerabilidades o
muestra información sobre vulnerabilidades o
posibles vulnerabilidades que SAINT encontró.
posibles vulnerabilidades que SAINT encontró.

Pinchamos sobre “By approximate danger level”
Pinchamos sobre “By approximate danger level”
y se nos mostrarán todas las vulnerabilidades
y se nos mostrarán todas las vulnerabilidades
del sistema.
del sistema.

1111

 Cada vulnerabilidad está listada por

Cada vulnerabilidad está listada por hosthost y titulo. Pinchando
y titulo. Pinchando
sobre el link obtenemos información detallada:
sobre el link obtenemos información detallada:
El nombre y links a información más detallada.
El nombre y links a información más detallada.
Información para determinar como afecta la vulnerabilidad
Información para determinar como afecta la vulnerabilidad
al sistema.
al sistema.
El nivel de peligro.
El nivel de peligro.
Los tipos y versiones del software y S.OS.O. a los que afecta.
. a los que afecta.
Los tipos y versiones del software y
Posibles soluciones para eliminar o recuperarse de un
Posibles soluciones para eliminar o recuperarse de un
ataque.
ataque.

El grado en que la vulnerabilidad afecta al sistema se declara
El grado en que la vulnerabilidad afecta al sistema se declara
con un semáforo:
con un semáforo:
Si el indicador es amarillo, se ha de estudiar la
Si el indicador es amarillo, se ha de estudiar la
vulnerabilidad para ver si realmente afecta al sistema.
vulnerabilidad para ver si realmente afecta al sistema.
Si el indicador es rojo, la vulnerabilidad afecta al sistema.
Si el indicador es rojo, la vulnerabilidad afecta al sistema.

1212

SWATCH
SWATCH

Herramienta escrita en PERL cuya función
Herramienta escrita en PERL cuya función
es la de monitorizar logs
es la de monitorizar
consecuencia:
consecuencia:
Mandar un fax, lanzar un beeper,…
Mandar un fax, lanzar un beeper,…

logs y actuar en
y actuar en

Se puede descargar de:
Se puede descargar de:
ftp://ftp.stanford.edu
ftp://

ftp.stanford.edu/general/

/general/security
security--

tools//swatch
tools

swatch/ /

1313

Instalando SWATCH
Instalando SWATCH

Instalación:
Instalación:

$ $ tartar --xfxf swatch.tar
swatch.tar
swatch--3.0.1
$ $ cdcd swatch
3.0.1
$ $ perlperl Makefile.PL
Makefile.PL
[…]
[…]
$