INTRUSION DETECTION SYSTEM ó seguir viviendo en la ignorancia

1. INTRUSION DETECTIONSYSTEM óseguir viviendo en la ignorancia victor.barahona@uam.es

2. ¿QUÉ ES UN IDS? • Intrusion System Detection (IDS) • Monitoriza • Detecta intentos de intrusión • Previene

3. TIPOS DE IDS • Basados en Host • Basados en Red (NIDS)

4. NIDS • Más que un sniffer • Detectan trafico no deseable • ... Y luego actúa en consecuencia

5. ¿Por qué usar un NIDS? • Aumento del numero de equipos conectados • Aumento del numero de intrusiones • Facilidad de Hacking • Download & Attack (Script Kiddies) • Impunidad • Prevención

6. Introducción a Snort • Es un sniffer con un potente sistema de detección de intrusiones. • Su sistema de detección esta basado en reglas • Tiene multitud de opciones de loggin • Logs descodificados (texto) • Logs tipo tcpdump (binario) • Logs al syslog en tiempo real • Winpopup por samba • SQL, Postgresql, UnixODBC • Es GNU !!!!

7. ¿Qúe puede detectar Snort? • Escaneos Basicos • Escaneos Stealth/Fin • OS Fingerprint • Ejecución de exploits conocidos • Trafico no deseado (Napster,Gnutella) • DoS • Intentos de penetración de otros tipos (virus, backdoors) • Lo que queramos

8. Poniéndolo en marcha • Instalación • Configuración • /etc/snort • /etc/snort/rules.base • Reglas: • /etc/snort/10102k.rules • /etc/snort/vision.conf • /etc/snort/misreglas.conf

9. rules.base ############ Fichero de configuración para Snort ################# #### Variables que definen nuestra red #### var INTERNAL 150.244.x.x/24 var EXTERNAL !150.244.x.x/24 var HOME_NET 150.244..x.x /24 var DNSSERVERS 150.244 .x.x 150.244 .x.x 150.244 .x.x var RUIDOSOS 150.244 .x.x 150.244 .x.x 150.244 .x.x 150.244 .x.x #### Preprocesadores del trafico #### preprocessor http_decode: 80 443 8080 preprocessor minfrag: 128 preprocessor portscan: 150.244.x.x /24 6 2 /var/log/snort/snort_portscan.log preprocessor portscan-ignorehosts: $RUIDOSOS $DNSSERVERS #### Tipo de login #### output alert_syslog: LOG_LOCAL1 LOG_ALERT #### Reglas de filtrado #### include /etc/snort/10102k.rules include /etc/snort/vision.conf ###### Puedes incluir aqui tus propio fichero de reglas ########## # include /etc/snort/misreglas.conf

10. Crear reglas propias • Rule headers • Acción • Protocolo • Direccion origen / Puerto origen • Direccion destino / Puerto destino • Rule options • msg • content

11. Ejemplo de regla • Rule Header Alert tcp !$HOME_NET any <> $HOME_NET any • Rule Options (msg: "Transferencia de mp3"; flags: AP; content: ".mp3 ";)

12. Reglas • Snort Official Ruleset /etc/snort/10102k.rules alert TCP !$HOME_NET any -> $HOME_NET 143 (msg:"OVERFLOW-x86-linux-imapd2"; flags: PA; content: "|89D8 40CD 80E8 C8FF FFFF|/";) • Max Vision Ruleset /etc/snort/vision.conf alert UDP $EXTERNAL any -> $INTERNAL 31337 (msg: "IDS397/BackOrifice1-scan"; content: "|ce63 d1d2 16e7 13cf 38a5 a586|";)

13. Datos reales The distribution of attack methods (30-31 Oct 24h) ===================================== # of % attacks method ===================================== 57.28 4538 spp_portscan from 213.132.136.131 41.13 3259 SCAN-SYN FIN from 193.70.55.133 0.71 56 IDS106-BACKDOOR SIGNATURE-DeepThroat 0.61 48 MISC-WinGate-8080-Attempt 0.07 6 IDS152 - PING BSD 0.06 5 IDS127 - TELNET - Login Incorrect 0.05 4 FTP - Exploitable proftpd 1.2 server 0.05 4 IDS364 - FTP-bad-login

14. Herramientas • Snortstats.pl • SnortSnarf • Analysis Console for Intrusion Databases (ACID) • Guardian • Flexresponse

15. Links de interes Pagina oficial de Snort http://www.snort.org Otras paginas de interes http://www.whitehats.com http://www.norz.org/ http://www.silicondefense.com/snortsnarf http://www.incident.org/snortdb/

16. GRACIAS