Snort Ids/Ips en Appliance Pfsense.

download Snort Ids/Ips en Appliance Pfsense.

of 26

description

Snort Ids/Ips en Appliance Pfsense.

Transcript of Snort Ids/Ips en Appliance Pfsense.

SNORT IDS/IPS EN APPLIANCE PFSENSE.

POR: Maicol Muoz.

INSTRUCTOR: Andres Mauricio Ortiz.

Gestin de la seguridad de la red.

Tecnlogo en administracin de redes Informticas. 35442.

Servicio nacional de aprendizaje (SENA) Antioquia Centro de Servicios y Gestin Empresarial. (CESGE) 2011

INTRODUCCION. La seguridad es la principal defensa que puede tener una organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet. El Firewall ofrece esta seguridad, mediante: Polticas de seguridad, determinando que servicios de la red pueden ser acezados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados. Pfsense es una distribucin personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de cdigo abierto, puede ser instalado en una gran variedad de ordenadores, y adems cuenta con una interfaz web sencilla para su configuracin.

MARCO TEORICO.Que es un IDS? Un IDS es un Sistema de Deteccin de Intrusos, es un software capaz de relacionar eventos en un equipo y relacionarlos con un tipo de ataque si asi lo fueran. Los IDS suelen contener sniffers para basarse en estos y determinar los ataques, es algo similar a tener a una persona sentada en un equipo monitoreando una red con Wireshark y verificando lo que pasa para ver si hay intrusiones. Existen 2 tipos de IDS los HIDS y los NIDS: HIDS Es un Sistema de Deteccin de Intrusos basado en Host el cual registra los eventos ocurridos en este ya que generalmente cuando hay una intrusin quedan rastros en lugares como el registro o las DLL (en el caso Windows). NIDS Es un Sistema de Deteccin de Intrusos basado en Red se encarga de sniffers y determinar los accesos a todo un segmento de red y dar oportuno aviso al administrador de esta. OSSEC HIDS Ossec es una herramienta con varios aos de desarrollo aunque reconocida hasta hace poco ya que fue incluida en el famoso OSSIM de AlienVault el cual es un conjunto de herramientas bajo la licencia GPL diseadas para la verificacin de la seguridad de la informacin. Ossec est desarrollado para varios sistemas operativos entre estos Windows, Linux, MacOs, OpenBSD y FreeBSD, este est dividido en 3 componentes bsicos los cuales son el servidor el cual monitorea y registra la actividad de los agentes, los agentes son quienes estn siendo verificados y le envan la informacin de lo que ocurre en ellos al servidor y la interfaz WEB.

IPS El Sistema de Prevencin de Intrusos (IPS) es una tecnologa de software mas hardware que ejerce el control de acceso en una red de computadores para protegerla de ataques y abusos. La tecnologa de Prevencin de Intrusos (IPS) es considerada por algunos como una extensin de los Sistemas de Deteccin de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, ms cercano a las tecnologas de firewalls; incluso los complementan. Los Sistemas de Prevencin de Intrusos (IPS) tienen varias formas de detectar el trfico malicioso: 1) Deteccin Basada en Firmas, como lo hace un antivirus,

2) Deteccin Basada en Polticas: el IPS requiere que se declaren muy especficamente las polticas de seguridad, 3) Deteccin Basada en Anomalas: funciona con el patrn de comportamiento normal de trfico (el cual se obtiene de mediciones reales de trfico o es predeterminado por el administrador de la red), el cual es comparado permanentemente con el trfico en lnea, enviando una alarma cuando el trfico real vara mucho con respecto del patrn normal, y 4) Deteccin Honey Pot (Jarra de Miel): funciona usando un equipo que se configura para que llame la atencin de los hackers, de forma que estos ataquen el equipo y dejen evidencia de sus formas de accin, con lo cual posteriormente se pueden implementar polticas de seguridad.

DESARROLLANDO.Primero que todo tendremos que descargar el paquete de sornt.

Una vez instalado, voy al men Services, Snort.

Ahora antes de hacer o proceder a nuestra configuracin debemos tener en cuenta que para nosotros actualizar nuestras reglas VRT (Sourcefire Vulnerability Research) de Snort, deberemos de tener una cuenta en la pgina oficial del Snort, para poder obtener el cdigo Oinkcode, el cual tendremos que poner en nuestro Snort en pfsense para actualizar las reglas gratuitamente. https://www.snort.org/ Ya creado nuestro usuario en la pgina oficial les mostrare los pasos para obtener nuestro cdigo Oinkcode.

Entonces lo que deberemos hacer es copiar nuestro cdigo al Snort de pfsense.

Habilitamos que se instalen las reglas, le habilitamos que actualice 7 veces al da, le especifico el tiempo (3 horas) por el cual va a eliminar todos los host bloqueados, tambin ponemos que nos especifique el tipo de alerta, especificamos el tamao limite del directorio de registros (1991 MB) y especificamos que mantenga la configuracin del Snort despus de desinstalado.

Procedemos entonces a actualizar todas las reglas de nuestro Snort.

Ya actualizado nuestras reglas procedemos a especificar donde estar ubicado nuestro Snort, en mi caso lo voy a ubicar entre la red WAN y la red interna. Lo que le especificaremos ser, habilitar el Snort, especificar la interface por la que va a trabajar (WAN), darle una descripcin, especificamos el rendimiento de la memoria (AC-BNFA), especificamos que bloque los ataques o ofensas, y tambin le habilitamos el envi de alertas a los principales registros del sistema principal.

Y aqu vemos que ya esta creada la configuracin de la interface WAN.

Ahora lo que haremos ser habilitar el servicio de Snort.

Ahora deberemos habilitar las categoras que queramos que nuestro Snort detecte y prevenga a la hora de ser atacada. En mi caso solo habilite como prueba las categoras para DNS, FTP, ICMP, y para el http. Nota: Para que el Snort detecte cualquier ataque de cualquier tipo es mejor habilitar todas las categoras.

Tambin tenemos que habilitar todas las reglas para dicha categora. A modo de prueba de prueba les mostrare con una solo categora como hacerlo.

Ya activadas todas la reglas para las categoras que permitimos deberemos especificar los servidores a los cuales el Snort va a proporcionar alertas.

Y ya para terminar con la configuracin de la interfaces WAN, deberemos habilitar los preprocesadores estticos, esto para que el inspector de http normalizar el trfico http y decodificar las anomalas de protocolo, tambin detecta varios tipos de escaneos

de puertos y tambin para que le preprocesador DNS decodifique el trafico de respuesta y detecte vulnerabilidades.

Ya con todo lo anterior hemos terminado en la configuracin de nuestro Snort, ahora solo bastara con hacer la prueba. Para realizar la prueba yo he cogido una maquina en backtrack, lo que voy a hacer es una ataque de fuerza bruta a el ssh de mi red. Nota: La ip que utilizo en el ataque de fuerza bruta es la ip pblica de mi red. Para ms informacin sobre este ataque pueden ir a: http://thehackerway.wordpress.com/2011/04/08/hydra-ataques-defuerza-bruta/

Ya hecho el ataque nos dirigimos de nuevo y podremos ver que nuestro Snort a bloqueado la ip de la cual me han hecho el ataque adems me especifica el ataque que me han realizado.

Glosario:

DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de rea local. WAN: Las Redes de rea amplia.

Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red.

SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio nmero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayora de los routers nuevos de Cisco.

SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a sper equipos cientficos, de telfonos mviles a Internet, Java est en todas partes.

NAT: En las redes de computadoras, NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP, mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP.

DNS: Es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada.

Este sistema asocia informacin variada con nombres de dominios asignados a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente.

TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin.

UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls

Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial

Stateless: Crear reglas de ida y de respuesta.

Statefull: Crear reglas de ida y las reglas de respuestas son automticas no hay que crearlas.

Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar probablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto: 192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server: ISA Server es un Gateway integrado de seguridad Perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rpido y seguro a las aplicaciones y los datos.

Servidor: En informtica, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes.

WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automticamente, es decir que cuando configuramos un navegador para que detecte automticamente el proxy, el se dirigir al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabr cual es el proxy al que debe conectarse. Red privada virtual (VPN): Una red privada virtual, RPV, o VPN de las siglas en ingls de Virtual Private Network, es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o ms sucursales de una empresa utilizando como vnculo Internet, permitir a los miembros del equipo de soporte tcnico la conexin desde su casa al centro de cmputo, o que un usuario pueda acceder a su equipo domstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet. Snort: Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de

puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.