Professional Documents
Culture Documents
Agenda
Introduccin Definiciones bsicas Presentacin del Modelo - R.E.D.A.R
Arquitectura de Anlisis
Red
Linea Zona
Red de permetro - Routers Lnea de defensa - Firewalls Zona Controlada - Servidores y conexiones Preparacin Forense de Redes en Contexto Conclusiones Referencias
JCM-02 All rights reserved. 2
Introduccin
Las estadsticas del CERT en el ao 2001, muestran aumento de ms del 150% en incidentes de seguridad reportados. De acuerdo con la investigacin adelantada por KPMG en el 2001, 2001 Global e-Fr@ud Survey :
Cuando
El
Mientras que un ataque de un sitio puede tomar dos (2) horas, el anlisis forense completo puede alcanzar las treinta (30) horas! (Forensic Challenge Project)
JCM-02 All rights reserved.
50% de los encuestados identific a los Hackers y la pobre implementacin de polticas de seguridad como los factores fundamentales de los incidentes de seguridad. Los ejecutivos se encuentran desinformados acerca del estado actual de las vulnerabilidades de la su red. Bajo o pobre entrenamiento de los administradores de sistemas
Definiciones bsicas
Conceptos
Sistemas
de deteccin de intrusos. * Orientado a Host * Orientado a Red * Orientado a Firmas * Estadsticas Honeypot * Configuracin de una mquina con servicios activos, atractivos y aislados, como una estrategia para seguir y capturar intrusos dentro de sistemas de computacin. Honeynet * Configuracin de una red con servicios activos, atractivos y aislados, como una estrategia para analizar y aprender de los intrusos y sus acciones. Red de permetro * Es una red agregada a fin de proporcionar una capa adicional de seguridad. Generalmente se le conoce como red desmilitarizada (DMZ)
Definiciones bsicas
Conceptos
Firewall
* Componente o conjunto de componentes (Hw y Sw) que restringen el acceso entre una red protegida e internet, o entre otros conjuntos de redes.
Tradicionales Stealth
Evidencia
digital * Es un tipo de evidencia fsica. Esta construida de campos magnticos y pulsos electrnicos que pueden ser recolectados y analizados con herramientas y tcnicas especiales.(Casey 2000, pg.4) Computacin forense * Es la aplicacin legal de mtodos, protocolos y tcnicas para obtener, analizar y preservar evidencia digital relevante a una situacin en investigacin. (Kovacich 2000, pag.243)
necesario desarrollar una estrategia formal para atender incidentes de seguridad y su posterior documentacin y anlisis Se cuentan con diversas estrategias de registro de eventos, pero no se posee la cultura de anlisis de las pistas. La mayora de los administradores de sistemas actualmente no son conscientes de la necesidad de contar con evidencia digital. La seguridad informtica y la administracin de sistemas de observan como actividades diferentes, cuando en realidad son complementarias
RE
gistro * Establecimiento de los diferentes mtodos y herramientas para mantener el adecuado registro de eventos relevantes en las redes. D ecteccin de intrusos * Desarrollo de alertas y anlisis de las posibles fallas de seguridad aprovechadas por los atacantes. A uditoRia * Evaluacin, seguimiento y anlisis de los mecanismos y herramientas actuales de seguridad, que conduzcan al afinamiento permanente de la seguridad de la red.
6
R.E.D.A.R
REGISTRO
DETECCIN INTRUSOS
CONTROL DE EVIDENCIA
AUDITORA
Arquitectura de anlisis
Internet
Exterior
ZONA CONTROLADA
Red de Permetro
Generalmente compuesta por enrutadores
La
seguridad y control de este segmento de la red, en la mayora de los casos, se basa en: * Listas de control de acceso * Filtro de paquetes
10.16.1.0
200.16.2.3
192.168.1.0
172.16.1.0
Red de Permetro
Lista de Control de Acceso
Lista
de control de acceso Standard * Definida por un rango numrico entre 1-99 * Slo verifica el IP ORIGEN, luege se hace el filtro de manera rpida. de control de acceso Extendida * Definida por un rango numrico entre 100-199 * Verfica ORIGEN, DESTINO, PROTOCOLO, Puertos UDP/TCP, Tipos ICMP en secuencia. * El filtro de paquetes se torna ms lento de Control de Acceso Reflexiva * Utiliza listas de control de acceso dinmica, semejantes a la tabla de estados de un FW, para mantener las conexiones aseguradas. * Mecanismo nuevo en CISCO.
10
Lista
Lista
Red de Permetro
Formato de una Lista de Control de Acceso Estandard
access-list
* Number: 0-99 para listas de control de acceso estndard * Action: Permit o Deny - Permitir o Negar
Red de Permetro
Filtro de paquetes
Mecanismo El
de seguridad cuya funcin es establecer qu informacin puede fluir de y hacia una red. filtro de paquete permite controlar (permitir o negar) la transferencia de paquetes con base en: * Direccin origen de la informacin * Direccin destino de la informacin * Protocolos como IP, UDP, TCP e ICMP * Servicios UDP/TCP como Telnet, SMTP, SNMP, NNTP, FTP, entre otros * ICMP - echo request, echo replay, port unreachable * Type of Service (Performance), banderas o flags en los paquetes de informacin.
12
Red de Permetro
Creando un Packet Filter
Para
* ip access-group number [InOut] * Number: Valor definido para una lista de control de acceso * InOut: En qu direccin el filtro se aplicar para los paquetes entrantes o salientes.
EJEMPLO
* interface serial 0
access-list 11 permit host 192.168.1.100 access-list 11 deny 192.168.1.0 0.0.0.255 access-list permit any
JCM-02 All rights reserved. 13
Red de Permetro
Creando un Packet Filter
EJEMPLO
* interface serial 0
ip access-group 100 in
access-list 100 permit tcp any any gt 1023 access-list 100 permit tcp any any eq 23
access-list
* Permite paquetes telnet al puerto 23. Trfico de otros protocolos al puerto 23 ser bloqueado.
JCM-02 All rights reserved. 14
R.E.D.A.R en el Permetro
REGISTRO
DETECCIN INTRUSOS
CONTROL DE EVIDENCIA
AUDITORA
15
Red de Permetro
gistro
Violaciones de las listas de control de acceso Violaciones de los filtros de paquetes configurados Sobrecargas de trfico en la red
ecteccin de Intrusos
Cambios en la configuracin de las listas de control de acceso y filtros de paquetes Actualizacin del Sistema operacional del router Cambios en la configuracin del router
AuditoRa
Red de Permetro
gistro
Utilizando SYSLOG Exportar eventos de inters a servidor remoto
ecteccin de Intrusos
Utilizar protocolo SNMP (actualizado a la ltima versin) para reporte acciones sobre el dispositivo. Alineado con estrategia de registro remoto.
* Alertas de Cambios
AuditoRa
* Pruebas de penetracin
17
Red de Permetro
Listas de control de acceso - CISCO 1. Mar 31 13:55:07 rt1 3319: 21:36:44 : %SEC-6-IPACESSLOGP: list 102 denied UDP 209.67.78.202 (3408) external.primary.dns (33434), 1 packet. Rt1 3319 21:36:44 %SEC-6-IPACESSLOGP Hostname No de secuencia Estampilla de tiempo Mnemnico que identifican de manera nica el mensaje. list 102 No. lista de control de acceso contiene la regla evaluada. Denied Accin tomada por el router UDP Protocolo detectado 209.67.78.202 (3408) Direccin y puerto Origen external.primary.dns (33434) Direccin y puerto Destino
R.E.D.A.R en
18
Lnea de Defensa
Generalmente compuesta por Sistemas de Deteccin de Intrusos y Firewalls.
TCP ICMP UDP
IDS
FW
IDS
19
Lnea de Defensa
Algunas generalidades sobre los FW
* Qu puede hacer actualmente?
Restringe el acceso a un punto cuidadosamente controlado. Restringe a las personas para que salgan en un punto cuidadosamente controlado. Evita que los posibles atacantes se acerquen ms a sus dems defensas.
* Qu NO puede hacer?
Protegerlo contra atacantes internos Resguardarlo contra conexiones que no pasan por l Nuevas amenazas de seguridad: bugs, configuraciones recientes de enrutadores, etc. Resguardarlo contra virus. Protegerlo contra ejecuciones de applets maliciosos de java. Control de paquetes fragmentados.
20
Lnea de Defensa
Intrusion Detection Systems
Herramientas
*
* *
de administracin de seguridad que: Recolectan informacin de una variedad de fuentes en un sistema Analiza esta informacin contra patrones de uso indebido o actividad inusual En algunos casos, responde automticamente a la actividad detectada Reporta el resultado del proceso de deteccin
Lnea de Defensa
Intrusion Detection Systems
Dentro
*
* * * * *
de las funciones que pueden desarrollar estn: Monitorear y analizar las actividades del usuario y del sistema. Auditar la configuracin del sistema y sus vulnerabilidades Evaluacin de la integridad de los sistemas crticos y los archivos de datos Reconocimiento de patrones de actividad que reflejen ataques Anlisis estadstico de patrones de actividad anormal Auditora de la administracin del S.O, con reconocimiento de actividades relativas a la violacin de polticas.
Enrutador Externo
Anfitrin Bastin
Firewall
Enrutador Interno
Monitoreo de trfico - Conexiones a servicios y puertos es * WEB, DNS * MAIL * Puertos menores a 1023
Red Interna
R.E.D.A.R en Defensa
REGISTRO
DETECCIN INTRUSOS
CONTROL DE EVIDENCIA
AUDITORA
24
Lnea de Defensa
gistro
Violaciones de las reglas del FW Trfico Fuera de lo Normal Patrones de Bypass de IDS
ecteccin de Intrusos
Alertas de posibles ataques conocidos Trfico anormal y manipulacin de protocolos violacin de permisos e integridad en la mquina FW e IDS
AuditoRa
Lnea de Defensa
gistro
Exportar y analizar registros del FW Exportar y analizar registros del IDS
ecteccin de Intrusos
Reglas en el FW y en el IDS Control de permisos en las mquinas - Integridad del software y reglas
* Alertas de Cambios
AuditoRa
* Pruebas de penetracin
26
Lnea de Defensa
LOG FIREWALL - Checkpoint FW-1 Caractersticas del log
R.E.D.A.R en
* 14;2Feb2001;11:30:02;FW;log;accept;;qfe1;inbound;tcp;co mp1;200.0.241.42;http;4689;48;70;comp_X;200.0.241.42;46 556;http;;;;;;;;;;;;;;;; * Otros campos: resource;icmp-type;icmpcode;reason:;agent;orig_from;orig_to;reason;srckeyid;ds tkeyid;user;scheme:;methods:;from;to;sys_msgs * * * * * * * * * * num - 14 date - 2Feb2001 time - 11:30:02 orig - FW type - Log action - accept alert - Vacio i/f_name - qfe1 i/f_dir - inbound proto - tcp src - comp1 dst - 200.0.241.42 service - http s_port - 4689 len - 48 rule - 70 xlatesrc - comp_X xlatedst - 200.0.241.42 xlatesport - 46 xlatedport - 556
27
Zona Controlada
Denominada en general como la zona protegida o militarizada. Lugar donde se encuentra los recursos ms crticos asociados con la organizacin.
IDS
FW
28
Zona Controlada
Consideraciones en la zona controlada
* Slo debe fluir el trfico autorizado por el FW tanto desde el interior como desde el exterior de la organizacin * Los servicios y datos residentes en esta zona requieren mecanimos de autenticacin fuertes * Las acciones de actualizacin de datos o configuraciones requiere registro y anlisis formal * Si existe un cambio en el direccionamiento hacia la zona controlada en la lnea de defensa, debe ajutarse y revisarse TODOS los mecanimos de autenticacin, registro y control de la zona controlada. * El manejo de excepciones de acceso a la zona, tanto de trfico como de actualizacin de datos deben estar claramente monitoreados. de enrutadores, etc.
29
DETECCIN INTRUSOS
CONTROL DE EVIDENCIA
AUDITORA
30
Zona Controlada
gistro
ecteccin de Intrusos
Alertas de posibles ataques conocidos Trfico anormal y manipulacin de protocolos violacin de permisos e integridad de las mquinas
AuditoRa
Vulnerabilidades de segiuridad de los servicios ofrecidos Fallas en los mecanismos de seguridad utilizados Fallas procedimentales y de uso. JCM-02 All rights reserved.
31
Zona Controlada
gistro
Registrar y analizar acciones de autenticacin Estadsticas de trfico en funcin protocolos y servicios
ecteccin de Intrusos
Reglas de monitoreo de puertos y servicios en el IDS Control de permisos en las mquinas - Integridad del software y reglas
* Alertas de Cambios
AuditoRa
* Pruebas de penetracin
32
Zona controlada
LOG IDS - SNORT
R.E.D.A.R en
[**] BETA - Anon FTP [**] 12/14-12:02:25.335000 209.88.62.192:63307 -> 161.69.2.23:21 TCP TTL:127 TOS:0x0 ID:1203 DF *****PA* Seq: 0xE4A4E8 Ack: 0xFB8D3B8F Win: 0x2206
[**] IDS3 - MISC-Traceroute TCP [**] 12/14-12:03:53.817805 209.185.131.251:80 -> 209.88.62.192:63295 TCP TTL:1 TOS:0x0 ID:29731 DF ****R*** Seq: 0x8E81AA48 Ack: 0x8E81AA48 0x2238
Win:
[**] PING-ICMP Time Exceeded [**] 12/14-12:03:53.817846 209.88.62.192 -> 209.185.131.251 ICMP TTL:255 TOS:0xC0 ID:10334 TTL EXCEEDED
33
Ejercicios
4. Si usted encuentra dentro de su LOG de WEBServer el siguiente registro, cul sera su diagnstico?
157.253.4.13 [14/Sep/2001:19:50:56 -0500] "GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucb d3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u 00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1. 0" 404 283.
CODE RED!!!
JCM-02 All rights reserved. 34
R.E.D.A.R en Contexto
Listas de Control de Acceso Filtro de paquetes Reglas de Control de Acceso Reglas de Monitoreo Reglas de Monitoreo Registro de Acceso CORRELACIN
CONTROL DE EVIDENCIA
Internet
ZONA CONTROLADA
35
R.E.D.A.R. En resumen
mecanismos de sincronizacin de tiempo entre la zona de permetro, la lnea de defensa y la zona controlada. guas de anlisis y control de evidencia, para cada uno de los segmentos: zona de permetro, la lnea de defensa y la zona controlada, que permitan correlacionar la evidencia identificada.
Capacitar
y Pruebas * Pruebas de penetracin * Ataques basados en manipulacin de trfico * Atentados contra la integridad de mquinas y configuraciones de sistemas de seguridad Afinamiento de la arquitectura
36
guas prcticas de preparacin forense para cada uno de los segmentos en una arquitectura * Preparacin forense redes de permetro * Preparacin forense lneas de defensa * Preparacin forense de zonas controladas
Afinamiento
* Anlisis de vulnerabilidades y performance * Criterios para establecer qu registro es necesario * Extensiones y aporte de HONEYNETS
Anlisis
Forenses detallados
* Desarrollo de estrategias de correlacin de evidencia * Registro de trfico normal de aplicaciones y servicios * Incorporacin de experiencias y alianzas con proyectos como el HONEYNET PROJECT.
37
R.E.D.A.R. Conclusiones
La preparacin forense de redes, no es una opcin para los administradores de redes y responsables de arquitecturas computacionales.
Las estrategias de anlisis forenses deben ser actividades conjuntas que se realicen entre las funciones de seguridad y los expertos tcnicos del rea de telecomunicaciones.
No es opcional recoger evidencia, el ordenamiento legal est detrs de nuevas formas de perseguir la delincuencia electrnica Ante un incidente de seguridad, la respuesta y el aseguramiento de la eviencia son factores crticos para su control. Los procedimientos forense deben ajustarse con los cambios y simular su efectividad a travs de las pruebas de penetracin de la arquitectura.
JCM-02 All rights reserved. 38
Sincronizacin de tiempo
La hora de los enrutadores coincide con la hora del FW? Existen diferencias de tiempo entre la hora reportada del
las mquinas involucradas? Los registros de actividad y violaciones de las listas de control de acceso y filtros exportadas estn alineadas con la hora del incidente? El protocolo NTP - Network Time Protocol estaba en su ltima versin? Realmente confiable? Cuando fue la ltima sincronizacin de tiempo que se efectu en la arquitectura?
Control de Evidencia
Los registros identificados, se encuentran completos y asegurados? Existen vacos o saltos en los registros identificados en la
arquitectura atacada? Se cuenta con guas de recoleccin y control de evidencia? Se tiene identificada la evidencia a recoger en cada uno de los segmentos de la arquitectura: zona de permetro, la lnea de defensa y la zona controlada Existe personal entrenado en anlisis de evidencia digital? Correlacin de eventos?
JCM-02 All rights reserved.
39
Qu tan preparado est su ambiente de Red? Si no est seguro, usted no esta preparado!
Adaptado de: John Tan, Reseach Scientist. @Stake, Inc.
40
Referencias
DAVID, J. (2001) The Ins and Outs of Intrusion Detection. Computer Fraud and Security. Nov. PARA-SOFT (2001) Absolute state of the hack. Presentacin en Powerpoint. Http://para-protect.com KIRBY, A. (2001) Honeynet Phase Two: Knowing your enemy more. Computer Fraud and Security. Dic. SANS (2001) CISCO Security Checklist. Http://www.sans.org/SCORE/checklist/ LASSER, J. (2001) Implementing SNORT in a production environment. ;LOGIN. The magazine of USENIX. Nov. Vol.26. No.7 COUNTERPANE. (2001) Logging Techniques. Presentacin en Powerpoint. Http://www.counterpane.com BECK, D. (2001) A review of Cybersecurity risk factors. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/securitybasis/risk.htm RICHARDS, K. (1999) Network Based Intrusion Detection: A review of technologies. Computers & Security. Vol.18 KPMG (2001) 2001 Global e-Fraud Survey. Http://www.kpmg.co.uk/kpmg/uk/direct/forensic/pubs/EFRAUD.cfm HOLEWA, B. (2001) Intrusion detection systems forensics. Http://www.8wire.com/articles/print_article.asp?printAID=2248 UPCHURCH, J. (2001) Combating computer crime. Information Security Reading Room. Sans. Http://www.sans.org/infosecFAQ/incident/combat.htm
JCM-02 All rights reserved. 41
Referencias
FARMER, D. y VENEMA, W. (2001) Being prepared for intrusion. Dr. Dobbs. Abril. Http://www.ddj.com/print/documentID=11878 TAN, J. (2001) Forensic Preparation. Planning and policies are keys to successful forensic analysis. Secure Business Quarterly. Http://www.sbq.com SCHNEIER, B. (2001) Managed Security Monitoring: Network Security for the 21st. Century. Computers & Security. Vol.20. MAHADEVAN, C. (2001) Intrusion, attack, penetration - some issues. Information Systems Control Journal. Vol.6 BURNETTE, M. y GOMEZ, C. (2001) When Code red attacks: Addressing vulnerabilities behind virus hysteria. Information Systems Control Journal. Vol.6 ALTUNERGIL, O. (2001) Undertanding rootkits. Oreally Networks. Http://linux.oreillynet.com/lpt/a//linux/2001/12/14/rootkit.html MCHUGH, J., CHRISTIE, A. y ALLEN, J. (2001) Intrusion detection: Implementation and operational issues. CERT. Http://www.stsc.hill.af.mil/crosstalk/2001/jan/mchugh.asp FREDERICK, K. (2001) Studying Normal Traffic, Part Two: Studying FTP traffic. Http://www.securityfocus.com/focus/ids/articles/normaltraf2.html FREDERICK, K. (2001) Studying Normal Traffic, Part Three: TCP Headers. Http://www.securityfocus.com/focus/ids/articles/normaltraf3.html SPITZNER, L. (2000) Serie Know your Enemy. Http://www.enteract.com/ /~lspitz/papers.html
JCM-02 All rights reserved. 42
Referencias
NORTHCUTT, S. et al (2001) Intrusion Signatures and Analysis. SANS Giac. New Riders. NORTHCUTT, S y NOVAK, J. (2001) Deteccin de intrusos. Guia avanzada. 2da. Edicin. Prentice Hall. CHAPPELL, L. (2000) Advanced Network analysis techniques. Podbooks.com. STEVENS, R. (1994) TCP/IP Illustrated. Volume I: The protocols. Addison Wesley. GURLEY, R. (2000) Intrusion Detection. Macmillan Technical Publishing. ANOMINO. (2000) Linux Mxima Seguridad. Prentice Hall. NORTHCUTT, S. (1999) Network intrusion detection. An analysts handbook. New Riders. GOLLMAN, D. (1999) Computer security. John Wiley & Son. FEIT, S. (1998) TCP/IP. McGraw Hill. CHAPMAN, D. y Zwicky, E. (1997) Construya firewalls para internet. McGraw Hill. OReally. PFLEEGER, C. (1997) Security in computing. Englewood Cliffs, NJ: Prentice Hall. Segunda Edicin. MANDIA, K. y PROSISE, C. (2001) Incident Response. Investigation Computer Crime. McGraw Hill CASEY, E. (2000) Digital evidence and computer crime. Academic Press. CASEY, E. (Editor) (2002) Handbook of computer crime investigation. Academic Press. SCHULTZ, E. y SHUMWAY, R. (2002) Incident Response. A strategic guide to handling systems and network security breaches. New Riders.
JCM-02 All rights reserved. 43
Preguntas??
Gerentes pensativos?? Algn expediente X??
Administradores Agobiados??
Intrusos?? Profesores Preocupados??
44