Anda di halaman 1dari 44

www.isec-global.

com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Protección de afuera hacia adentro
99% protegido = 100% vulnerable
DMZ
FW

Router IPS

STAGING
FW
DB srvr

SWITCH
LAN

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
CONCEPTOS VARIOS
•Mininos privilegios

•Security Policy

•Input Validation

•Documentation

•Ingeniería social

•Av,Hardeinig, Patches

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
IDS/IPS
http://www.x.com/etc/passwd

DMZONE

switch
DNS APACHI WEB

servers
Clients

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Conceptos básicos de IDS/IPS

“Intrusion detection” es el proceso de monitorizar los eventos


que ocurren en la red o en una computadora y analizarlos
para detectar intrusiones.
El IDS solamente reporta eventos, el IPS corta el trafico
peligroso cuando detecta eventos peligrosos.

Hay dos tipos de IDS:

1. Host Intrusion Detection Systems (HIDSs)


2. Network Intrusion Detection Systems (NIDSs)

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Host Intrusion Detection Systems
(HIDSs)

• Es importante implementar HIDS para detectar ataques que


no fueron detectaron por el NIDS ( Seguridad en profundidad)
• Es un Agente instalado sobre en sistema operativo para
detectar ataques sobre ese mismo servidor.
• Agnete podrá impactar el performance de la maquina sobre
la cual esta instalado.
• Reporta eventos a una consola central.
• La consola tiene una base de datos de firmas de ataques.
• En caso de detección de ataque la consola reporta al
administrador vía mail, SMS etc

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Host Intrusion Detection Systems (HIDS)

• Ossec www.ossec.net open source


• Tripwire www.tripwire.com open source
• SAMHAIN http://la-samhna.de/samhain open source
• Osiris http://osiris.shmoo.com open source
• Aide http://www.gentoo.org/doc/en/security/security-handbook.xml?
part=1&chap=13 open source
• Symantec Critical System Protection
http://www.symantec.com/business/critical-system-protection
• IBM Proventia
http://www935.ibm.com/services/us/index.wss/offerfamily/iss/a1029097
• McAfee Total Protection for Endpoint
http://www.mcafee.com/us/enterprise/products/security_suite_solutions/to
tal_protection_solutions/total_protection_for_endpoint.html
• Enterasys Dragon www.enterasys.com/products/ids
www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems (NIDSs)

• El IDS el pasivo, no para los ataques solamente reporta


problemas.
• en la mayoría de los casos el IDS es un Appliance colocado
en el perímetro de la red.
• Tiene al mínimo 2 placas de red, una para analizar trafico, la
otra para gestionar el IDS/Nic’s en promiscus mode
• La Solución de IDS tiene dos componenetos: sensor y
Management.
• Detecta ataques con firmas (como AV).
• Las firmas se actualizan de los servidores del vendor.
• Hay ID’s que permiten que uno mismo escriba y agregue
firmas.
• Port mirror puede crear mucha carga sobre el switch, perdida
de paquetes.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Switch(config)# interface fa 0/1
Switch(config-if)# port monitor
fastethernet 0/2

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems
(NIDSs)

• El IDS es bueno como sus firmas-si las firmas están escritas


mal, el IDS no va a detectar ataques.

Ejemplo de firma (snort):


alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS
$HTTP_PORTS (msg:"WEB-IIS cmd.exe access";
flow:to_server,established; content:"cmd.exe"; nocase;
classtype:web-application-attack; sid:1002; rev:6;)

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection Systems
(NIDSs)

Problema:

Que nos ayuda un sistema que solamente reporta


problemas y no los para?

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)

• Activo- Todo el trafico pasa por el dispositivo.


• El Sensor Tiene por lo menos 3 placas de red.
• Los Sensores reportan al Management.
• Para el ataque antes de llegar al destino.(Reset
connection, cambio de rule base en el FW-peligroso!)
• Hay 3 tipos de IPS:
1. Basado en firmas.
2. Anomalia detection.
3. Hybrid

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)
IPS puede detectar:

• OS, Web and database attacks


• Spyware / Malware
• Instant Messenger
• Peer to Peer (P2P)
• Worm propagation
• data leakage

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Intrusion Prevention Systems (IPS)

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Network Intrusion Detection System
(NIDSs)

• Falsos positivos.
• Falsos negativos.
• Fine tunning

• Administradores deben tener cuidado con las firmas, si lo que se


busca en el trafico es demasiado general el IDS va a generar
muchos falsos positivos de trafico normal, si lo que se busca es
demasiado especifico quizá el IDS no detecte un ataque real.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reducir falsos positivos con Nessus

• Deshabilitar firmas de equipos que no existen en la red.


• Escanear la red con Nessus, si Nessus reporta por ejemplo un
problema con Telnet Service:
  This service is dangerous in the sense that
     it is not ciphered - that is, everyone can sniff
     the data that passes between the telnet client
     and the telnet server. This includes logins and passwords.
     You should disable this service and use OpenSSH instead.
     (www.openssh.com)

          Solution : Comment out the 'telnet' line in /etc/inetd.conf.

          Risk factor : Low


          CVE : CAN-1999-0619

Habilitar firmas acorde el reporte de Nessus en el IDS/IPS

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Vunerability scanner

Nessus (www.nessus.org)

Escáner de vulnerabilidades YA NO MAS Open Source.


Cliente Servidor
Interfaz basada en GTK y Java entre otros
Realiza más de 16000 pruebas de seguridad remotas.
Está basado en plug-in(s).
Permite generar reportes html, xml, pdf, ascii, etc.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Anomaly detection

Anomalia basada en IPS para ver los cambios en el tráfico de


comportamiento previamente medido como:

Aumento sustancial en el tráfico SMTP salientes


Existencia de IRC de comunicaciones.
Nueva puertos abiertos o servicios

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Anomaly detection implementación
El primer paso es configurar el IPS en “learning mode”
(aprendizaje), cada vez que el IPS detecta nuevo
comportamiento el administrador deberá configurarlo
“decirle si es normal o no”.
El momento en que el IPS aprendió todo el comportamiento de
la red se configura el “blocking mode” ahí el IPS para todo
el trafico que no esta en su perfil aprendidó.
Hacer el “fine tuning” de este IPS consume muchas horas.
• Error en configuración: backups, corte de electricidad.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Gartner Magic Quadrant
IDS Vendors – 2005 Q2

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Problemas con IDS/IPS
IPS basado en firmas- no detecta ataques si no existe la firma.
Firmas incorrectas.
Falsos positivos|negativos
El Fine Tuning toma mucho tiempo| varias empresas lo apagan.
Puede crear latencia en la red especificamente con protocolos
Real Time\ VOIP

Single point of failure:


Fail open
Fail Close

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
HTTPS/SSL

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Problemas con IDS/IPS
Caída de paquetes, el IPS no analiza todo el trafico.
Configuración incorrecta- el IDS/IPS no tiene firmas para
protocoles usados en la red, no se puede agregar firmas en
varios IDS/IPS.

Configuración incorrecta- configurar un ip a las placas de red.


Configuración incorrecta- poner el equipo en blocking mode
antes de reducirle los Falsos positivos.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Como atacar bajo el “radar” del IDS/IPS

• Crear ataques nuevos| no hay firma contra el ataque.


• Mandar Muchos ataques rapidos (nessus).
• Stick attack (herramienta) www.eurocomptonnet/stick/projects8.html
• Crear un tunnel SSL.
• Escaniar lento. (nmap –T)
• Fregmentacion: (ejemplo Code red)

Packet A: GET /scripts/root


Packet B:t.exe /
Packet C:c+dir
Servidor destino despues de reassembled:
GET /scripts/root.exe /c+dir

Herramienta: Fragrouter (www.monkey.org/~dugsong/fragroute/)


ADMutate

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Como atacar bajo el “radar” del IDS/IPS
• Port scanners –
la mayoria de los IDS/IPS detectan escaneo de purtos si hay mas de 3
intentos por minutode mismo ip.Ip spoofing, cambiar el ip de origen cada
continumente. Tool-MingSweeper.

• Encoding -

GET /cgi-bin/ HTTP/1.0


Es lo mismo como:
GET /%63%67%69%2d%62%69%6e/ HTTP/1.0

• //////// -

GET /etc/ passwd /tmp/attackinfo


Es lo mismo como:
GET ///////////etc/passwd /tmp/attackinfo

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
como atacar bajo el “radar” del IDS/IPS
• /./././ –
Todo el mundo sabe que. / es en este directorio, de forma que:
/././cgibin/testcgi
Es como:
/cgibin/testcgi

• \cgibin\testcgi

\cgibin\testcgi
Es lo mismo como:
/cgibin/testcgi
No funsina con IIS

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
IDS/IPS

Snort (www.snort.org)

Sistema de Detección de Intrusos de red basado en firmas.


Snort es un producto con licenciamiento GPL.
Administración centralizada.
Excelente performance.
Uno puede agregar firmas.
Integración con bases de datos y sistemas Syslog.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Open Source In-Line IDS/IPS: Hogwash
http://hogwash.sourceforge.net/oldindex.html

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
Senario:
Al mismo tiempo alguien esta escaneando puertos abiertos en
el Router externo y alguien esta tratando de loguiar varias
veces sin éxito al servidor de finanzas…

Como nosotros sabemos de los dos eventos y cual evento


necesita primero nuestra atención?

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment

OSSIM www.ossim.net

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
OSSIM www.ossim.net

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
SIM: Security information Managment
OSSIM www.ossim.net

ArcSight www.arcsight.com

Novell Sentinal
www.novell.com/products/sentinel/

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Ethical Hacking

Enfoque penetration tester.


Metodología de Penetration Test.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Objetivo Ethical Hacking

• Simulación externa de un ataque para verificar la


seguridad de la red así como para encontrar
vulnerabilidades.
• Obtención de evidencias concretas.
» Obtención de algún tipo de archivo de los
servidores o redes
» Sembrado de pruebas en los servidores
» Captura de paquetes, limitación del servicio
del recurso, etc.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Diferencias

El Hacker termina cuando rompe la seguridad del


sistema (suficiente con una vulnerabilidad). Su
tiempo para realizar un ataque es infinito.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Diferencias
• El trabajo del “penetrator tester” termina cuando
encuentra todas las vulnerabilidades del sistema
tanto en el Gateway como en el firewall o como
en cualquier componente de la red que está
analizando. Además tiene tiempo limitado para
realizar el test. Elaboración de informe de
seguridad y documentación así como soluciones
a los problemas encontrados.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Los 2 ambientes básicos

• White box: Proporcionar al penetration tester la


información necesaria para hacer el testeo de seguridad.
• Black box: sólo posee información del nombre de la
empresa.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
¿Por qué hacer un Penetration Test?

• Encontrar máquinas mal configuradas que el

cliente no había notado.

• Verificar que sus mecanismos de seguridad

funcionen.

• Estar tranquilo.

• Recuerde 99.9% seguro = 100% ¡vulnerable!


www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Definiendo el Test

• Entender las limitaciones


– Point-in-time snapshot
– Nunca puede ser considerado 100% amplio
– Restringido por tiempo y recursos

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reglas de compromiso

La primera regla :“No dañar”

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Reporte
• Los reportes deben...
– No deben tener falsos positivos
– Resultados que establezcan prioridades
– Secciones técnica y ejecutiva por separado
– Establecer qué recursos son necesarios
– Recomendaciones para el mundo real

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
OSSTMM
• OSSTMM – Open-Source Security Testing
Methodology Manual
• Version 2.0 at www.osstmm.org (redirects to
http://www.isecom.org/projects/osstmm.htm)
• Desarrollado por Pete Herzog, es un documento
vívido sobre cómo hacer un penetration test.
• Define como proceder en un pen test, pero no
habla sobre las herramientas actuales.

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.
Técnica – Penetration Testing

• Recoger Información
• Scan direcciones IP
• Evaluar la información
• Explotar servicios vulnerables
• Elevar el acceso
• Repetir

www.isec-global.com
COPYRIGHT 2000-2009 / I-SEC INFORMATION SECURITY INC.

Anda mungkin juga menyukai