Intrusion Prevention Systems (IPS)
IPS puede detectar:
OS, Web and database attacks Spyware / Malware Instant Messenger Peer to Peer (P2P) Worm propagation data leakage
Intrusion Prevention Systems (IPS)
Network Intrusion Detection System (NIDSs)
Falsos positivos. Falsos negativos. Fine tunning
Administradores deben tener cuidado con las firmas, si lo que se busca en el trafico es demasiado general el IDS va a generar muchos falsos positivos de trafico normal, si lo que se busca es demasiado especifico quizá el IDS no detecte un ataque real.
Reducir falsos positivos con Nessus
Deshabilitar firmas de equipos que no existen en la red. Escanear la red con Nessus, si Nessus reporta por ejemplo un problema con Telnet Service: This service is dangerous in the sense that it is not ciphered – that is, everyone can sniff the data that passes between the telnet client and the telnet server. This includes logins and passwords. You should disable this service and use OpenSSH instead. (www.openssh.com) Solution : Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : Low CVE : CAN-1999-0619
Habilitar firmas acorde el reporte de Nessus en el IDS/IPS
Vunerability scanner
Nessus (www.nessus.org)
Escáner de vulnerabilidades YA NO MAS Open Source. Cliente Servidor Interfaz basada en GTK y Java entre otros Realiza más de 16000 pruebas de seguridad remotas. Está basado en plug-in(s). Permite generar reportes html, xml, pdf, ascii, etc.
Anomaly detection
Anomalia basada en IPS para ver los cambios en el tráfico de comportamiento previamente medido como:
Aumento sustancial en el tráfico SMTP salientes Existencia de IRC de comunicaciones. Nueva puertos abiertos o servicios
Anomaly detection implementación
El primer paso es configurar el IPS en “learning mode” (aprendizaje), cada vez que el IPS detecta nuevo comportamiento el administrador deberá configurarlo “decirle si es normal o no”. El momento en que el IPS aprendió todo el comportamiento de la red se configura el “blocking mode” ahí el IPS para todo el trafico que no esta en su perfil aprendidó. Hacer el “fine tuning” de este IPS consume muchas horas. Error en configuración: backups, corte de electricidad.
Gartner Magic Quadrant (Gp:) IDS Vendors – 2005 Q2
Problemas con IDS/IPS IPS basado en firmas- no detecta ataques si no existe la firma. Firmas incorrectas. Falsos positivos|negativos El Fine Tuning toma mucho tiempo| varias empresas lo apagan. Puede crear latencia en la red especificamente con protocolos Real Time VOIP
Single point of failure: Fail open Fail Close
HTTPS/SSL
Problemas con IDS/IPS
Caída de paquetes, el IPS no analiza todo el trafico. Configuración incorrecta- el IDS/IPS no tiene firmas para protocoles usados en la red, no se puede agregar firmas en varios IDS/IPS.
Configuración incorrecta- configurar un ip a las placas de red. Configuración incorrecta- poner el equipo en blocking mode antes de reducirle los Falsos positivos.
Como atacar bajo el “radar” del IDS/IPS
Crear ataques nuevos| no hay firma contra el ataque. Mandar Muchos ataques rapidos (nessus). Stick attack (herramienta) www.eurocomptonnet/stick/projects8.html Crear un tunnel SSL. Escaniar lento. (nmap –T) Fregmentacion: (ejemplo Code red)
Packet A: GET /scripts/root Packet B:t.exe / Packet C:c+dir Servidor destino despues de reassembled: GET /scripts/root.exe /c+dir
Herramienta: Fragrouter (www.monkey.org/~dugsong/fragroute/) ADMutate
Como atacar bajo el “radar” del IDS/IPS Port scanners – la mayoria de los IDS/IPS detectan escaneo de purtos si hay mas de 3 intentos por minutode mismo ip.Ip spoofing, cambiar el ip de origen cada continumente. Tool-MingSweeper.
Encoding –
GET /cgi-bin/ HTTP/1.0 Es lo mismo como: GET /%63%67%69%2d%62%69%6e/ HTTP/1.0
//////// –
GET /etc/ passwd /tmp/attackinfo Es lo mismo como: GET ///////////etc/passwd /tmp/attackinfo
como atacar bajo el “radar” del IDS/IPS /./././ – Todo el mundo sabe que. / es en este directorio, de forma que: /././cgibin/testcgi Es como: /cgibin/testcgi
cgibintestcgi
cgibintestcgi Es lo mismo como: /cgibin/testcgi No funsina con IIS
IDS/IPS
Snort (www.snort.org)
Sistema de Detección de Intrusos de red basado en firmas. Snort es un producto con licenciamiento GPL. Administración centralizada. Excelente performance. Uno puede agregar firmas. Integración con bases de datos y sistemas Syslog.
Open Source In-Line IDS/IPS: Hogwash http://hogwash.sourceforge.net/oldindex.html
SIM: Security information Managment
Senario: Al mismo tiempo alguien esta escaneando puertos abiertos en el Router externo y alguien esta tratando de loguiar varias veces sin éxito al servidor de finanzas…
Como nosotros sabemos de los dos eventos y cual evento necesita primero nuestra atención?
SIM: Security information Managment OSSIM www.ossim.net
OSSIM www.ossim.net
SIM: Security information Managment OSSIM www.ossim.net ArcSight www.arcsight.com Novell Sentinal www.novell.com/products/sentinel/
Ethical Hacking
Enfoque penetration tester. Metodología de Penetration Test.
Objetivo Ethical Hacking Simulación externa de un ataque para verificar la seguridad de la red así como para encontrar vulnerabilidades. Obtención de evidencias concretas. Obtención de algún tipo de archivo de los servidores o redes Sembrado de pruebas en los servidores Captura de paquetes, limitación del servicio del recurso, etc.
Diferencias El Hacker termina cuando rompe la seguridad del sistema (suficiente con una vulnerabilidad). Su tiempo para realizar un ataque es infinito.
Diferencias El trabajo del “penetrator tester” termina cuando encuentra todas las vulnerabilidades del sistema tanto en el Gateway como en el firewall o como en cualquier componente de la red que está analizando. Además tiene tiempo limitado para realizar el test. Elaboración de informe de seguridad y documentación así como soluciones a los problemas encontrados.
Los 2 ambientes básicos White box: Proporcionar al penetration tester la información necesaria para hacer el testeo de seguridad. Black box: sólo posee información del nombre de la empresa.
¿Por qué hacer un Penetration Test? Encontrar máquinas mal configuradas que el cliente no había notado. Verificar que sus mecanismos de seguridad funcionen. Estar tranquilo. Recuerde 99.9% seguro = 100% ¡vulnerable!
Definiendo el Test
Entender las limitaciones Point-in-time snapshot Nunca puede ser considerado 100% amplio Restringido por tiempo y recursos
Reglas de compromiso
La primera regla :“No dañar”
Reporte Los reportes deben… No deben tener falsos positivos Resultados que establezcan prioridades Secciones técnica y ejecutiva por separado Establecer qué recursos son necesarios Recomendaciones para el mundo real
OSSTMM OSSTMM – Open-Source Security Testing Methodology Manual Version 2.0 at www.osstmm.org (redirects to http://www.isecom.org/projects/osstmm.htm) Desarrollado por Pete Herzog, es un documento vívido sobre cómo hacer un penetration test. Define como proceder en un pen test, pero no habla sobre las herramientas actuales.
Técnica – Penetration Testing Recoger Información Scan direcciones IP Evaluar la información Explotar servicios vulnerables Elevar el acceso Repetir
| Página siguiente |