Intrusion Prevention Systems (IPS)
IPS puede detectar:
OS, Web and database attacks
Spyware / Malware
Instant Messenger
Peer to Peer (P2P)
Worm propagation
data leakage
Intrusion Prevention Systems (IPS)
Network Intrusion Detection System (NIDSs)
Falsos positivos.
Falsos negativos.
Fine tunning
Administradores deben tener cuidado con las firmas, si lo que se busca en el trafico es demasiado general el IDS va a generar muchos falsos positivos de trafico normal, si lo que se busca es demasiado especifico quizá el IDS no detecte un ataque real.
Reducir falsos positivos con Nessus
Deshabilitar firmas de equipos que no existen en la red.
Escanear la red con Nessus, si Nessus reporta por ejemplo un problema con Telnet Service:
This service is dangerous in the sense that it is not ciphered – that is, everyone can sniff the data that passes between the telnet client and the telnet server. This includes logins and passwords. You should disable this service and use OpenSSH instead. (www.openssh.com) Solution : Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : Low CVE : CAN-1999-0619
Habilitar firmas acorde el reporte de Nessus en el IDS/IPS
Vunerability scanner
Nessus (www.nessus.org)
Escáner de vulnerabilidades YA NO MAS Open Source.
Cliente Servidor
Interfaz basada en GTK y Java entre otros
Realiza más de 16000 pruebas de seguridad remotas.
Está basado en plug-in(s).
Permite generar reportes html, xml, pdf, ascii, etc.
Anomaly detection
Anomalia basada en IPS para ver los cambios en el tráfico de comportamiento previamente medido como:
Aumento sustancial en el tráfico SMTP salientes Existencia de IRC de comunicaciones.
Nueva puertos abiertos o servicios
Anomaly detection implementación
El primer paso es configurar el IPS en learning mode (aprendizaje), cada vez que el IPS detecta nuevo comportamiento el administrador deberá configurarlo decirle si es normal o no.
El momento en que el IPS aprendió todo el comportamiento de la red se configura el blocking mode ahí el IPS para todo el trafico que no esta en su perfil aprendidó.
Hacer el fine tuning de este IPS consume muchas horas.
Error en configuración: backups, corte de electricidad.
Gartner Magic Quadrant
(Gp:) IDS Vendors 2005 Q2
Problemas con IDS/IPS
IPS basado en firmas- no detecta ataques si no existe la firma.
Firmas incorrectas.
Falsos positivos|negativos
El Fine Tuning toma mucho tiempo| varias empresas lo apagan.
Puede crear latencia en la red especificamente con protocolos Real Time VOIP
Single point of failure:
Fail open
Fail Close
HTTPS/SSL
Problemas con IDS/IPS
Caída de paquetes, el IPS no analiza todo el trafico.
Configuración incorrecta- el IDS/IPS no tiene firmas para protocoles usados en la red, no se puede agregar firmas en varios IDS/IPS.
Configuración incorrecta- configurar un ip a las placas de red.
Configuración incorrecta- poner el equipo en blocking mode antes de reducirle los Falsos positivos.
Como atacar bajo el radar del IDS/IPS
Crear ataques nuevos| no hay firma contra el ataque.
Mandar Muchos ataques rapidos (nessus).
Stick attack (herramienta) www.eurocomptonnet/stick/projects8.html
Crear un tunnel SSL.
Escaniar lento. (nmap T)
Fregmentacion: (ejemplo Code red)
Packet A: GET /scripts/root
Packet B:t.exe /
Packet C:c+dir
Servidor destino despues de reassembled:
GET /scripts/root.exe /c+dir
Herramienta: Fragrouter (www.monkey.org/~dugsong/fragroute/)
ADMutate
Como atacar bajo el radar del IDS/IPS
Port scanners
la mayoria de los IDS/IPS detectan escaneo de purtos si hay mas de 3 intentos por minutode mismo ip.Ip spoofing, cambiar el ip de origen cada continumente. Tool-MingSweeper.
Encoding –
GET /cgi-bin/ HTTP/1.0
Es lo mismo como:
GET /%63%67%69%2d%62%69%6e/ HTTP/1.0
//////// –
GET /etc/ passwd /tmp/attackinfo
Es lo mismo como:
GET ///////////etc/passwd /tmp/attackinfo
como atacar bajo el radar del IDS/IPS
/./././
Todo el mundo sabe que. / es en este directorio, de forma que:
/././cgibin/testcgi
Es como:
/cgibin/testcgi
cgibintestcgi
cgibintestcgi
Es lo mismo como:
/cgibin/testcgi
No funsina con IIS
IDS/IPS
Snort (www.snort.org)
Sistema de Detección de Intrusos de red basado en firmas.
Snort es un producto con licenciamiento GPL.
Administración centralizada.
Excelente performance.
Uno puede agregar firmas.
Integración con bases de datos y sistemas Syslog.
Open Source In-Line IDS/IPS: Hogwash
http://hogwash.sourceforge.net/oldindex.html
SIM: Security information Managment
Senario:
Al mismo tiempo alguien esta escaneando puertos abiertos en el Router externo y alguien esta tratando de loguiar varias veces sin éxito al servidor de finanzas
Como nosotros sabemos de los dos eventos y cual evento necesita primero nuestra atención?
SIM: Security information Managment
OSSIM www.ossim.net
OSSIM www.ossim.net
SIM: Security information Managment
OSSIM www.ossim.net
ArcSight www.arcsight.com
Novell Sentinal
www.novell.com/products/sentinel/
Ethical Hacking
Enfoque penetration tester.
Metodología de Penetration Test.
Objetivo Ethical Hacking
Simulación externa de un ataque para verificar la seguridad de la red así como para encontrar vulnerabilidades.
Obtención de evidencias concretas.
Obtención de algún tipo de archivo de los servidores o redes
Sembrado de pruebas en los servidores
Captura de paquetes, limitación del servicio del recurso, etc.
Diferencias
El Hacker termina cuando rompe la seguridad del sistema (suficiente con una vulnerabilidad). Su tiempo para realizar un ataque es infinito.
Diferencias
El trabajo del penetrator tester termina cuando encuentra todas las vulnerabilidades del sistema tanto en el Gateway como en el firewall o como en cualquier componente de la red que está analizando. Además tiene tiempo limitado para realizar el test. Elaboración de informe de seguridad y documentación así como soluciones a los problemas encontrados.
Los 2 ambientes básicos
White box: Proporcionar al penetration tester la información necesaria para hacer el testeo de seguridad.
Black box: sólo posee información del nombre de la empresa.
¿Por qué hacer un Penetration Test?
Encontrar máquinas mal configuradas que el cliente no había notado.
Verificar que sus mecanismos de seguridad funcionen.
Estar tranquilo.
Recuerde 99.9% seguro = 100% ¡vulnerable!
Definiendo el Test
Entender las limitaciones
Point-in-time snapshot
Nunca puede ser considerado 100% amplio
Restringido por tiempo y recursos
Reglas de compromiso
La primera regla :No dañar
Reporte
Los reportes deben…
No deben tener falsos positivos
Resultados que establezcan prioridades
Secciones técnica y ejecutiva por separado
Establecer qué recursos son necesarios
Recomendaciones para el mundo real
OSSTMM
OSSTMM Open-Source Security Testing Methodology Manual
Version 2.0 at www.osstmm.org (redirects to http://www.isecom.org/projects/osstmm.htm)
Desarrollado por Pete Herzog, es un documento vívido sobre cómo hacer un penetration test.
Define como proceder en un pen test, pero no habla sobre las herramientas actuales.
Técnica Penetration Testing
Recoger Información
Scan direcciones IP
Evaluar la información
Explotar servicios vulnerables
Elevar el acceso
Repetir
Página anterior | Volver al principio del trabajo | Página siguiente |