NSM Network Security Monitoring Herramientas Software Libre de detección y prevención

NSM Network Security MonitoringHerramientas Software Libre de deteccion y prevencion.

Alejandro Valdes [email protected]

DSL 2010

September 21, 2010

Alejandro Valdes Jimenez (UTalca) NSM Network Security Monitoring Herramientas Software Libre de deteccion y prevencion.September 21, 2010 1 / 18

Agenda

1 NSM Monitorizacion de Seguridad de Redes

2 Principios de seguridad

3 Ejemplo de red

4 Herramientas

5 Recursos


NSM Monitorizacion de Seguridad de Redes

NSM Monitorizacion de Seguridad de Redes

Es un modelo de operaciones de seguridad que hace uso deherramientas y tecnicas para la recoleccion, analisis ynotificacion de indicaciones y advertencias, de manera de poderdetectar intrusiones y poder responder a ellas.

Los indicadores corresponden a las alertas generadas por el software dedeteccion.Las advertencias son los resultados de la interpretacion de losindicadores (alertas).


Principios de seguridad

Las fases de un compromiso




Si deseamos detectar intrusiones, debemos comprender las accionesnecesarias para comprometer un blanco.

Reconocimiento

validar conectividad, enumerar servicios y buscar aplicacionesvulnerables.escaneo de puertos.reconocimiento de sistemas operativos, versiones de softwares, etc.

Explotacion

abusar de los servicios de un blanco y/o danarlos.implica hacer uso uso ilegıtimo de un modo legıtimo.explotacion es a traves de protocolos correctos (telnet, ssh, ftp, http,etc).





Refuerzo

aprovecha acceso inicial con objeto de ganar capacidades adicionales.algunas explotaciones producen inmediatamente privilegios de root,mientras otros solo a nivel de usuario.intrusos recuperan e instalan herramientas empleando quiza FTP,TFTP, SCP, etc.instalacion de puertas traseras (back doors) para comunicarse con elmundo exterior.

Consolidacion

intruso se comunica con el blanco a traves de la puerta trasera.la puerta trasera puede adoptar la forma de un servicio a la escucha.la puerta trasera se puede conectar a la IP del intruso.en esta fase, el intruso tiene control completo del blanco.





Pillaje

es la ejecucion del plan final del intruso, podrıa implicar:robo de informacion privada.contruir una base para realizar ataques mas profundos dentro de laorganizacion.o cualquir otra cosa que desee el intruso.




Defensores tienen la oportunidad para detectar a los intrusos que secomunican con los blancos durante las 5 fases anteriores.

Es probable que el intruso proporcione algun tipo de evidencia basadaen la red que merecera la pena investigar.

En esta tarea, se utilizan una serie de herramientas para soportar elmodelo de NSM.


Ejemplo de red

Ejemplo de red


Ejemplo de red

Ejemplo de red con Sensores


Herramientas

Libpcap

pcap API para captura de paquetes

libpcap Implementacion de pcap para sistemas basados en Unix.

wincap Implementacion de pcap para sistemas Windows.

Programas utilizan esta libreria para la captura de paquetes.


Herramientas

Tcpdump

Utiliadad para captura y analisis de paquetes.

tcpdump -n -i <interfaz> -w <archivo>

-n: no resuelva direcciones IP ni puertos.

-i interfaz: interfaz a escuchar, por ejemplo eth0

-w archivo: almacernar datos capturados en el archivo.

-r archivo: lee paquetes capturados desde el archivo.

man tcpdump


Herramientas

Tcpdump y filtros de paquetes de Berkeley BPF

BPF son expresiones para manipular paquetes que secapturan/visualizan con tcpdump.

Permite uso mas eficiente, por ejemplo:

icmp, udp, tcp{src,dst} host, net{src,dst} portarp

Ejemplos:

tcpdump -n -r em0.lpc -c 2 tcptcpdump -n -r sf1.lpc -c 2 tcp and dst port 22tcpdump -n -r sf1.lpc -c 2 host 172.27.20.3tcpdump -n -r sf1.lpc -c 2 src host 172.27.20.4tcpdump -n -r em0.lpc -c 2 src net 10.10.10.0/24tcpdump -n -r sf1.lpc -c 2 ’icmp[icmptype] = icmp-echo’


Herramientas

Wireshark

Utilidad grafica para la captura y analisis de paquetes.

Una de las mejores herramientas de software libre para el tratamientode redes.

Se pueden aplicar filtros tcp.dstport == 21.

Se pueden reconstruir flujos de sesiones Follow TCP Stream.

Estadısticas (por ejemplo jerarquıa de protocolos).

wireshark -n -r em0.lpc


Herramientas

Snort

Famoso por ser un sistema de deteccion de intrusiones basado en redpero tambien se puede utilizar para captura y analisis de paquetes.

Usa reglas para realizar busquedas en los paquetes y asi generaralertas (/etc/nsm/sensor1/rules/local.rules).

alert tcp any any ->any any (msg:”Solo esta activado SYN”;flags: S; sid: 10001;)

Buscamos en paquetes ya capturados:

snort -c /etc/nsm/snort/sensor1/snort.conf -b -l . -r sf1.lpc


Herramientas

Sguil

Las herramientas antes mencionadas trabajan de modo independiente,no hay comunicacion entre ellas.

La filosofıa de UNIX se basa en la idea de herramientas que cooperenentre si.

Sguil se basa en tal filosofıa, por tanto, Sguil es un conjunto deprogramas de software libre para realizar NSM.

Es una aplicacion multiplataforma disenada ”por y para analistas” conel objeto de integrar flujos correspondientes de alertas, datos desesiones, datos de contenido completo en una sola interfaz grafica.

NSMnow Project. Framework con herramientas para implementarNSM.


Herramientas

Sguil


Recursos

Recursos

Bibliografia

The Tao of Network Security Monitoring: Beyond Intrusion Detection,Richard Bejtlich. http://www.taosecurity.com/books.html

Enlaces

libpcap y tcpdum: http://www.tcpdump.org/wireshar: http://www.wireshark.org/snort: http://www.snort.org/snortid: http://www.snortid.com/sguil: http://sguil.sourceforge.net/BPF: http://en.wikipedia.org/wiki/Berkeley Packet FilterNSMnow Project: http://www.securixlive.com/nsmnow/index.php


NSM Network Security Monitoring Herramientas Software Libre de detección y prevención

Software

Transcript of NSM Network Security Monitoring Herramientas Software Libre de detección y prevención