(Informatica Seguridad Analisis) Reto Informe Tecnico Analisis Forense Rediris
SEGURIDAD EN LA RED Y ANÁLISIS FORENSE"
-
Upload
peruhacking -
Category
Documents
-
view
215 -
download
0
Transcript of SEGURIDAD EN LA RED Y ANÁLISIS FORENSE"
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
1/22
Universidad de Murcia Facultad de Informtica
HADES
SEGURIDAD EN LA RED
YANLISIS FORENSE
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
2/22
Universidad de Murcia Facultad de Informtica
Tabla de Contenido
Introduccin Objetivos y Metodologa Diseo y Resolucin
Conclusin y Vas Futuras
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
3/22
Universidad de Murcia Facultad de Informtica
Introduccin (I)
Antecedentes
Desde el primer gran incidente de seguridad en 1988 la
preocupacin por la seguridad en equipos y redes decomputadores de propsito general se ha convertido enalgo fundamental.
Ante la aparicin de los peligros potenciales que poda
entraar un fallo o un ataque a los equipos informticossurgen los CERT para dar respuesta rpida a losproblemas de seguridad. El primero en crearse fue elCERT/CC.
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
4/22
Universidad de Murcia Facultad de Informtica
Introduccin (II)
El Problema de la Seguridad
Cada da se hace ms patente la preocupacin por lostemas relacionados con la seguridad en la red y sus equipos
informticos, as como la necesidad de esta seguridad.
El nmero de incidentes de seguridad reportados y el costo
econmico asociado crece de forma espectacular ao trasao.
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
5/22
Universidad de Murcia Facultad de Informtica
Introduccin (III)
Anlisis Forense (Concepto)Si la prevencin y los IDS (Sistemas de Deteccin
de Intrusos) fallan Anlisis Forense.
Def: Anlisis de un equipo atacado para averiguarel alcance de la violacin, las actividades de unintruso en el sistema, y la puerta utilizada paraentrar; de esta forma se previenen ataques
posteriores y se detectan ataques a otrossistemas de la propia red.
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
6/22
Introduccin (IV)
Anlisis Forense (Dificultad)
Sin embargo, no resulta fcil:
- Proceso laborioso (mucha informacin).
- Actuacin precipitada de administradores.
- Eliminacin de pruebas.
- Falta de automatizacin.
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
7/22
Introduccin (y V)
Experiencia Piloto de RedIRIS Como consecuencia de los problemas de seguridad,
RedIRIS emprende un proyecto a nivel nacional.
Coordinado desde IRIS-CERT y con la colaboracin devarias Universidades Espaolas.
Objetivo: Creacin de una red de equipos supervisada, quepermita la deteccin de nuevos patrones de ataque y el
anlisis de los sistemas atacados.
Este proyecto est enmarcado dentro de esa experienciapiloto.
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
8/22
Objetivos y Metodologa (I)
Objetivos Desarrollo de un sistema capaz de monitorizar de manera
transparente la informacin que circula por la red destinadaa uno o varios equipos especficos para detectar ataques.
Estudio pormenorizado de los ataques, usando lainformacin almacenada por los IDS y la informacin que sepueda recuperar del equipo atacado.
Obtencin de patrones de comportamiento de los atacantespara descubrir nuevas modalidades de intrusin.
Desarrollo de una gua que especifique los pasos a seguircuando un equipo ha sido atacado.
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
9/22
Objetivos y Metodologa (y II)
Universidad de Murcia Facultad de Informtica
VctimaAtacante Vctima
ControlAnlisis Forense
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
10/22
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
11/22
Diseo y Resolucin (II) Diseo de la topologa (Soluciones)
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
12/22
Diseo y Resolucin (III)
Configuracin del Sistema de Control
Instalacin de un sistema operativo seguro (VA-Linux).
Funcionamiento en modo Bridge (bridge-utils).
Configuracin para realizarFirewalling(iptables).
Monitorizacin de los equipos trampa (tcpdump y snort).
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
13/22
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
14/22
Diseo y Resolucin (V) Anlisis de Ataques (Ideas Generales)
La mayor parte de los ataques que acaban con un acceso al sistemacon privilegios de rootsiguen el mismo esquema:
Se realiza un escaneo buscando equipos vulnerables que estnejecutando un servicio con algn fallo de seguridad conocido.
Se emplea un exploitcontra el equipo, consiguiendo instalar unapuerta de acceso al sistema.
El atacante instala o compila un rootkit: conjunto de programas de
nombre y comportamiento similar al de comandos del sistemaoperativo, que sin embargo no muestran informacin sobredeterminados estados del sistema.
El atacante instala herramientas de ataque para escanear otrosequipos y redes, empleando esta mquina como puente.
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
15/22
Diseo y Resolucin (VI)
Anlisis de Ataques (Anlisis Forense I) Evitar utilizar comandos y/o aplicaciones del equipo atacado, ya que
pueden estar troyanizadas. As mismo, utilizar programas compiladosestticamente. Mejor si se usa un equipo distinto para el anlisis.
Realizar una copia a nivel de bit de los datos y enviarlos (si esposible) a otro equipo.
- Ejemplo:
En el equipo vctima:
dd if=/dev/sda4 of = | nc equipo_remoto p 100
En el equipo remoto:nc s p 1000 > sda4
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
16/22
Diseo y Resolucin (VII)
Anlisis de Ataques (Anlisis Forense II) Obtener todos los datos disponibles sobre el sistema: versin,
particiones, hora y fecha del ataque, fecha en la que se desconect dela red...
Montar las imgenes de las particiones para su anlisis.
- Ejemplo:
mount -o ro,loop,nodev,noexec raiz-hda4 home/analisis/discomount -o ro,loop,nodev,noexec var-hda3 home/analisis/disco/var
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
17/22
Diseo y Resolucin (VIII)
Anlisis de Ataques (Anlisis Forense III)Obtener los tiempos MAC de ficheros y directorios antes de
hacer cualquier modificacin (grabbe-robber, ils, ils2mac,
mactime).
- Ejemplo:
# grave-robber -o LINUX2 -c home/analisis/disco -m -d ./resultados
# ils /home/analisis/raiz-hda4 |ils2mac > ilsbody
# cat body ilsbody > body-full
# mactime -b body-full 08/04/2001 > mactime.txt
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
18/22
Diseo y Resolucin (IX) Anlisis de Ataques (Anlisis Forense IV)
Comprobar la integridad de todos los binarios existentes en elsistema y de los paquetes instalados (Tripwire, rpm, pkgchk...).
- Ejemplo:
# rpm -V -a --root=home/analisis/disco/...SM5....T /bin/lsSM5....T /usr/bin/ps...
Inspeccionar ficheros de configuracin en busca de modificaciones.
Buscar cadenas extraas dentro de ficheros binarios que puedandelatar la presencia de un rootkit(difcil).
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
19/22
Diseo y Resolucin (X) Anlisis de Ataques (Anlisis Forense V)
Analizar los tiempos MAC para crear una lnea temporal de lasactividades realizadas por el intruso.
- Ejemplo:
Aug 06 01 09:57:55627271 ..c -rw-r--r-- root root
Aug 06 01 09:58:004096 m.c drwxr-xr-x root root home/analisis/disco/bin11952 .a. -rwxr-xr-x root root home/analisis/disco/bin/chown
35300 ..c -rwxr-xr-x root root home/analisis/disco/bin/netstat33280 ..c -rwxr-xr-x root root home/analisis/disco/bin/ps36864 m.c drwxr-xr-x root root home/analisis/disco/dev241 m.c -rw-r--r-- root root home/analisis/disco/dev/xdta145 m.c -rw-r--r-- root root home/analisis/disco/dev/xmx19840 ..c -rwxr-xr-x root root home/analisis/disco/sbin/ifconfig
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
20/22
Diseo y Resolucin (y XI) Anlisis de Ataques (Anlisis Forense y VI)
Recuperar la informacin eliminada por el atacante (unrm,lazarus, icat...).
- Ejemplo:
# icat raiz-hda4 92962 > fich-92962
Contrastar la informacin obtenida con la que ha quedado
almacenada en el sistema de monitorizacin (IDS).
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
21/22
Conclusiones y Vas Futuras (I)- Conclusiones:
El problema de la seguridad en equipos informticos y redes decomputadores es tan amplio como complejo.
Esto crea la necesidad de tener sistemas eficaces de deteccinde intrusiones y estar al da en los nuevos mtodos de ataque.
Difcil encontrar gente con experiencia en el anlisis de ataques yfalta de un marco de trabajo comn.
En este proyecto se ha tratado de aunar ambos problemas paraproponer soluciones prcticas.
Los resultados alcanzados hacen pensar que se abren laspuertas de una nueva lnea de investigacin, que ayudar aconseguir equipos ms seguros.
Universidad de Murcia Facultad de Informtica
-
8/14/2019 SEGURIDAD EN LA RED Y ANLISIS FORENSE"
22/22
Conclusiones y Vas Futuras (y II)
- Vas futuras:
Instalacin y monitorizacin de ms equipos trampa.
Captura de logs remotos.
Monitorizacin de los procesos del sistema.
Desarrollo de una interfaz que permita la separacin,visualizacin y clasificacin de las distintas conexiones
establecidas sobre un equipo.
Universidad de Murcia Facultad de Informtica