SEGURIDAD EN LA RED Y ANÁLISIS FORENSE"

8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"

1/22

Universidad de Murcia Facultad de Informtica

HADES

SEGURIDAD EN LA RED

YANLISIS FORENSE


2/22


Tabla de Contenido

Introduccin Objetivos y Metodologa Diseo y Resolucin

Conclusin y Vas Futuras


3/22


Introduccin (I)

Antecedentes

Desde el primer gran incidente de seguridad en 1988 la

preocupacin por la seguridad en equipos y redes decomputadores de propsito general se ha convertido enalgo fundamental.

Ante la aparicin de los peligros potenciales que poda

entraar un fallo o un ataque a los equipos informticossurgen los CERT para dar respuesta rpida a losproblemas de seguridad. El primero en crearse fue elCERT/CC.


4/22


Introduccin (II)

El Problema de la Seguridad

Cada da se hace ms patente la preocupacin por lostemas relacionados con la seguridad en la red y sus equipos

informticos, as como la necesidad de esta seguridad.

El nmero de incidentes de seguridad reportados y el costo

econmico asociado crece de forma espectacular ao trasao.


5/22


Introduccin (III)

Anlisis Forense (Concepto)Si la prevencin y los IDS (Sistemas de Deteccin

de Intrusos) fallan Anlisis Forense.

Def: Anlisis de un equipo atacado para averiguarel alcance de la violacin, las actividades de unintruso en el sistema, y la puerta utilizada paraentrar; de esta forma se previenen ataques

posteriores y se detectan ataques a otrossistemas de la propia red.


6/22

Introduccin (IV)

Anlisis Forense (Dificultad)

Sin embargo, no resulta fcil:

- Proceso laborioso (mucha informacin).

- Actuacin precipitada de administradores.

- Eliminacin de pruebas.

- Falta de automatizacin.



7/22

Introduccin (y V)

Experiencia Piloto de RedIRIS Como consecuencia de los problemas de seguridad,

RedIRIS emprende un proyecto a nivel nacional.

Coordinado desde IRIS-CERT y con la colaboracin devarias Universidades Espaolas.

Objetivo: Creacin de una red de equipos supervisada, quepermita la deteccin de nuevos patrones de ataque y el

anlisis de los sistemas atacados.

Este proyecto est enmarcado dentro de esa experienciapiloto.



8/22

Objetivos y Metodologa (I)

Objetivos Desarrollo de un sistema capaz de monitorizar de manera

transparente la informacin que circula por la red destinadaa uno o varios equipos especficos para detectar ataques.

Estudio pormenorizado de los ataques, usando lainformacin almacenada por los IDS y la informacin que sepueda recuperar del equipo atacado.

Obtencin de patrones de comportamiento de los atacantespara descubrir nuevas modalidades de intrusin.

Desarrollo de una gua que especifique los pasos a seguircuando un equipo ha sido atacado.



9/22

Objetivos y Metodologa (y II)


VctimaAtacante Vctima

ControlAnlisis Forense


10/22


11/22

Diseo y Resolucin (II) Diseo de la topologa (Soluciones)



12/22

Diseo y Resolucin (III)

Configuracin del Sistema de Control

Instalacin de un sistema operativo seguro (VA-Linux).

Funcionamiento en modo Bridge (bridge-utils).

Configuracin para realizarFirewalling(iptables).

Monitorizacin de los equipos trampa (tcpdump y snort).



13/22


14/22

Diseo y Resolucin (V) Anlisis de Ataques (Ideas Generales)

La mayor parte de los ataques que acaban con un acceso al sistemacon privilegios de rootsiguen el mismo esquema:

Se realiza un escaneo buscando equipos vulnerables que estnejecutando un servicio con algn fallo de seguridad conocido.

Se emplea un exploitcontra el equipo, consiguiendo instalar unapuerta de acceso al sistema.

El atacante instala o compila un rootkit: conjunto de programas de

nombre y comportamiento similar al de comandos del sistemaoperativo, que sin embargo no muestran informacin sobredeterminados estados del sistema.

El atacante instala herramientas de ataque para escanear otrosequipos y redes, empleando esta mquina como puente.



15/22

Diseo y Resolucin (VI)

Anlisis de Ataques (Anlisis Forense I) Evitar utilizar comandos y/o aplicaciones del equipo atacado, ya que

pueden estar troyanizadas. As mismo, utilizar programas compiladosestticamente. Mejor si se usa un equipo distinto para el anlisis.

Realizar una copia a nivel de bit de los datos y enviarlos (si esposible) a otro equipo.

- Ejemplo:

En el equipo vctima:

dd if=/dev/sda4 of = | nc equipo_remoto p 100

En el equipo remoto:nc s p 1000 > sda4



16/22

Diseo y Resolucin (VII)

Anlisis de Ataques (Anlisis Forense II) Obtener todos los datos disponibles sobre el sistema: versin,

particiones, hora y fecha del ataque, fecha en la que se desconect dela red...

Montar las imgenes de las particiones para su anlisis.

- Ejemplo:

mount -o ro,loop,nodev,noexec raiz-hda4 home/analisis/discomount -o ro,loop,nodev,noexec var-hda3 home/analisis/disco/var



17/22

Diseo y Resolucin (VIII)

Anlisis de Ataques (Anlisis Forense III)Obtener los tiempos MAC de ficheros y directorios antes de

hacer cualquier modificacin (grabbe-robber, ils, ils2mac,

mactime).

- Ejemplo:

# grave-robber -o LINUX2 -c home/analisis/disco -m -d ./resultados

# ils /home/analisis/raiz-hda4 |ils2mac > ilsbody

# cat body ilsbody > body-full

# mactime -b body-full 08/04/2001 > mactime.txt



18/22

Diseo y Resolucin (IX) Anlisis de Ataques (Anlisis Forense IV)

Comprobar la integridad de todos los binarios existentes en elsistema y de los paquetes instalados (Tripwire, rpm, pkgchk...).

- Ejemplo:

# rpm -V -a --root=home/analisis/disco/...SM5....T /bin/lsSM5....T /usr/bin/ps...

Inspeccionar ficheros de configuracin en busca de modificaciones.

Buscar cadenas extraas dentro de ficheros binarios que puedandelatar la presencia de un rootkit(difcil).



19/22

Diseo y Resolucin (X) Anlisis de Ataques (Anlisis Forense V)

Analizar los tiempos MAC para crear una lnea temporal de lasactividades realizadas por el intruso.

- Ejemplo:

Aug 06 01 09:57:55627271 ..c -rw-r--r-- root root

Aug 06 01 09:58:004096 m.c drwxr-xr-x root root home/analisis/disco/bin11952 .a. -rwxr-xr-x root root home/analisis/disco/bin/chown

35300 ..c -rwxr-xr-x root root home/analisis/disco/bin/netstat33280 ..c -rwxr-xr-x root root home/analisis/disco/bin/ps36864 m.c drwxr-xr-x root root home/analisis/disco/dev241 m.c -rw-r--r-- root root home/analisis/disco/dev/xdta145 m.c -rw-r--r-- root root home/analisis/disco/dev/xmx19840 ..c -rwxr-xr-x root root home/analisis/disco/sbin/ifconfig



20/22

Diseo y Resolucin (y XI) Anlisis de Ataques (Anlisis Forense y VI)

Recuperar la informacin eliminada por el atacante (unrm,lazarus, icat...).

- Ejemplo:

# icat raiz-hda4 92962 > fich-92962

Contrastar la informacin obtenida con la que ha quedado

almacenada en el sistema de monitorizacin (IDS).



21/22

Conclusiones y Vas Futuras (I)- Conclusiones:

El problema de la seguridad en equipos informticos y redes decomputadores es tan amplio como complejo.

Esto crea la necesidad de tener sistemas eficaces de deteccinde intrusiones y estar al da en los nuevos mtodos de ataque.

Difcil encontrar gente con experiencia en el anlisis de ataques yfalta de un marco de trabajo comn.

En este proyecto se ha tratado de aunar ambos problemas paraproponer soluciones prcticas.

Los resultados alcanzados hacen pensar que se abren laspuertas de una nueva lnea de investigacin, que ayudar aconseguir equipos ms seguros.



22/22

Conclusiones y Vas Futuras (y II)

- Vas futuras:

Instalacin y monitorizacin de ms equipos trampa.

Captura de logs remotos.

Monitorizacin de los procesos del sistema.

Desarrollo de una interfaz que permita la separacin,visualizacin y clasificacin de las distintas conexiones

establecidas sobre un equipo.


SEGURIDAD EN LA RED Y ANÁLISIS FORENSE"

Documents

Transcript of SEGURIDAD EN LA RED Y ANÁLISIS FORENSE"