Snort: Análisis de La Herramienta Visión Práctica

Snort:
Anlisis de la
herramienta
Visin prctica
Alumnos:
Miguel ngel Rodrguez Garca
Miguel ngel Orenes Fernndez
ro!esores:
Ga"riel #pez Milln
Gregorio Martnez $rez
%
ndice
&ntroduccin''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''(
%' )*u$ es Snort+'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ,
-' &nstalacin . con!iguracin de Snort'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' /
-'%' Mane0o de las reglas''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' 1
(' &nstalacin . con!iguracin de M.S2l''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''%-
,' &nstalacin . con!iguracin de A3&4''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' %,
/' uesta en marcha de la herramienta''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' --
1' &nterpretacin . mane0o de los resultados5 e0emplo prctico''''''''''''''''''''''''''''''''''''''''''''''''''''''''' -(
6' Ata2ues Remotos'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' -6
6'%' 7scaneo de puertos''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''-6
6'-' Spoo!ing''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''-8
6'(' 9egociacin de ser:icios'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' (%
6',' &nterceptacin''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''((
6'/' Ata2ues de aplicaciones'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' (,
6'/'%' 3orreo 7lectrnico'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' (,
6'/'-' Ata2ues :a ;e"'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' (/
6'1 70emplo de ata2ue remotos <9essus=''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' (1
>' 3onclusin'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ,-
-
Introduccin
ara la realizacin de este tra"a0o hemos instalado la herramienta Snort so"re el sistema
operati:o ?indo;s'
7l tra"a0o est partido en tres partes "ien de!inidas' #a primera el el captulo %5 en el 2ue
hemos 2uerido dar una "re:e descripcin de lo 2ue es Snort5 as como mostrar sus principales
utilidades' #a segunda5 consta de los captulo del - al 15 . en ella se muestra la instalacin de Snort5
M.S2l . A3&4 para un entorno ?indo;s' 7l echo de decantarnos por realizar el tra"a0o so"re
?indo;s5 es de"ido a 2ue en la ;e" se puede encontrar mucha literatura so"re los porma.ores .
pormenores de la instalacin de Snort para #inu@5 as como cursos de gestin de redes A9&B5
mientras 2ue de ;indo;s no se encuentra gran cosa' As pues hemos credo con:eniente crear una
tutorial en el 2ue se e@pli2uen con detalle los cam"ios necesarios en !icheros de con!iguracin5 as
como los comandos a introducir en la consola'
or Cltimo la tercera parte5 consta del captulo 6' 7n este captulo mostramos los ms
!amosos ata2ues remotos 2ue se pueden realizar a una m2uina5 metodologas 2ue siguen5 las
:ulnera"ilidades 2ue apro:echan5 . distintos m$todos 2ue podemos utilizar para e:itarlos'
Dodas las herramientas 2ue se han utilizado son So!t;are #i"re5 . se pueden descargar de
sus pginas ;e"' &remos dando las instrucciones de descarga5 as como los sitios desde los 2ue se
pueden descargar segCn :a.an haciendo !alta'
3reemos 2ue toda la a.uda para comenzar a utilizar Snort 2ueda "ien plasmada en el
documento5 no o"stante5 las ;e" http:EE;;;'snort'org tiene una gran !uente de a.udas5 !oros5 .
documentacin 2ue podr ser:ir de a.uda para los interesados en los &4S'
(
1. Qu es Snort?
Snort es un sni!!er de pa2uetes . un detector de intrusos "asado en red <se monitoriza todo
un dominio de colisin=' 7s un so!t;are mu. !le@i"le 2ue o!rece capacidades de almacenamiento de
sus "itcoras tanto en archi:os de te@to como en "ases de datos a"iertas como lo es M.S*#'
&mplementa un motor de deteccin de ata2ues . "arrido de puertos 2ue permite registrar5
alertar . responder ante cual2uier anomala pre:iamente de!inida' As mismo e@isten herramientas
de terceros para mostrar in!ormes en tiempo real <A3&4= o para con:ertirlo en un Sistema 4etector
. re:entor de &ntrusos'
7ste &4S implementa un lengua0e de creacin de reglas !le@i"le5 potente . sencillo' 4urante
su instalacin .a nos pro:ee de cientos de !iltros o reglas para "acFdoor5 44oS5 !inger5 FD5
ata2ues ;e"5 3G&5 9map'''
uede !uncionar como sni!!er <podemos :er en consola . en tiempo real 2u$ ocurre en
nuestra red5 todo nuestro tr!ico=5 registro de pa2uetes <permite guardar en un archi:o los logs para
su posterior anlisis5 un anlisis o!!line= o como un &4S normal <en este caso 9&4S=' 3uando un
pa2uete coincide con algCn patrn esta"lecido en las reglas de con!iguracin5 se logea' As se sa"e
cuando5 de donde . cmo se produ0o el ata2ue'
Snort est disponi"le "a0o licencia G#5 gratuito . !unciona "a0o plata!ormas ?indo;s .
A9&BE#inu@' 4ispone de una gran cantidad de !iltros o patrones .a prede!inidos5 as como
actualizaciones constantes ante casos de ata2ues5 "arridos o :ulnera"ilidades 2ue :a.an siendo
detectadas a tra:$s de los distintos "oletines de seguridad'
#a caracterstica ms apreciada de Snort5 adems de su !uncionalidad5 es su su"sistema
!le@i"le de !irmas de ata2ues' Snort tiene una "ase de datos de ata2ues 2ue se est actualizando
constantemente . a la cual se puede aGadir o actualizar a tra:$s de la &nternet' #os usuarios pueden
crear H!irmasH "asadas en las caractersticas de los nue:os ata2ues de red . en:iarlas a la lista de
correo de !irmas de Snort5 para 2ue as todos los usuarios de Snort se puedan "ene!iciar' 7sta $tica
de comunidad . compartir ha con:ertido a Snort en uno de los &4Ses "asados en red ms populares5
actualizados . ro"ustos'
odemos seGalar 2ue Snort es una herramienta 2ue a pleno !uncionamiento consume
muchos recursos' or este moti:o5 . de"ido al echo de 2ue estamos monitorizando una sola
m2uina5 hemos decidido para este tra"a0o utilizar la "ase de datos de reglas 2ue no necesita
registro por internet5 si no 2ue se crea en el mismo momento de la creacin de la :ersin 2ue
utilizaremos de Snort5 con el !in de no cargar las m2uinas de los compaGeros 2ue 2uieran instalar
Snort para pro"arlo en sus 3s' 9o o"stante5 se darn las directrices a seguir por si se desea instalar
el 9&4S en un e2uipo para 2ue monitorice con las ma.ores prestaciones su red5 descargando las
reglas registrndose en http:EE;;;'snort'org'
,
2. Instalacin y configuracin de Snort
ara comenzar 5 necesitamos la herramienta ?in3ap('% descarga"le desde
http:EE;;;';inpcap'orgEinstallEde!ault'htm' 7sta herramienta es "sica para el !uncionamiento de
Snort5 de"ido a 2ue es la li"rera de "a0o ni:el 2ue utilizar Snort para el acceso a redes' 7s para
?indo;s como la li"3ap utilizada en #inu@'
Ana :ez instalado ?in3ap5 de"emos acceder a la ;e" de Snort5 http:EE;;;'snort'com .
descargarnos la :ersin de Snort para ?indo;s desde http:EE;;;'snort'orgEdlE"inariesE;in(-E .
pasamos a instalarlo' #o Cnico 2ue ha. 2ue su"ra.ar en el proceso de instalacin5 es 2ue en un
momento dado nos preguntar el ;izard 2ue seleccionemos las opciones de con!iguracin5
seleccionamos I do not plan to log to a database, or I am planning to log to one of the databases listed
above . presionamos ne@t para continuar' A continuacin nos pedir 2ue seleccionemos los componentes
de la instalacin5 los seleccionamos todos . hacemos clicF en ne@t' 3uando nos pida la ruta de instalacin5
de0amos la 2ue sle por de!ecto C:\Snort . presionamos ne@t para !inalizar la instalacin'
Ana :ez 2ue est instalado Snort5 tenemos 2ue proseguir con su con!iguracin' #o primero 2ue
tenemos 2ue hacer es acceder a la carpeta C:\Snort\etc en este directorio encontraremos un !ichero llamado
snort.conf 2ue es el !ichero de con!iguracin 2ue utilizaremos para con!igurar Snort' Accedemos al !ichero
con un editor de te@to 2ue no corrompa el !ormato original del archi:o <notepad o ;ordpad='
7ntonces comenzamos la con!iguracin:
1. Comenzamos con la configuracin de la red
3omo podemos :er5 en snort'con!5 la red 2ue aparece por de!ecto
:ar IOM7J97D an.
#o 2ue tenemos 2ue hacer es modi!icar esta :aria"le' #a podemos modi!icar de tres modos
dependiendo de lo 2ue 2ueramos:
%' Ana red 3: :ar IOM7J97D %8-'%1>'%'KE-,
-' Iost espec!ico : :ar IOM7J97D %8-'%1>'%'(E(-
(' Varios Iost: :ar IOM7J97D %8-'%1>'%'-E(-5%8-'%1>'%'(E(-5%8-'%1>'%',E(-
7n nuestro caso lo 2ue nos interesa es monitorizar un solo host5 con lo 2ue utlizamos el segundo
modo5 en nuestro caso ser:
:ar IOM7J97D &pdelIostE(-
#a &p del Iost se puede o"tener e0ecutando en comando ipconfig en la consola'
2. Seguimos con la configuracin de las reglas
ara este punto lo Cnico 2ue tenemos 2ue hacer es descargarnos las reglas de la ;e" de Snort e
incluirlas en el directorio c:\Snort\rules'
Como se observar en la web de Snort, hay tres conjuntos de reglas para descargar,
Subscribers , Registered y Unregistered. Para este tutorial recomendamos descargar las
Unregistered ya que cargarn menos el PC. Una vez que lo inalicemos, si se desea dejar
instalado Snort y utilizarlo como servicio, es aconsejable registrarse para que podamos
recibir las actualizaciones que se van realizando de las reglas.
7n snort'con!5 casi al !inal aparecen una serie de sentencias con el siguiente !ormato:
/
include LRA#7JADIEname'rules
Se trata de las sentencias 2ue incl.en las di!erentes li"reras de reglas' #as 2ue tienen una '#' delante
son las 2ue estn comentadas5 si 2ueremos 2ue se inclu.an 5 solamente tenemos 2ue 2uitarle la
almohadilla de delante'
or ahora le 2uitamos la almohadilla a todas'
3. Finalizamos con unos retoues de acceso
Solamente nos 2ueda por modi!icar lo siguiente:
3am"iar la lnea donde aparece :
d!namicpreprocessor director! "usr"local"li#"snort$d!namicpreprocessor"
por:
d!namicpreprocessor director! c:\snort\li#\snort$d!namicpreprocessor
M la lnea 2ue pone:
d!namicengine "usr"local"li#"snort$d!namicengine"li#sf$engine.so
or:
d!namicengine c:\snort\li#\snort$d!namicengine\sf$engine.dll
Ana :ez realizados estos cam"ios podemos pro"ar Snort desde la lnea de comandos' Accedemos a
la carpete c:NSnortN"in . este direc.torio escri"imos :
C:\Snort\#in% snort &de' &c c:\Snort\etc\snort.conf &l C:\Snort\log &i2
9os dar un error diciendo 2ue no se encuentra el archi:o sp!(are&put.rules. 3omentamos esa lnea
en el !ichero de con!iguracin . :ol:emos a e0ecutar' 3omenzaremos a :er el tr!ico 2ue pasa por nuestro
e2uipo' Si o"ser:amos el directorio 3:NSnortNlog5 podemos :er como en el !ichero alert.ids se han ido
almacenando las alertas 2ue los !icheros de reglas tienen reconocidas como tr!ico del 2ue de"en de alertar'
#as opciones 2ue le hemos pasado en la lnea de comandos a Snort son:
Od : :isualizar los campos de datos 2ue pasan por la inter!ace de red'
Oe: snort nos mostrar in!ormacin ms detallada'
O:: &niciamos snort en modo sni!!er :isualizando en pantalla las ca"eceras de los pa2uetes
D3E&'
Oc: archi:o 2ue utilizar snort como !ichero de con!iguracin'
Ol: directorio donde guardar las alertas . logs'
Oi: inter!az 2ue monitorizaremos'
2.1. Manejo de las reglas
!as opciones que aqu" se comentan para la creaci#n de reglas, son solamente para
el comienzo de la utilizaci#n de Snort, puede encontrar toda la documentaci#n
necesaria sobre reglas en la web http$%%www.snort.org%docs%writing&rules
#a herramienta Snort utiliza un lengua0e simple para la de!inicin de las reglas' #a ma.ora
de las reglas estn escritas en una sola lnea' Ahora pasamos a descri"ir los pasos 2ue tenemos 2ue
1
dar para crear un !ichero con reglas nue:as 2ue 2ueramos utilizar'
7l primer paso ser crear el !ichero P'rulesQ < lo llamaremos misReglas.rules=5 en el 2ue
introduciremos nuestras reglas5 en el directorio rules alo0ado en el directorio raz de la
herramienta<c:NSnortNrules=' Ana :ez creado nos :amos al !ichero de con!iguracin5 en este tutorial
estamos utilizando snort.conf del directorio etc . despu$s de la inclusin de los !icheros de reglas
2ue nos proporciona snort5 introducimos una sentencia del tipo:
include R!ichero de reglasS
*ue en nuestro caso ser:
include )*+,-$./01"mis*eglas.rules
3on esta sentencia5 le estamos diciendo a snort 2ue5 cuando arran2ue5 introduzca las reglas
del !ichero misReglas'rules en su "ase de datos de reglas'
#o 2ue tenemos 2ue hacer a continuacin es acceder al !ichero en el 2ue se clasi!ican . se
priorizan las reglas5 en el cual5 introduciremos el nue:o tipo del con0unto de reglas 2ue :amos a
crear5 . le asignaremos prioridad' 7ste !ichero se llama classification.config . se encuentra en la
carpeta etc5 la misma 2ue el !ichero de con!iguracin de Snort'
3omo se puede o"ser:ar5 las di!erentes clasi!icaciones de reglas siguen el siguiente patrn:
config 2directi'a%: name3 descripcin3 prioridad
7n nuestro caso crearemos una clasi!icacin <directi:a classification4 de reglas 2ue
llamaremos user&rules5 cu.a descripcin ser trico que nos interesa5 . cu.a prioridad ser /' ara
crearla5 introducimos la siguiente lnea en el !ichero:
config classification: user&rules3 0rafico ue nos interesa3 5
Dam"i$n se podrn utilizar las clasi!icaciones .a creadas5 solamente creamos en el e0emplo
una nue:a clasi!icacin para 2ue se :ea como se creara'
Ana :ez 2ue hemos realizado esto5 solamente nos 2ueda comenzar a crear las reglas 2ue nos
interesan' 7s importante comentar 2ue para la creacin de reglas medio decentes se necesita unos
pe2ueGos conocimientos so"re protocolos5 como pueden ser &3M5 D35 ''' de"ido a 2ue a las
reglas se le pasan parmetros en si parte de opciones'
Vamos a crear una regla mu. simple5 2ue nos :a a alertar de los ping 2ue se realizan desde
una m2uina de nuestra red hacia el e@terior'
3omenzamos a"riendo el !ichero misReglas'rules 2ue hemos creado anteriormente5 .
comenzamos a introducir las reglas' #as reglas en Snort se componen de dos grande partes5 la
ca"ecera . las opciones5 teniendo las siguiente !orma:
2ca#ecera% 62opciones%4
Ca#eceras:
#as ca"eceras siguen en siguiente !ormato:
2accin% 2protocolo% 2redFuente con m7scara% 2puerto% OOS 2red8estino con m7scara% 2puerto%
#a accin 2ue :amos a crear es una accin del tipo alert'
7l protocolo ser icmp.
#a red !uente ser la :aria"le )19:-$;-0 2ue modi!icamos en el !ichero de
con!iguracin anteriormente5 2ue tiene incluida la mscara de red'
7l puerto ser an!3 re!iri$ndonos a todos los puertos'
6
3omo red destino ponemos )-<0-*;/,$;-0.
M como puerto an!
9o o"stante5 se podra poner una red concreta5 . un puerto concreto o rango de
puertos' ara indicar un rango de puertos5 utilizaremos el operador H:H5 70: K:%K-(5 puertos
del K al %K-(T :(KK 5 puerto menor o igual a (KKT /KK:5 puerto ma.or o igual 2ue /KK'
Ana :ez hecho esto5 tenemos 2ue pasar a rellenar las opciones'
9pciones:
7@iste un gran nCmero de opciones5 solamente comentaremos las ms importantes
para nuestro cometido:
msg: 7scri"e un mensa0e de alerta'
it!pe: tipo icmp'
icode: cdigo icmp'
flags: !lags tcp <A5 S5 F5 A5 R . =
sid: &4 de la regla'
classt!pe: tipo de la regla5 < el tipo creado en el !ichero classi!ication'con!ig=
content: "uscan un patrn en el contenido de los datos del pa2uete'
re': numero de re:isin de la regla'
Ana :ez comentado esto5 sa"emos 2ue opciones utilizaremos5 sern msg5 it.pe5 icode5 sid5
re: . classt.pe'
7l cdigo de un &9G en el protocolo icmp es K5 . el tipo es >5 con lo cual el campo
icode tendr el :alor K . el it.pe el >'
ara !inalizar introducimos la regla en el !ichero mis*eglas.rules' #a regla ser la
siguiente:
alert icmp )19:-$;-0 an! &% )-<0-*;/,$;-0 an! 6msg:=.>;? ue se lanza desde mi
m7uina=@ icode:A@ it!pe:B@ sid:1AAAA@classt!pe:user&rules@ re':A@4
Ahora solamente tenemos 2ue e0ecutar Snort:
C:\Snort\#in% snort &de' &c c:\Snort\etc\snort.conf &l C:\Snort\log &i2
Realizamos un ping desde la lnea de comandos a cual2uier m2uina5 por e0emplo:
ping 155.5C.1.1
M en el !ichero alert.ids podemos :er 2ue se ha incluido el siguiente contenido:
UVVW U%:%KKKK:KW &9G 2ue se lanza desde mi m2uina UVVW
U3lassi!ication: Dra!ico 2ue nos interesaW Uriorit.: /W
K%EK/O%>:,1:(%'8/>(%- K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86',- OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:1,1/ &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:61> 73IO
>
UVVW U%:,K>:/W &3M 7cho Repl. UVVW
U3lassi!ication: Misc acti:it.W Uriorit.: (W
K%EK/O%>:,1:(%'81%6(, K:1:/-:/%:XK:%X OS K:/:8A:(3:6>:K t.pe:K@>KK len:K@,A
%//'/,'%'% OS %//'/,'%86',- &3M DD#:-/( DOS:K@K &4:/(811 &p#en:-K 4gm#en:1K 4F
D.pe:K 3ode:K &4:%K-, Se2:61> 73IO R7#M
K%EK/O%>:,1:(-'8/>6-8 K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86',- OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:1/,8 &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:%K-, 73IO
K%EK/O%>:,1:(-'81%/1/ K:1:/-:/%:XK:%X OS K:/:8A:(3:6>:K t.pe:K@>KK len:K@,A
D.pe:K 3ode:K &4:%K-, Se2:%K-, 73IO R7#M
K%EK/O%>:,1:(('8/86// K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86',- OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:11%, &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:%->K 73IO
K%EK/O%>:,1:(('81-//8 K:1:/-:/%:XK:%X OS K:/:8A:(3:6>:K t.pe:K@>KK len:K@,A
%//'/,'%'% OS %//'/,'%86',- &3M DD#:-/( DOS:K@K &4:/(81> &p#en:-K 4gm#en:1K 4F
D.pe:K 3ode:K &4:%K-, Se2:%->K 73IO R7#M
K%EK/O%>:,1:(,'81K66( K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86',- OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:1168 &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:%/(1 73IO
K%EK/O%>:,1:(,'81/%>> K:1:/-:/%:XK:%X OS K:/:8A:(3:6>:K t.pe:K@>KK len:K@,A
8
D.pe:K 3ode:K &4:%K-, Se2:%/(1 73IO R7#M
3omo se puede o"ser:ar5 se han incluido las alertas de los 73IOs 2ue nosotros hemos
lanzado5 con el cdigo 2ue le hemos asignado5 el nCmero de re:isin5 el te@to 2ue hemos puesto
para 2ue se imprimiera5 el grupo de clasi!icacin al 2ue pertenece . su prioridad5 seguido del
contenido de la ca"ecera del pa2uete' Adems5 se crea la alerta tam"i$n de la respuesta al 73IO'
Supongamos 2ue deseamos 2ue no se crease la alerta de los 73IO R7#M5 lo Cnico 2ue
tendramos 2ue hacer sera comentar la entrada en el !ichero icmp&info.rules 2ue se hace cargo de
crear la alerta de los 73IO R7#M:
alert icmp )-<0-*;/,$;-0 an! &% )19:-$;-0 an! 6msg:=>C:. -cDo *epl!=@
icode:A@ it!pe:A@ classt!pe:misc&acti'it!@ sid:CAB@ re':5@4
K%EK>OK8:%-:(,'(%>1// K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86'-,/ OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:16>1 &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:(K6- 73IO
K%EK>OK8:%-:(/'(%8116 K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86'-,/ OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:168/ &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:((-> 73IO
K%EK>OK8:%-:(1'(-K1>/ K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86'-,/ OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:1>K, &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:(/>, 73IO
K%EK>OK8:%-:(6'(-K6-/ K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@,A
%//'/,'%86'-,/ OS %//'/,'%'% &3M DD#:%-> DOS:K@K &4:1>%( &p#en:-K 4gm#en:1K
D.pe:> 3ode:K &4:%K-, Se2:(>,K 73IO
3omo se puede o"ser:ar5 a comentar la lnea 2ue por:oca las alarmas de los 73IO R7#M5
snort no almacena las alertas 2ue se han producido de este tr!ico'
or otro lado5 tam"i$n se pueden crear reglas 2ue tras su in:ocacin hagan 2ue otras reglas
%K
sean acti:adas durante un periodo de tiempo' 7sto se consigue mediante las siguientes claCsulas:
acti'ate: Alerta . acti:a una regla declarada como dinmica <d.namic='
d!namic: co"ra sentido cuando una regla declarada como acti:a <acti:ate=5 la acti:a de
modo 2ue pasa a !ormar parte de las reglas del registro'
7l par acti:ateEd.namic rules5 le proporciona a Snort una capacidad con mucha potencia5
de"ido a 2ue le capacita para 2ue una regla est$ acti:a a partir de un determinado momento5 . 2ue
:uel:a a ser pasi:a cuando ha.a reci"ido un nCmero de pa2uetes 2ue se le indica' #as reglas
acti'ate se declaran e@actamente igual 2ue las alert3 con la sal:edad de 2ue necesitan de una
opcin adicional5 la opcin acti'ates. #as reglas d!namic son en !ormato igual 2ue las reglas de
registro5 con la sal:edad de 2ue necesitan de dos opciones ms5 acti'ated$#! . count'
or e0emplo5 las siguientes sentencias:
activate tcp !$HOME_NET any -> $HOME_NET 143 (flags: P! "
c#ntent: $%E&'())))))%*+in$! activates: 1! "
,sg: $-MP +.ffe/ #ve/fl#0!"$!1
2yna,ic tcp !$HOME_NET any -> $HOME_NET 143 (activate2_+y: 1! c#.nt: 3(!1
7stas reglas har 2ue cuando se detecte un o:er!lo; del "C!er &MA5 se coleccionen los /K
siguientes pa2uetes 2ue :ienen desde una red e@terior a la red 2ue estamos :igilando por el puerto
%,('
7@iste la posi"ilidad de 2ue una regla implemente respuestas ante la acti:acin de una alerta5
la e0ecucin de estas respuestas hace 2ue las cone@iones 2ue se interpreten o!ensi:as sean cerradas'
#as respuestas 2ue nos podemos encontrar son las siguientes:
rst$snd : en:a un pa2uete D3ORSD por el socFet emisor'
rst$rc' : en:a un pa2uete D3ORSD por el socFet receptor'
rst$all : en:a un pa2uete D3ORSD en am"as direcciones'
icmp$net : en:a un &3MJ97DJA9R7A3I al emisor'
icmp$Dost: en:a un &3MJIOSDJA9R7A3I al emisor'
icmp$port: en:a &3MJORDJA9R7A3I al receptor '
icmp$all: send all a"o:e &3M pacFets to the sender
Dodas estas opciones pueden ser com"inadas siguiendo el siguiente !ormato:
resp:2modificacin$respuestaE3 modificacin$respuestaF@%
ale/t .2p any any -> 145617&616(*54 31 (/esp: ic,p_p#/t8ic,p_9#st! "
,sg: $Hac:e/;s Pa/a2ise access atte,pt$!1
%%
3. Instalacin y configuracin de MySql
#o primero 2ue tenemos 2ue hacer es descargar el dri:er O4X3 de"ido a los pro"lemas de
compati"idad 2ue se pueden encontrar5el nom"re del archi:o es m.s2lOconnectorOod"cO('/%'%-O
;in(-5. se puede descargar desde http:EEde:'m.s2l'comEdo;nloadsEconnectorEod"cE('/%'html5 Se
instala . proseguimos con la instalacin de M.s2l'
4escargamos la "ase de datos M.S2l de la pgina o!icial de M.S2l5 http:EE;;;'m.s2l'org5
se instala . pasamos a con!igurar tanto Snort como M.S2l para 2ue se puedan utilizar . para 2ue
am"os interactCen para poder tra"a0ar 0untos'
Ana :ez instalado M.S2l5 tenemos 2ue crear la "ase de datos so"re la 2ue tra"a0ar' ara
ello accedemos como root a la "ase de datos' 7sto se hace desde la carpeta #in del directorio raz de
M.S2l mediante el comando:
m!sl &u root &p
Ana :ez hecho esto5 nos pedir la cla:e del root'
Acto seguido5 una :ez dentro de m.s2l5 tenemos 2ue crear la "ase de datos:
create data#ase snort@
Ahora tenemos 2ue crear las ta"las con las 2ue tra"a0ar snort5 para eso5 se necesita un
!ichero llamado create$m!sl3 para la realizacin de este tutorial5 !ue descargado de un comentario
del !oro del sitio o!icial de Snort5 el comentario en cuestin est en http:EE;;;'snort'orgEarchi:eO
%%O(1,6'html' 3reamos el archi:o createJm.s2l en la carpeta schemas contenida en el directrio raz
de Snort'
'osotros modiicamos una l"nea del ichero de creaci#n de la base de datos, debido
a que si no, ser"a imposible almacenar las alarmas que crea un escaneo de puertos,
ya que no pertenece a ninguna clase de reglas. !a l"nea, es una de las pertenecientes
a la creaci#n de la tabla signaturelinea !"#, modiicada es la siguiente$
sig&class&id (') U'S(*'+, '-) 'U!!,
por
sig&class&id (') U'S(*'+,,
Ana :ez hecho esto5 desde la lnea de comandos e0ecutamos:
m!sl &u root &p &8 snort 2 c:\Snort\scDemas\create$m!sl
9os pedir la cla:e del root5 . .a estn creadas las ta"as necesarias' Ahora tenemos 2ue
darle permisos al usuario con el 2ue se modi!icar la "ase de datos snort de la siguiente manera
<dentro de m.s2l5 ha"iendo accedido con el root=:
grant insert3select3update3create3delete on snort.G to +serHlocalDost identified #! 'cla'e'@
Salimos de m.s2l5 . ahora accedemos con el usuario creado directamente a la "ase de datos
snort:
m!sl &u +ser &8 snort &p
%-
9os pedir la cla:e5 . accederemos' Ana :ez dentro5 compro"amos 2ue se han creado todas
las ta"las mediante el comando
sDo( ta#les@
Ahora tenemos 2ue modi!icar el !ichero snort.conf para 2ue snort interactCe con m.s2l' #o
Cnico 2ue tenemos 2ue modi!icar es descomentar la lnea
# output data#ase: log3 m!sl3 userIroot pass(ordItest d#nameId# DostIlocalDost
3am"indola por la siguiente:
output data#ase: log3 m!sl3 userI+ser pass(ordI./SSJ8 d#nameIsnort DostIlocalDost
portI33AK sensor$nameIsnort$sensor
Ana :ez realizados estos cam"ios5 lanzamos snort desde el directorio "in del !ichero raz de
snort5 mediante el comando:
snort &de' &c c:\Snort\etc\snort.conf &l C:\Snort\log &i2
Realizamos alguna accin para 2ue se creen alertas5 . accedemos a la "ase de datos snort .
e0ecutamos :
select G from e'ent@
M :eremos todos los e:entos 2ue se han producido'
Ana :ez hecho esto5 :emos como el acceso a los datos 2ue nos genera Snort sigue siendo un poco
em"orroso 5 .a 2ue tenemos 2ue estar accediendo desde la lnea de comandos 2ue en muchas ocasiones se
con:ierte en algo pesa de tra"a0ar' ara paliar esto5 contamos con una herramienta llamada A3&4 2ue consta
de unos !icheros php5 . 2ue solamente necesita para e0ecutarse un ser:idor 2ue soporte php5 tener php
instalado5 . una serie de herramientas 2ue se comentaran'
%(
4. Instalacin y configuracin de !I"
A3&4 es un sistema "asado en ;e"5 creado con el lengua0e de programacin I5 con lo
2ue necesita de un ser:idor capaz de interpretar '
3omo estamos instalando Snort en ?indo;s5 :amos a utilizar el ser:idor &&S 2ue nos :iene
en la distri"ucin de ?indo;s 2ue tenemos instalada < el tutorial se est realizando so"re ?indo;s
Bp=' 9o ha. ningCn pro"lema en utilizar u Apache5 o cual2uier ser:idor 2ue sepa interpretar cdigo
I5 solamente utilizamos este por2ue creemos 2ue es interesante sa"er instalarlo5 .a 2ue durante
la carrera solamente hemos tra"a0ado con ser:idores Apache . Apache Domcat . no con &&S'
ara instalar &&S tenemos 2ue acceder al anel de control OOS Agregar o 2uitar rogramas OOS
Agregar o *uitar 3omponentes de ?indo;s' 9os aparecer una :entana como esta:
Solamente tenemos 2ue seleccionar >nternet >nformation Ser'ices6>>S43 . hacer clicF en siguiente'
Ana :ez instalado5 pro"amos 2ue est !uncionando escri"iendo en el &e@plorer< OYOZZZZZZZZZ
solamente se puede acceder desde el &e@plorer5 no lo intenteis desde otro na:egador5 Fire!o@5 Opera
por 2ue no os de0ar acceder= la direccin localhost 5 . nos tiene 2ue salir la siguiente :entana:
%,
Ana :ez instalado el &&S5 .a tenemos un ser:idor 2ue nos interprete I'
Ahora de"emos de instalar I' ara ello nos "a0amos de ;;;'php'net tanto el instalador
de I como el archi:o .zip' #os dos archi:os 2ue tenemos 2ue descargarnos de"en ser de la
misma :ersin de I5 .a 2ue si no tendremos pro"lemas . no podremos e0ecutar A3&4'
7l zip lo podemos descargar de http:EEes'php'netEgetEphpO,',',O?in(-'zipE!romEaEmirror
. el e0ecuta"le de http:EEes-'php'netEgetEphpO,',',Oinstaller'e@eE!romEaEmirror
%/
&nstalamos I desde el instalador' 7n algCn momento nos preguntar el instalador 2ue a
2ue ser:idor 2ueremos darle ser:icio5 elegimos el &&S de la :ersin 2ue ha.amos instalado5 en
nuestro caso !ue $icrosoft IIS % or higher' Ana :ez aca"ado esto5 accedemos al directorio raz de
I5 supuestamente estar en c:NI' Mientras tanto a"rimos el !ichero pDp&C.C.C&Jin32.zip .
e@traemos el el directorio e&tensions en el directorio raz de I de modo 2ue 2uedar as:
Ahora pasamos a con!igurar el !ichero php.ini 2ue se encuentra en el directorio
C:\J>;89JS. Ana :ez en el lo editamos . modi!icamos una serie de :aria"les5 de0ndolas como
2uedan:
ma@Je@ecutionJtime [ 1K T Ma@imum e@ecution time o! each script5 in seconds
errorJreporting [ 7JA## \ ]7J9OD&37
e@tensionJdir [ c:NphpNe@tensions
e@tension[phpJgd-'dll
session'sa:eJpath[ 3:N?&94O?SNDempT argument passed to sa:eJhandler
7cho esto solamente nos 2ueda con!igurar A3&4' M para esto5 antes de nada nos tenemos
2ue "a0ar dos !icheros:
%1
adod",/- OOS http:EEprdo;nloads'source!orge'netEadod"Eadod",/-'zip+do;nload
Ilot OOS http:EEsource!orge'netEpro0ectEsho;!iles'php+groupJid[%,1/(
3on estos archi:os lo Cnico 2ue tenemos 2ue hacer es descomprimirlos en el directorio raz de
Snort'
Ahora si 2ue llega el momento de instalar A3&4' #o Cnico 2ue tenemos 2ue hacer es
descargar acidOK'8'1"-('tar de http:EEacidla"'source!orge'netE5 lo descomprimimos en el directorio
raz del ser:idor ;e"5 2ue en nuestro caso5 por ha"er instalado &&S5 es C:\Inetpub\'''root5 .
comenzamos a modi!icar unas lneas del !ichero acid(conf.php:
L4Xli"Jpath [ ^3:NSnortNadod"^T
EV Alert 4X connection parameters
V O LalertJd"name : M.S*# data"ase name o! Snort alert 4X
V O LalertJhost : host on ;hich the 4X is stored
V O LalertJport : port on ;hich to access the 4X
V O LalertJuser : login to the data"ase ;ith this user5 usuario ue tiene permisos para
conectarse a la #ase de datos de snort
V O LalertJpass;ord : pass;ord o! the 4X user5 cla'e del usuario
V
V Dhis in!ormation can "e gleaned !rom the Snort data"ase
V output plugin con!iguration'
VE
LalertJd"name [ ^snort^T
LalertJhost [ ^localhost^T
LalertJport [ ^((K1^T
LalertJuser [ ÂS7R^T
LalertJpass;ord [ ÂSS?4^T
A3&4 crea ta"las adicionales para 2ue el usuario pueda archi:ar alertas importantes' Se puede
indicar
otro usuario para acceder a ellas'
EV Archi:e 4X connection parameters VE
Larchi:eJd"name [ ^snortJarchi:e^T
Larchi:eJhost [ ^localhost^T
Larchi:eJport [ ^^T
Larchi:eJuser [ ûserJarchi:e^T
Larchi:eJpass;ord [ ^%-(,/1^T
3on esto .a tenemos instalado A3&45 ahora para pro"arlo ponemos en el &e@plorer
http:EElocalhostEacidEinde@'html5 . nos aparecer lo siguiente:
Jarning: m.s2lJpconnect<= U!unction'm.s2lOpconnectW: 3lient does not support authentication
protocol re2uested ". ser:erT consider upgrading M.S*# client in
C:\Snort\adod#\dri'ers\adod#&m!sl.inc.pDp on line 35C
%6
-rror 6p4connecting to 8L : snort_localhost:((K1
3hecF the 4X connection :aria"les in acid&con.php
< $ale/t_2+na,e : My=>? 2ata+ase na,e 09e/e t9e ale/ts a/e
st#/e2
< $ale/t_9#st : 9#st 09e/e t9e 2ata+ase is st#/e2
< $ale/t_p#/t : p#/t 09e/e t9e 2ata+ase is st#/e2
< $ale/t_.se/ : .se/na,e int# t9e 2ata+ase
< $ale/t_pass0#/2 : pass0#/2 f#/ t9e .se/na,e

8ata#ase -**9*:3lient does not support authentication protocol re2uested ". ser:erT consider
upgrading M.S*# client

7ste error se sol:enta accediendo a m.s2l como root . e0ecutando los siguientes comandos:
m.s2lS @PATE ,ysBl6.se/ =ET Pass0#/2 < O?A_P==CODA(;ne0p02;1
-> WHERE Host = 'some_host' AND User = 'some_user';
,ysBl> )?@=H PD-E-?EFE=!
Ahora si hacemos un re!resco en el "ro;ser5 aparecer:
%>
Iacemos clicF en Setup page:
%8
3licF en 3reate A3&4 AG:
-K
Iacemos clicF en Main age . :emos como :an las alertas registradas por Snort:
Ahora solamente nos 2ueda e@plorar todas las :enta0as 2ue nos da A3&4'
-%
#. $uesta en %arc&a de la &erra%ienta
Ahora lo Cnico 2ue tenemos 2ue hacer es 2ue snort sea un ser:icio del sistema de tal modo
2ue no tengamos necesidad de tener 2ue estar lanzando snort cada :ez 2ue accedamos al ordenador'
ara esto5 lo Cnico 2ue tenemos 2ue hace es:
%O &nstalarlo como ser:icio:
snort ES7RV&37 E&9SDA## Ode: Oc c:NSnortNetcNsnort'con! Ol c:NSnortNlog Oi-
-O #anzar el ser:icio:
net start snort
3on esto .a tenemos snort !uncionando5 interactuando con una "ase de datos m.s2l5 .
adems tenemos la a.uda de una herramienta 2ue nos permite :isualizar los datos de una manera
mu. sencilla desde un na:egador ;e"'
--
'. Inter(retacin y %ane)o de los resultados* e)e%(lo (r+ctico
3uando comenzamos a tra"a0ar con Snort podemos darnos cuenta de 2ue muchas de las
alertas 2ue se producen son !alsas alertas' or e0emplo5 mientras la realizacin del tutorial he estado
ha"lando con un amigo por el aMsn . resulta 2ue cuando he terminado de instalar A3&45 me salan
las siguientes alarmas:
*ue sucede con esto5 2ue Snort por de!ecto est creando muchas !alsas alarmas' Al darnos
cuenta de esto5 lo Cnico 2ue tenemos 2ue hacer es comentar la regla 2ue hace 2ue salte dicha
alarma' ara ello primero paramos snort:
net stop snort
3omentamos las reglas 2ue creemos 2ue son innecesarias5 en nuestro caso comentaremos
del !ichero cDat.rules:
àlert tcp LIOM7J97D an. RS L7BD7R9A#J97D %>1( <msg:^C1/0 :S; message^T
!lo;:esta"lishedT content:^MSG ^T depth:,T content:^3ontentOD.pea(Aa^T nocaseT
content:^te@tEplain^T distance:%T classt.pe:polic.O:iolationT sid:/,KT re::%%T=
Ahora tendremos 2ue :ol:er a instalar el ser:icio para 2ue las reglas modi!icadas 2ueden en
el registro de reglas como 2ue han sido modi!icadas:
-(
snort ES7RV&37 EA9&9SDA##
snort ES7RV&37 E&9SDA## Ode: Oc c:NSnortNetcNsnort'con! Ol c:NSnortNlog Oi-
net start snort
Vuel:o a iniciar sesin . mantengo otra con:ersacin :a aMsn con un amigo5 . la Cnica
alarma registrada a sido la 2ue indica 2ue hemos iniciado sesin : C1/0 :S; login attempt3 las
dems son anteriores a esta nue:a cone@in:
Supongamos 2ue como administradores 2ueremos apro:echar la potencia de Snort5 para
poder apreciar si se produce algCn ata2ue por el puerto del messenger5 . 2ue m2uina<s= tenan
a"ierta una sesin en ese momento' ara ello5 tenemos 2ue registrar el momento en el 2ue un e2uipo
realiza el logueo < 2ue .a nos lo da hecho Snort con la alerta 3IAD MS9 login attempt=5 . tenemos
2ue registrar momento en el 2ue se realiza el logout' ara registrar el logout tenemos 2ue crear una
regla 2ue sea capaz de registrar el momento en el 2ue se realiza'
ara ello tenemos 2ue sa"er el contenido de un mensa0e logout' Mirando en el alert'ids5
encontramos las siguientes tramas:
[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b[b
K%E%KO%-:K>:K%'6K(11, K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@(1
%//'/,'%86'66:(%6- OS -K6',1'%K>'>-:%>1( D3 DD#:%-> DOS:K@K &4:%K116 &p#en:-K 4gm#en:,K 4F
VVVAVVVV Se2: K@3/,,48(1 AcF: K@1(FF1X%A ?in: K@,,7> Dcp#en: -K
K%E%KO%-:K>:K,',1>/,( K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@(X
%//'/,'%86'66:(%6- OS -K6',1'%K>'>-:%>1( D3 DD#:%-> DOS:K@K &4:%K18/ &p#en:-K 4gm#en:,/ 4F
VVVAVVV Se2: K@3/,,48(1 AcF: K@1(FF1X%A ?in: K@,,7> Dcp#en: -K
,F // /, K4 KA OAD''
-,
K%E%KO%-:K>:K,',18,/6 K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@(1
VVVAVVVF Se2: K@3/,,48(X AcF: K@1(FF1X%A ?in: K@,,7> Dcp#en: -K
K%E%KO%-:K>:K,'6K/-61 K:1:/-:/%:XK:%X OS K:/:8A:(3:6>:K t.pe:K@>KK len:K@(1
-K6',1'%K>'>-:%>1( OS %//'/,'%86'66:(%6- D3 DD#:%%K DOS:K@K &4:(%8(( &p#en:-K 4gm#en:,K 4F
VVVAVVVF Se2: K@1(FF1X%A AcF: K@3/,,48(X ?in: K@F377 Dcp#en: -K
K%E%KO%-:K>:K,'6K/(-% K:/:8A:(3:6>:K OS K:1:/-:/%:XK:%X t.pe:K@>KK len:K@(1
VVVAVVVV Se2: K@3/,,48(3 AcF: K@1(FF1X%X ?in: K@,,7> Dcp#en: -K
K%E%KO%-:K>:K,'6K/,-- K:1:/-:/%:XK:%X OS K:/:8A:(3:6>:K t.pe:K@>KK len:K@(1
-K6',1'%K>'>-:%>1( OS %//'/,'%86'66:(%6- D3 DD#:%%K DOS:K@K &4:(-K%K &p#en:-K 4gm#en:,K 4F
VVVAVVVV Se2: K@1(FF1X%X AcF: K@3/,,48(3 ?in: K@F377 Dcp#en: -K
3omo .a se comento5 se necesitan nos conceptos a:anzados de protocolos de redes para
entender como crear reglas 2ue ms o menos sean "uenas5 o 2ue por lo menos registren lo 2ue
deseamos'
3omo se puede o"ser:ar es una descone@in D3 a tres "andas < thee hand shaFe= entre las
direcciones %//'/,'%86'66 < la nuestra= . -K6',1'%K>'>- < la del ser:idor de messenger='
3on lo cual5 tenemos 2ue hacer una regla 2ue se acti:e ante la salida de una trama D3 con
contenido OAD con los "its A . acti:os5 . 2ue :a.a al puerto %>1(5 con lo 2ue la regla sera:
alert tcp )19:-$;-0 an! &% )-<0-*;/,$;-0 1BK3 6msg:=C1/0 :S; logout=@
flags:/.@ content:=9+0=@ deptD:3@classt!pe:polic!&'iolation@ sid:1AAAM@ re':2@4
O"s$r:ese 2ue le asignamos la clase policy.violation 2ue no hemos creado nosotros5 como
en el apartado 2.1. :aneNo de las reglas5 la clase con la 2ue se clasi!icar esta alarma' 7sto lo
hemos hecho para 2ue la alerta de esta regla sea almacenada con la misma clase con la 2ue se
almacenan las dems reglas re!erentes a las de 3IAD' /irar chat.rules.
7sta regla 2ue hemos introducido no nos identi!ica solamente los pa2uetes 2ue :ienen para
cerrar una sesin de messenger5 si no 2ue tam"i$n nos alertar del tr!ico generado cuando
cerramos una :entana' 7sto nos ser:ir para sa"er cuantas con:ersaciones ha tenido un usuario5 .a
2ue por de!ecto ha. una regla 2ue registra en el momento en el 2ue realizar una cone@in con un
contacto mediante la alarma C1/0 :S; user searcD. 3on lo tendremos:
%' 3uando inicia la sesin un usuario'
-/
-' 9Cmero de con:ersaciones . tiempo de cada una
(' Final de la sesin'
or e0emplo:
Se comenz la sesin el %KO%O-KK6 a las %1:/K:K> . se cerr el %KO%O-KK6 a las %1:/%:%K'
#os User Search ocurren cuado hacemos do"le clicF so"re cual2uier contacto' #os logout
solamente se crearan si se ha producido una con:ersacin con el contacto con el 2ue intentamos
ha"lar5 es decir5 pueden ha"er ocasiones en los 2ue no aparezca el logout de"ido a 2ue el tr!ico no
se produce .a 2ue no se ha"a llegado a producir la cone@in completa5 el echo de 2ue si 2ue se
registren los user search en de"ida a 2ue la regla se acti:a cuando "uscamos al contacto5 no cuando
se ha producido la cone@in en s'
-1
,. taques -e%otos
An ata2ue remoto es cual2uier ata2ue 2ue se lanza desde un ordenador a otro cual2uiera5
independientemente del lugar en el 2ue se encuentren am"os' uede ser 2ue se encuentren en una
misma o!icina5 o 2ue la distancia entre am"os sea mu. grande'
7n este apartado :amos a descri"ir los siguientes ata2ues:
-scaneos de puertos
Spoofing
;egaciones de ser'icio
>nterceptacin
/taues a aplicaciones
Correo electrnico
/taues 'Oa (e#
ara cada uno de los ata2ues :amos a descri"ir sus caractersticas5 modo en el 2ue atacan a
los e2uipos5 !inalidades5 :ulnera"ilidades 2ue apro:echan5 . posi"les soluciones a los di!erentes
ata2ues'
7.1. Escaneo de puertos
Ana de las primeras acti:idades 2ue un potencial <o no tan potencial= atacante realizar
contra su o"0eti:o ser sin duda un escaneo de puertos5 un portscanT esto le permitir o"tener en
primer lugar in!ormacin "sica acerca de 2u$ ser:icios estamos o!reciendo en nuestras m2uinas .5
adicionalmente5 otros detalles de nuestro entorno como 2u$ sistema operati:o tenemos instalados en
cada host o ciertas caractersticas de la ar2uitectura de nuestra red' Analizando 2u$ puertos estn
a"iertos en un sistema5 el atacante puede "uscar agu0eros en cada uno de los ser:icios o!recidos:
cada puerto a"ierto en una m2uina es una potencial puerta de entrada a la misma'
3ompro"ar el estado de un determinado puerto es a priori una tarea mu. sencillaT incluso es
posi"le lle:arla a ca"o desde la lnea de rdenes5 usando una herramienta tan gen$rica como telnet'
or lo general5 nadie en su sano 0uicio usara telnet para realizar un escaneo de puertos
masi:o contra un sistema o contra toda una redT e@isten herramientas como stro#e o nmap <la ms
conocida= 2ue pueden realizar esta tarea de una !orma ms o menos cmoda . automatiza"le'
7:identemente5 ninguno de estos programas se dedica a lanzar telnets contra los puertos de un
sistema: los escaneadores de puertos actuales implementan di!erentes t$cnicas 2ue permiten desde
detectar desde la :ersin del sistema operati:o usado en la m2uina atacada hasta pasar inad:ertidos
ante di!erentes sistemas de deteccin de intrusos'
7@isten di!erentes apro@imaciones para clasi!icar los escaneos de puertos5 tanto en !uncin
de las t$cnicas seguidas en el ata2ue como en !uncin de a 2u$ sistemas o puertos concretos :a
dirigido' or e0emplo5 se ha"la de un escaneo Dorizontal cuando el atacante "usca la disponi"ilidad
de determinado ser:icio en di!erentes m2uinas de una redT por e0emplo5 si el pirata dispone de un
e@ploit 2ue apro:echa un !allo en la implementacin de sendmail5 es normal 2ue trate de a:eriguar
2u$ m2uinas aceptan peticiones SMD en un determinado segmento para posteriormente atacar a
dichos sistemas' Si por contra el pirata slo escanea puertos de una m2uina5 se denomina al ataue
-6
escaneo 'ertical5 . suele denotar el inter$s del atacante en ese host concretoT si comprue"a todos
los puertos del sistema al escaneo se le denomina 'anilla5 mientras 2ue si slo lo hace contra
determinados puertos o rangos5 se le denomina stro#e <en re!erencia al programa del mismo
nom"re=' Si nos "asamos en las t$cnicas utilizadas5 podemos di:idir los escaneos en tres grandes
!amilias: open3 Dalf&open ! stealtDT :amos a ha"lar con ms detalle de cada una de ellas . de los
di!erentes tipos escaneos 2ue las !orman'
#os escaneos open se "asan en el esta"lecimiento de una cone@in D3 completa mediante
el conocido como protocolo de acuerdo de tres :as o threeO;a. handshaFe5 por lo 2ue son mu.
sencillos de detectar . detener' Atilizan la llamada connect<=5 el escaneador intenta esta"lecer una
cone@in con un puerto concreto del host atacado5 . en !uncin de la respuesta o"tenida conoce su
estado: una t$cnica rpida5 sencilla5 !ia"le . 2ue no necesita de ningCn pri:ilegio especial en la
m2uina atacante'
#a segunda t$cnica 2ue hemos comentado es la de los escaneos Dalf&openT en este caso5 el
pirata !inaliza la cone@in antes de 2ue se complete el protocolo de acuerdo de tres :as5 lo 2ue de
entrada di!iculta O aun2ue no mucho O la deteccin del ata2ue por parte de algunos detectores de
intrusos mu. simples <casi todos los actuales son capaces de detectarlos=' 4entro de esta t$cnica se
encuentra el SM9 Scanning: cuando el origen O atacante O reci"e del destino O m2uina escaneada O
los "its SM9bA3c5 en:a un "it RSD <no es necesaria una nue:a trama5 .a 2ue este "it se en:a
automticamente a ni:el de nCcleo= en lugar del A3c correspondiente a un threeO;a. handshaFe
completo' #os escaneos SM9 son !cilmente detecta"les . pueden ser "lo2ueados en cual2uier
corta!uegosT e@iste una :aria"le de esta t$cnica denominada dum" scanning en la 2ue entra en 0uego
una tercera m2uina denominada dtontaH <por el poco tr!ico 2ue emite . reci"e=5 algo 2ue puede
a.udar al pirata a camu!lar su origen real' Sin em"argo5 el dum" scanning es ms complicado 2ue el
SM9 scanning5 por lo 2ue se utiliza mucho menos en la :ida real'
Finalmente5 e@iste otra modelo de escaneo denominado stealtD scanning' or stealth
scanning se conoce a una !amilia de t$cnicas de escaneo 2ue cumplen alguna de las siguientes
condiciones:
7ludir corta!uegos o listas de control de acceso'
9o ser registradas por sistemas de deteccin de intrusos5 ni orientados a red ni en el propio
host escaneado'
Simular tr!ico normal . real para no le:antar sospechas ante un analizador de red'
Ana de las t$cnicas 2ue encontramos dentro de la !amilia de los escaneos stealth es la
conocida como SM9bA3c' #a idea es mu. simple5 . consiste en una :iolacin del threeO;a.
handshaFe: el atacante5 en lugar de en:iar en primer lugar una trama SM95 en:a SM9bA3c' Si el
puerto est a"ierto simplemente se ignora5 . si est cerrado sa"e 2ue no ha reci"ido pre:iamente un
pa2uete SM95 por lo 2ue lo considera un error . en:a una trama RSD para !inalizar la cone@in'
#os escaneos "asados en este m$todo se usan poco en la actualidad5 de"ido al ele:ado
nCmero de !alsos positi:os 2ue pueden generar: slo de"emos pensar en los mCltiples moti:os O
aparte de un puerto a"ierto O 2ue pueden e@istir para 2ue un sistema no responda ante una peticin
SM9bA3c: desde listas de control de accesos en los routers o corta!uegos hasta simples timeouts'
Otra t$cnica dentro de los escaneos stealth es el F&9 scanning: en este caso5 el atacante en:a
a su o"0eti:o una trama con el "it F&9 acti:o5 ante lo 2ue este responde con un RSD si el puerto est
cerrado5 o simplemente no responde en caso de estar a"iertoT como en el caso de los escaneos
SM9bA3c este m$todo puede proporcionar muchos !alsos positi:os5 por lo 2ue tampoco se utiliza
->
mucho ho. en da'
Se propone un m$todo de escaneo algo ms comple0o: el A3c' 7l atacante en:a una trama
con este "it acti:o5 . si el puerto destino est a"ierto es mu. posi"le 2ue o "ien el campo DD# del
pa2uete de :uelta sea menor 2ue el del resto de las tramas RSD reci"idas5 o 2ue el tamaGo de
:entana sea ma.or 2ue cero: como podemos :er5 en este caso no "asta con analizar el "it RSD sino
tam"i$n la ca"ecera & del pa2uete respuesta' 7ste m$todo es di!cil de registrar por parte de los
detectores de intrusos5 pero se "asa en el cdigo de red de XS45 por lo 2ue es dependiente del
operati:o escaneado'
ara !inalizar con la !amilia de stealth scanning :amos a ha"lar de dos m$todos opuestos
entre s pero 2ue se "asan en una misma idea . proporcionan resultados similares: se trata de
<:/S . ;+,,' #os primeros5 tam"i$n denominados escaneos dr"ol de na:idadH5 se "asan en
en:iar al o"0eti:o tramas con todos los "its D3 <ARG5 A3c5 SD5 RSD5 SM9 . F&9= acti:osT si el
puerto est a"ierto el nCcleo del sistema operati:o eliminar la trama5 .a 2ue e:identemente la
considera una :iolacin del threeO;a. handshaFe5 pero si est cerrado de:ol:er un RSD al
atacante' 3omo antes5 este m$todo puede generar demasiados !alsos positi:os5 . adems slo es
aplica"le contra m2uinas Ani@ de"ido a 2ue est "asado en el cdigo de red de XS4'
or contra5 el m$todo opuesto al BMAS se denomina 9A## scanning5 . e:identemente
consiste en en:iar tramas con todos los "its D3 reseteadosT el resultado es similar: no se de:ol:er
ningCn resultado si el puerto est a"ierto5 . se en:iar un RSD si est cerrado' Aun2ue en principio
este m$todo sera aplica"le a cual2uier pila D3E&5 la implementacin O incorrecta O 2ue de la
misma hacen algunos operati:os <entre ellos IEAB o &R&B= hace 2ue en ocasiones se en:ien "its
RSD tam"i$n desde los puertos a"iertos5 lo 2ue puede proporcionar demasiados !alsos positi:os'
Antes de aca"ar el punto5 :amos a ha"lar de otra t$cnica de escaneo de puertos 2ue no se
puede englo"ar en las tres clases de las 2ue hemos ha"lado: se trata de los escaneos A45 2ue al
contrario de todos los comentados hasta el momento utiliza este protocolo5 . no D35 para
determinar el estado de los puertos de una m2uina' Al en:iar un datagrama A4 a un puerto
a"ierto este no o!rece respuesta alguna5 pero si est cerrado de:uel:e un mensa0e de error &3M:
&3MESMA##SJORDESMA##SJA9R7A3IAX#7'
7:identemente5 estos ata2ues son mu. sencillos de detectar . e:itar tanto en un sistema de
deteccin de intrusos como en los nCcleos de algunos Anices5 . por si esto !uera poco de"emos
recordar 2ue A4 no es un protocolo orientado a cone@in <como lo es D3=5 por lo 2ue la p$rdida
de datagramas puede dar lugar a un ele:ado nCmero de !alsos positi:os'
7.2. Spoofing
or spoo!ing se conoce a la creacin de tramas D3E& utilizando una direccin & !alseadaT
la idea de este ata2ue es mu. sencilla <no as la e0ecucin=: desde su e2uipo5 un pirata simula la
identidad de otra m2uina de la red para conseguir acceso a recursos de un tercer sistema 2ue ha
esta"lecido algCn tipo de con!ianza "asada en el nom"re o la direccin & del host suplantado' M
como los anillos de con!ianza "asados en estas caractersticas tan !cilmente !alsi!ica"les son aCn
demasiado a"undantes <no tenemos ms 2ue pensar en los comandos rO5 los accesos 9FS5 o la
proteccin de ser:icios de red mediante D3 ?rapper=5 el spoo!ing sigue siendo en la actualidad un
ata2ue no tri:ial5 pero !acti"le contra cual2uier tipo de organizacin'
3omo hemos :isto5 en el spoo!ing entran en 0uego tres m2uinas: un atacante5 un atacado5 .
-8
un sistema suplantado 2ue tiene cierta relacin con el atacadoT para 2ue el pirata pueda conseguir su
o"0eti:o necesita por un lado esta"lecer una comunicacin !alseada con su o"0eti:o5 . por otro
e:itar 2ue el e2uipo suplantado inter!iera en el ata2ue' ro"a"lemente esto Cltimo no le sea mu.
di!cil de conseguir: a pesar de 2ue e@isten mCltiples !ormas de de0ar !uera de 0uego al sistema
suplantado O al menos a los o0os del atacado O 2ue no son tri:iales <modi!icar rutas de red5 u"icar un
!iltrado de pa2uetes entre am"os sistemas'''=5 lo ms !cil en la ma.ora de ocasiones es
simplemente lanzar una negacin de ser:icio contra el sistema en cuestin' Aun2ue en el punto
siguiente ha"laremos con ms detalle de estos ata2ues5 no suele ser di!cil dtum"arH5 o al menos
"lo2uear parcialmente5 un sistema medioT si a pesar de todo el atacante no lo consigue5 simplemente
puede esperar a 2ue desconecten de la red a la m2uina a la 2ue desea suplantar <por e0emplo5 por
cuestiones de puro mantenimiento='
7l otro punto importante del ata2ue5 la comunicacin !alseada entre dos e2uipos5 no es tan
inmediato como el anterior . es donde reside la principal di!icultad del spoo!ing' 7n un escenario
tpico del ata2ue5 un pirata en:a una trama SM9 a su o"0eti:o indicando como direccin origen la
de esa tercera m2uina 2ue est !uera de ser:icio . 2ue mantiene algCn tipo de relacin de
con!ianza con la atacada' 7l host o"0eti:o responde con un SM9bA3c a la tercera m2uina5 2ue
simplemente lo ignorar por estar !uera de ser:icio <si no lo hiciera5 la cone@in se reseteara . el
ata2ue no sera posi"le=5 . el atacante en:iar ahora una trama A3c a su o"0eti:o5 tam"i$n con la
direccin origen de la tercera m2uina' ara 2ue la cone@in llegue a esta"lecerse5 esta Cltima trama
de"er en:iarse con el nCmero de secuencia adecuadoT el pirata ha de predecir correctamente este
nCmero: si no lo hace5 la trama ser descartada=5 . si lo consigue la cone@in se esta"lecer . podr
comenzar a en:iar datos a su o"0eti:o5 generalmente para tratar de insertar una puerta trasera 2ue
permita una cone@in normal entre las dos m2uinas'
odemos compro"ar 2ue el spoo!ing no es inmediatoT de entrada5 el atacante ha de hacerse
una idea de cmo son generados e incrementados los nCmeros de secuencia D35 . una :ez 2ue lo
sepa ha de conseguir dengaGarH a su o"0eti:o utilizando estos nCmeros para esta"lecer la
comunicacinT cuanto ms ro"usta sea esta generacin por parte del o"0eti:o5 ms di!cil lo tendr el
pirata para realizar el ata2ue con $@ito' Adems5 es necesario recordar 2ue el spoo!ing es un ata2ue
ciego: el atacante no :e en ningCn momento las respuestas 2ue emite su o"0eti:o5 .a 2ue estas :an
dirigidas a la m2uina 2ue pre:iamente ha sido desha"ilitada5 por lo 2ue de"e presuponer 2u$ est
sucediendo en cada momento . responder de !orma adecuada en "ase a esas suposiciones'
ara e:itar ata2ues de spoo!ing e@itosos contra nuestros sistemas podemos tomar di!erentes
medidas pre:enti:asT en primer lugar5 parece e:idente 2ue una gran a.uda es re!orzar la secuencia
de prediccin de nCmeros de secuencia D3' Otra medida sencilla es eliminar las relaciones de
con!ianza "asadas en la direccin & o el nom"re de las m2uinas5 sustitu.$ndolas por relaciones
"asadas en cla:es criptogr!icasT el ci!rado . el !iltrado de las cone@iones 2ue pueden aceptar
nuestras m2uinas tam"i$n son unas medidas de seguridad importantes de cara a e:itar el spoo!ing'
Iasta ahora hemos ha"lado del ata2ue gen$rico contra un host denominado spoo!ing o5 para
ser ms e@actos5 & Spoo!ingT e@isten otros ata2ues de !alseamiento relacionados en ma.or o menor
medida con este5 entre los 2ue destacan el 49S Spoo!ing5 el AR Spoo!ing . el ?e" Spoo!ing'
ara !inalizar este punto5 :amos a comentarlos "re:emente e indicar algunas lecturas donde
se puede ampliar in!ormacin so"re los mismos:
8;S Spoofing
7ste ata2ue hace re!erencia al !alseamiento de una direccin & ante una consulta de
resolucin de nom"re <esto es5 resol:er con una direccin !alsa un cierto nom"re 49S=5 o
:ice:ersa <resol:er con un nom"re !also una cierta direccin &=' 7sto se puede conseguir de
(K
di!erentes !ormas5 desde modi!icando las entradas del ser:idor encargado de resol:er una
cierta peticin para !alsear las relaciones direccinOnom"re5 hasta comprometiendo un
ser:idor 2ue in!ecte la cach$ de otro <lo 2ue se conoce como 49S oisoning=T incluso sin
acceso a un ser:idor 49S real5 un atacante puede en:iar datos !alseados como respuesta a
una peticin de su :ctima sin ms 2ue a:eriguar los nCmeros de secuencia correctos'
/*. Spoofing
7l ata2ue denominado AR Spoo!ing hace re!erencia a la construccin de tramas de
solicitud . respuesta AR !alseadas5 de !orma 2ue en una red local se puede !orzar a una
determinada m2uina a 2ue en:e los pa2uetes a un host atacante en lugar de hacerlo a su
destino legtimo' #a idea es sencilla5 . los e!ectos del ata2ue pueden ser mu. negati:os:
desde negaciones de ser:icio hasta interceptacin de datos5 inclu.endo algunos Man in the
Middle contra ciertos protocolos ci!rados'
Je# Spoofing
7ste ata2ue permite a un pirata :isualizar . modi!icar cual2uier pgina ;e" 2ue su :ctima
solicite a tra:$s de un na:egador5 inclu.endo las cone@iones seguras :a SS#' ara ello5
mediante cdigo malicioso un atacante crea una :entana del na:egador correspondiente5 de
apariencia ino!ensi:a5 en la m2uina de su :ctimaT a partir de ah5 enruta todas las pginas
dirigidas al e2uipo atacado O inclu.endo las cargadas en nue:as :entanas del na:egador O a
tra:$s de su propia m2uina5 donde son modi!icadas para 2ue cual2uier e:ento generado por
el cliente sea registrado <esto implica registrar cual2uier dato introducido en un !ormulario5
cual2uier clicF en un enlace5 etc'='
7.3. Negociacin de servicios
#as negaciones de ser:icio <conocidas como 4oS5 4enial o! Ser:ice= son ata2ues dirigidos
contra un recurso in!ormtico <generalmente una m2uina o una red5 pero tam"i$n podra tratarse de
una simple impresora o una terminal= con el o"0eti:o de degradar total o parcialmente los ser:icios
prestados por ese recurso a sus usuarios legtimosT constitu.en en muchos casos uno de los ata2ues
ms sencillos . contundentes contra todo tipo de ser:icios5 . en entornos donde la disponi"ilidad es
:alorada por encima de otros parmetros de la seguridad glo"al puede con:ertirse en un serio
pro"lema5 .a 2ue un pirata puede interrumpir constantemente un ser:icio sin necesidad de grandes
conocimientos o recursos5 utilizando simplemente sencillos programas . un mdem . un 3
caseros'
#as negaciones de ser:icio ms ha"ituales suelen consistir en la inha"ilitacin total de un
determinado ser:icio o de un sistema completo5 "ien por2ue ha sido realmente "lo2ueado por el
atacante o "ien por2ue est tan degradado 2ue es incapaz de o!recer un ser:icio a sus usuarios' 7n la
ma.or parte de sistemas5 un usuario con acceso shell no tendra muchas di!icultades en causar una
negacin de ser:icio 2ue tirara a"a0o la m2uina o la ralentizara enormementeT esto no tiene por2u$
ser O . de hecho en muchos casos no lo es O un ata2ue intencionado5 sino 2ue puede de"erse a un
simple error de programacin' 7l pro"lema real no es 2ue usuarios legtimos de un entorno causen5
intencionada o inintencionadamente5 negaciones de ser:icio: el ma.or pro"lema es 2ue esas
negaciones sean causadas de !orma remota por piratas a0enos por completo a nuestra organizacin5
capaces de tum"ar un ser:idor de miles de euros con sencillos programas5 sin de0ar ningCn rastro .
lo peor5 sin ser muchas :eces conscientes del daGo 2ue estn haciendo'
7stos ata2ues remotos de negacin de ser:icio son considerados negati:os incluso por
muchos de los propios piratas O especialmente los ms e@perimentados O5 .a 2ue realmente no
suelen demostrar nada positi:o de 2uien los lanza <si es 2ue algCn ata2ue demuestra algo positi:o
(%
de alguien5 lo cual sera mu. discuti"le'''=: generalmente se trata de un scriptOFiddie e0ecutando un
programa 2ue ni ha hecho5 ni entiende5 ni ser capaz de entender' 7n la ma.or parte de los casos la
negacin de ser:icio tiene $@ito por2ue el o"0eti:o utiliza :ersiones no actualizadas de demonios <si
se para un ser:icio concreto= o del propio nCcleo del sistema operati:o5 si se detiene o degrada por
completo la m2uina' ara e:itar esto5 la norma a seguir es e:idente: mantener siempre actualizados
nuestros sistemas5 tanto en lo re!erente al ni:el de parcheado o :ersiones del nCcleo5 como en lo
re!erente a programas crticos encargados de o!recer un determinado ser:icio <demonios5 por norma
general: sendmail5 httpd5 pop(d'''='
4e un tiempo a esta parte O en concreto5 desde %888 O se ha popularizado mucho el t$rmino
Pnegacin de ser:icio distri"uidaQ <4istri"uted 4enial o! Ser:ice5 44oS=: en este ata2ue un pirata
compromete en primer lugar un determinado nCmero de m2uinas .5 en un determinado momento5
hace 2ue todas ellas ata2uen masi:a . simultaneamente al o"0eti:o u o"0eti:os reales en:indoles
di!erentes tipos de pa2uetesT por mu. grandes 2ue sean los recursos de la :ctima5 el gran nCmero
de tramas 2ue reci"en har 2ue tarde o temprano dichos recursos sean incapaces de o!recer un
ser:icio5 con lo 2ue el ata2ue ha"r sido e@itoso' Si en lugar de cientos o miles de e2uipos atacando
a la :ez lo hiciera uno slo las posi"ilidades de $@ito seran casi ine@istentes5 pero es 0ustamente el
ele:ado nCmero de Ppe2ueGosQ atacantes lo 2ue hace mu. di!cil e:itar este tipo de negaciones de
ser:icio'
#os ata2ues de negacin de ser:icio distri"uidos ms ha"ituales consisten en el en:o de un
gran nCmero de pa2uetes a un determinado o"0eti:o por parte de mCltiples hosts5 lo 2ue se conoce
como pacFet !looding <en !uncin del tipo de pa2uetes utilizados se ha"la de ping !lood5 de SM9
!lood'''=' 4e!enderse de este tipo de ata2ues es di!cil: en primer lugar5 uno piensa en "lo2uear de
alguna !orma <pro"a"lemente en un corta!uegos o en un router= todo el tr!ico pro:eniente de los
atacantesT pero )2u$ sucede cuando tenemos miles de ordenadores atacando desde un gran nCmero
de redes di!erentes+ )#os "lo2ueamos uno a uno+ 7sto supondra un gran es!uerzo 2ue di!cilmente
a.udara5 .a 2ue lo ms pro"a"le es 2ue en el tiempo 2ue nos cueste "lo2uear el tr!ico de una
determinada m2uina5 dos o tres nue:as nos comiencen a atacar' 7ntonces5 )"lo2ueamos todo el
tr!ico dirigido hacia el o"0eti:o+ Si hacemos esto5 estamos 0ustamente a.udando al atacante5 .a 2ue
somos nosotros mismos los 2ue causamos una negacin en el ser:icio a los usuarios legtimos de
nuestro sistema'''
3omo :emos5 la de!ensa ante una negacin de ser:icio distri"uida no es inmediataT en
cual2uier caso5 podemos tomar ciertas medidas pre:enti:as 2ue nos a.udarn a limitar el alcance de
uno de estos ata2ues <. en general de las negaciones de ser:icio remotas5 distri"uidas o no=' 4e
entrada5 un correcto !iltrado del tr!ico dirigido a nuestras m2uinas es :ital para garantizar nuestra
seguridad: no ha. 2ue responder a pings e@ternos a nuestra red5 es necesario acti:ar el antispoo!ing
en nuestros corta!uegos5 etc' 7sta"lecer correctamente lmites a la utilizacin de nuestros recursos5
como .a hemos :isto5 es tam"i$n una importante medida pre:enti:aT es posi"le limitar el ancho de
"anda dedicado a una determinada aplicacin o a un protocolo5 de !orma 2ue las utilizaciones por
encima del margen son negadas' Dam"i$n podemos limitar los recursos del sistema <3A5 memoria5
disco'''= 2ue puede consumir en glo"al una determinada aplicacin ser:idora <por e0emplo5 un
demonio sir:iendo pginas ;e"=5 adems de restringir sus recursos por cliente simultneo <en "ase5
por e0emplo5 a la direccin origen de ese cliente='
A pesar de las di!icultades con las 2ue nos podemos encontrar a la hora de pre:enir ata2ues
de negacin de ser:icio5 una serie de medidas sencillas pueden a.udarnos de !orma relati:a en esa
tareaT las negaciones de ser:icio son por desgracia cada da ms !recuentes5 . ninguna organizacin
est a sal:o de las mismas' 7specialmente en los ata2ues distri"uidos5 la seguridad de cual2uier
(-
usuario conectado a &nternet <aun2ue sea con un sencillo 3 . un mdem= es un esla"n importante
en la seguridad glo"al de la red5 .a 2ue esos usuarios se con:ierten muchas :eces sin sa"erlo en
sat$lites 2ue cola"oran en un ata2ue masi:o contra organizaciones de cual2uier tipo'
7.4. Interceptacin
7n este apartado nos :amos a centrar en la interceptacin lgica' M sin duda5 la interceptacin
lgica de datos ms conocida . e@tendida es el sni!!ing'
7n las redes de di!usin5 cuando una m2uina en:a una trama a otra indica en un campo
reser:ado la direccin del host destinoT todas las m2uinas del dominio de colisin :en esa trama5
pero slo su receptora legtima la captura . elimina de la red' 7ste es el !uncionamiento normal de
D3E&T sin em"argo5 es necesario insistir en un aspecto: todas las m2uinas :en la trama5 . si no
leen todos sus campos es por2ue no P2uierenQ' 7@iste un modo de !uncionamiento de las inter!aces
de red denominado modo promiscuo5 en el cual la tar0eta lee todas las tramas 2ue circulan por la
red5 tanto dirigidas a ella como a otras m2uinasT el leerlas no implica el eliminarlas de la red5 por
lo 2ue el host destino legtimo la reci"ir . eliminar sin notar nada e@traGo'
ara hacer !uncionar un inter!az de red en modo promiscuo es necesario tener un control
total del sistema o5 dicho de otra !orma5 ser root en la m2uinaT esto a.uda un poco en la de!ensa5
pero ni de le0os soluciona el pro"lema 2ue estamos planteando: no podemos permitir 2ue cual2uiera
2ue sea superusuario de un sistema pueda capturar todo el tr!ico 2ue pasa por el mismo
<inclu.endo cla:es5 correo electrnico5 . cientos de datos pri:ados=' or si esto !uera poco5 en los
sistemas donde todos los usuarios tienen un control total de la m2uina <por e0emplo5 en toda la
!amilia ?indo;s 8@= ni si2uiera hace !alta ese pri:ilegio: cual2uiera 2ue se siente en un 3 puede
e0ecutar un sni!!er . capturar todo el tr!ico de la red'
rogramas para desni!arH tr!ico ha. para todos los gustos . colores: desde dsni!! . su
!amilia5 capaces hasta de capturar los correos electrnicos directamente en !ormato SMD o cargar
de !orma automtica en un na:egador las mismas pginas 2ue :isita la :ctima del ata2ue5 hasta el
arcaico snoop de Solaris5 2ue :uelca pa2uetes en un !ormato por de!ecto casi ilegi"le5 pasando por
los clsicos tcpdump o sni!!it <2ue en algunas de sus :ersiones inclua el Douch o! 4ead5 capaz de
cortar cone@iones esta"lecidas entre dos m2uinas sin ms 2ue pulsar F/=' ara e:itar 2ue
programas de este tipo capturen nuestra in!ormacin e@isten di!erentes apro@imaciones ms o
menos e!ecti:as5 como sustituir los IAXs de nuestra red por s;itches 2ue aislan dominios de
colisin <eo0o5 esto di!iculta el ata2ue pero no lo imposi"ilitaZ= o implantar redes pri:adas :irtuales'
ero sin ninguna duda la ms "arata . sencilla es el uso de protocolos ci!rados siempre 2ue
nos sea posi"le <2ue lo suele ser casi siempre=T sustituir telnet . rlogin por SSI . FD por scp o s!tp
es mu. sencillo5 . nos proporciona un incremento de seguridad a"ismal en nuestro entorno'
&mplantar SS# o tCneles seguros 2uizs es algo ms costoso O en tiempo solamente O5 pero
tam"i$n en la ma.ora de ocasiones es algo 2ue :ale la pena hacer: en todo momento hemos de
tener presente 2ue el sni!!ing es un peligro real5 2ue no necesita de grandes medios .5 lo 2ue es
peor5 indetecta"le en la ma.or parte de casosT a pesar de 2ue e@isten m$todos para tratar de detectar
sistemas con un inter!az en modo promiscuo5 no suelen ser todo lo e!ecti:os 2ue uno podra esperar5
.a 2ue detectar una m2uina en este estado no es ni de le0os inmediato'
ara !inalizar este punto podemos re!le@ionar "re:emente so"re la peligrosidad de los
ata2ues de interceptacinT muchos de ellos necesitan pri:ilegios de superusuario en al menos una
((
m2uina5 pero por lo dems son realmente sencillos' Sencillos . peligrosos: aun2ue se trate de
ata2ues pasi:os5 . aun2ue alguien pueda pensar 2ue si el pirata .a es root no se puede atacar ms al
sistema5 permiten capturar datos relati:os no slo al sistema comprometido5 sino a otras m2uinas
2ue 2uizs aCn no han sido atacadas . 2ue posi"lemente representan el o"0eti:o real del pirata'
7:itar estos ata2ues pasa en primera instancia por no permitir 2ue un pirata consiga
pri:ilegios en un sistema O me0or si no consigue nada5 pero esto no siempre es posi"le O5 . en
segunda por lo 2ue .a sa"emos: ci!rar cuanto ms tr!ico me0or'
7.5. ta!ues de aplicaciones
,.#.1. !orreo .lectrnico
4esde hace muchos aGos los sistemas de correo electrnico de una organizacin han sido
para los piratas una !uente inagota"le de puntos de entrada a la mismaT lo ms pro"a"le es 2ue si le
preguntamos a cual2uier administrador con algo de e@periencia cul ha sido el so!t;are 2ue ms
pro"lemas de seguridad le ha causado nos responda sin dudarlo: sendmail5 por supuesto' M .a no
slo sendmail . el protocolo SMD5 sino 2ue tam"i$n5 con la popularizacin de O(5 los
ser:idores de este protocolo son un peligro potencial a tener en cuenta en cual2uier entorno
in!ormtico donde se utilice el correo electrnico: es decir5 en todos'
4e entrada5 un programa como sendmail O lo ponemos como e0emplo por ser el ms popular5
pero podramos ha"lar en los mismos t$rminos de casi cual2uier ser:idor SMD O proporciona
demasiada in!ormacin a un atacante 2ue simplemente conecte a $l:
M no slo se proporcionan datos Ctiles para un pirata como la :ersin del programa utilizada
o la !echa del sistema5 sino 2ue se llega incluso ms le0os: tal . como se instalan por de!ecto5
muchos ser:idores SMD <aparte de sendmail5 algunos tan populares como 9etscape Messaging
Ser:er= in!orman incluso de la e@istencia o ine@istencia de nom"res de usuario . de datos so"re los
mismos'
&ndependientemente del programa 2ue utilicemos como ser:idor de correo . su :ersin
concreta5 con :ulnera"ilidades conocidas o no5 otro gran pro"lema de los sistemas de correo SMD
es el rela.: la posi"ilidad de 2ue un atacante interno utilice nuestros ser:idores para en:iar correo
electrnico a terceros5 no relacionados con nuestra organizacin' Aun2ue en principio esto a
muchos les pueda parecer un mal menor5 no lo esT de entrada5 si nuestros ser:idores permiten el
rela. estamos !a:oreciendo el SAM en la red5 el en:o de eOmail no deseado con !ines casi siempre
pu"licitarios5 algo 2ue e:identemente a nadie le hace gracia reci"ir' Adems5 el rela. causa una
negacin de ser:icio contra nuestros usuarios legtimos5 tanto desde un punto de :ista estrictamente
terico O alguien consume nuestros recursos de !orma no autorizada5 degradando as el ser:icio
o!recido a nuestros usuarios legtimos O como en la prctica: cuando un ro"ot encuentra un ser:idor
SMD en el 2ue se permite el rela. lo utiliza masi:amente mientras puede5 cargando enormemente
la m2uina . entorpeciendo el !uncionamiento normal de nuestros sistemas' or si esto !uera poco5
si se inclu.e a nuestra organizacin en alguna dlista negraH de ser:idores 2ue !acilitan el SAM se
causa un importante daGo a nuestra imagen5 e incluso ciertos dominios pueden llegar a negar todo el
correo pro:eniente de nuestros ser:idores'
Slo e@iste una manera de e:itar el rela.: con!igurando correctamente todos nuestros
ser:idores de correo' or supuesto5 esto es completamente dependiente de los programas <sendmail5
ilanet'''= utilizados en nuestro entorno5 por lo 2ue es necesario consultar en la documentacin
correspondiente la !orma de ha"ilitar !iltros 2ue e:iten el rela.T por &nternet e@iten incluso !iltros
(,
gen$ricos para los ser:idores ms e@tendidos5 por lo 2ue nuestro tra"a0o no ser e@cesi:o ni
complicado'
7s mu. importante para nosotros cuidar cual2uier aspecto de la seguridad relati:o a nuestros
sistemas de correo5 .a 2ue en la actualidad el correo electrnico constitu.e uno de los ser:icios
"sicos de cual2uier empresaT simplemente hemos de contar el nCmero de eOmails 2ue solemos
reci"ir al da para hacernos una idea del desastre 2ue supondra un !allo en los sistemas encargados
de procesarlo'
,.#.2. taques /0a 1e2
4urante los Cltimos aGos los ser:idores ;e" se han con:ertido en una e@celente !uente de
di:ersin para piratas: cual2uier empresa 2ue se precie5 desde las ms pe2ueGas a las grandes
multinacionales5 tiene una pgina ;e" en las 2ue al menos trata de :ender su imagen corporati:a' Si
hace unos aGos un pirata 2ue 2uisiera atacar a una empresa <. no a todas5 .a 2ue mu. pocas tenan
representacin en la red= tena 2ue agenciarselas para o"tener primero in!ormacin de la misma .
despu$s "uscar errores de con!iguracin ms o menos comunes de sus sistemas <o esperar al
pr@imo "ug de sendmail=5 ho. en da le "asta con teclear el nom"re de su o"0eti:o en un na:egador
. aGadir la coletilla d'comH detrs del mismo para contactar con al menos una de sus m2uinas: su
ser:idor ;e"'
#a ma.or parte de estos ata2ues tiene $@ito gracias a una con!iguracin incorrecta del
ser:idor o a errores de diseGo del mismo: si se trata de grandes empresas5 los ser:idores ;e" suelen
ser "astante comple0os <alta disponi"lidad5 "alanceo de carga5 sistemas propietarios de actualizacin
de contenidos'''= . di!ciles de administrar correctamente5 mientras 2ue si la empresa es pe2ueGa es
mu. posi"le 2ue ha.a elegido un ser:idor ;e" simple en su instalacin . administracin pero en el
cual es casi imposi"le garantizar una mnima seguridad: s5 ha"lamos de Microso!t &nternet
&n!ormation Ser:er5 un sistema 2ue reconocidos e@pertos en seguridad han recomendado
pC"licamente no utilizar en entornos serios' Sea por el moti:o 2ue sea5 la cuestin es 2ue cada da
es ms sencillo para un pirata e0ecutar rdenes de !orma remota en una m2uina5 o al menos
modi!icar contenidos de !orma no autorizada5 gracias a los ser:idores ;e" 2ue un sistema pueda
al"ergar'
3ual2uier analizador de :ulnera"ilidades 2ue podamos e0ecutar contra nuestros sistemas
<97SSAS5 &SS Securit. Scanner5 9A& 3."er3op Scanner'''= es capaz de re:elar in!ormacin 2ue
nos :a a resultar Ctil a la hora de re!orzar la seguridad de nuestros ser:idores ;e"T incluso e@isten
analizadores 2ue estn diseGados para auditar Cnicamente este ser:icio5 como ;hisFer'
)3mo e:itar estos pro"lemas de seguridad de los 2ue estamos ha"lando+ Ana medida
elemental es eliminar del ser:idor cual2uier directorio o 3G& de e0emplo 2ue se instale por de!ectoT
aun2ue generalmente los directorios <documentacin5 e0emplos'''= no son especialmente crticos5 el
caso de los 3G&s es "astante alarmante: muchos ser:idores incorporan programas 2ue no son ni
si2uiera necesarios para el correcto !uncionamiento del so!t;are5 . 2ue en ciertos casos O
demasiados O a"ren enormes agu0eros de seguridad5 como el acceso al cdigo !uente de algunos
archi:os5 la lectura de !icheros !uera del 4ocumentRoot5 o incluso la e0ecucin remota de comandos
"a0o la identidad del usuario con 2ue se e0ecuta el demonio ser:idor'
Otra medida de seguridad "sica es desha"ilitar el 4irector. &nde@ing 2ue por de!ecto
muchos ser:idores incorporan: la capacidad de o"tener el listado de un directorio cuando no e@iste
un !ichero inde@'html o similar en el mismoT se trata de una medida e@tremadamente Ctil . so"re
todo sencilla de implantar5 .a 2ue en muchos casos un simple dchmod OrH so"re el directorio en
(/
cuestin es su!iciente para e:itar este pro"lema' A primera :ista esta medida de proteccin nos
puede resultar curiosa: a !in de cuentas5 a priori todo lo 2ue ha.a "a0o el 4ocument Root del
ser:idor ha de ser pC"lico5 .a 2ue para eso se u"ica ah' 7:identemente la teora es una cosa . la
prctica otra mu. di!erente: entre los !icheros de cual2uier ser:idor no es e@traGo encontrar desde
archi:os de log O por e0emplo5 del cliente FD 2ue los usuarios suelen usar para actualizar
remotamente sus pginas5 como ?SESMA##SJFD'#OG O hasta pa2uetes DAR con el contenido
de su"directorios completos' or supuesto5 la me0or de!ensa contra estos ata2ues es e:itar de alguna
!orma la presencia de estos archi:os "a0o el 4ocument Root5 pero en cual2uier caso esto no es
siempre posi"le5 . si un atacante sa"e de su e@istencia puede descargarlos5 o"teniendo en muchos
casos in!ormacin realmente Ctil para atacar al ser:idor <como el cdigo de !icheros YS5 I5
AS'''o simplemente rutas a"solutas en la m2uina=5 . una e@celente !orma de sa"er 2ue uno de
estos !icheros est ah es 0ustamente el 4irector. &nde@ingT por si esto no 2ueda del todo claro5 no
tenemos ms 2ue ir a un "uscador cual2uiera . "uscar la cadena d&nde@ o! EadminH5 por poner un
e0emplo sencillo5 para hacernos una idea de la peligrosidad de este error de con!iguracin'
Adems5 en cual2uier ser:idor ;e" es mu. importante el usuario "a0o cu.a identidad se
e0ecuta el demonio httpd: ese usuario no de"e ser nunca el root del sistema <e:idente=5 pero tampoco
un usuario gen$rico como no"od.T se ha de tratar siempre de un usuario dedicado . sin acceso real
al sistema' or supuesto5 las pginas IDM# <los !icheros planos5 para entendernos= nunca de"en ser
de su propiedad5 . mucho menos ese usuario ha de tener permiso de escritura so"re los mismos: con
un acceso de lectura <. e0ecucin5 en caso de 3G&s= es ms 2ue su!iciente en la ma.ora de los
casos' Iemos de tener en cuenta 2ue si el usuario 2ue e0ecuta el ser:idor puede escri"ir en las
pginas ;e"5 . un pirata consigue O a tra:$s de cual2uier tipo de error <con!iguracin5 diseGo del
demonio'''= O e0ecutar rdenes "a0o la identidad de dicho usuario5 podr modi!icar las pginas ;e"
sin ningCn pro"lema <2ue no ol:idemos5 es lo 2ue perseguir la ma.ora de atacantes de nuestro
ser:idor ;e"='
&gual de importante 2ue e:itar estos pro"lemas es detectar cuando alguien trata de
apro:echarlos intentando romper la seguridad de nuestros ser:idoresT para conseguirlo no tenemos
ms 2ue aplicar las t$cnicas de deteccin de intrusos 2ue :eremos en el captulo siguiente' Ana
caracterstica importante de los patrones de deteccin de ata2ues :a ;e" es 2ue no suelen generar
muchos !alsos positi:os5 por lo 2ue la con!iguracin de la "ase de datos inicial es rpida . sencilla5
al menos en comparacin con la deteccin de escaneos de puertos o la de tramas con alguna
caracterstica especial en su ca"ecera'
7." Eje#plo de ata!ue re#otos $Nessus%
Ana :ez e@plicado como mane0ar las reglas de Snort5 como interpretarlas5 . la necesidad de
2ue el administrador tra"a0e para 2ue sus alertas sean las 2ue necesite5 :amos a pasar a realizar un
ata2ue remoto real mediante la herramienta 9essus'
7l sitio o!icial de 9essus es ;;;'nessus'org' ;essus es un potente escner de redes de
So!t;are #i"re' 3onsta de dos partes <clienteEser:idor= 2ue pueden estar instaladas en las misma
m2uina por simplicidad' Se de"e comentar 2ue si el ata2ue se hace hacia localhost lo 2ue se
consigue es auditar nuestra propia m2uina' 3uando 9esuss !inaliza el escaneo genera unos
in!ormes mu. Ctiles si se sa"e apro:echar e interpretar la in!ormacin o"tenida'
3onsiste en nessusd5 el daemon 9essus5 2ue realiza el escaneo en el sistema o"0eti:o5 .
(1
nessus5 el cliente <"asado en consola o gr!ico= 2ue muestra el a:ance . reporte de los escaneos'
4esde consola nessus puede ser programado para hacer escaneos programados con cron'
7n operacin normal5 nessus comienza escaneando los puertos con nmap o con su propio
escaneador de puertos para "uscar puertos a"iertos . despuPs intentar :arios eQploits3 es el nom"re
con el 2ue se identi!ica un programa in!ormtico malicioso5 o parte del programa5 2ue trata de
!orzar alguna de!iciencia o :ulnera"ilidad de otro programa <llamadas #ugs=' 7l !in puede ser la
destruccin o inha"ilitacin del sistema atacado5 aun2ue normalmente se trata de :iolar las medidas
de seguridad para poder acceder al mismo de !orma no autorizada . emplearlo en "ene!icio propio o
como origen de otros ata2ues a terceros3 para atacarlo' #as prue"as de :ulnera"ilidad5 disponi"les
como una larga lista de plugins5 son escritos en 9AS# <9essus AttacF Scripting #anguage5
#engua0e de Scripting de Ata2ue 9essus por sus siglas en ingl$s=5 un lengua0e scripting optimizado
para interacciones personalizadas en redes'
Opcionalmente5 los resultados del escaneo pueden ser e@portados en reportes en :arios
!ormatos5 como te@to plano5 BM#5 IDM#5 . #aDeB' #os resultados tam"i$n pueden ser guardados
en una "ase de conocimiento para re!erencia en !uturos escaneos de :ulnera"ilidades'
Algunas de las prue"as de :ulnera"ilidades de 9essus pueden causar 2ue los ser:icios o
sistemas operati:os se corrompan . caigan' 7l usuario puede e:itar esto desacti:ando ûnsa!e test^
<prue"as no seguras= antes de escanear
4escargamos 9essus . lo instalamos en una m2uina di!erente a la 2ue tenemos Snort'
9osotros instalamos 9essus en %//'/,'%86'%>1 . atacamos al e2uipo 2ue tiene Snort5 cu.a & es
%//'/,'%86'66' Snort crear las alertas pertinentes5 las capturas 2ue realiza son las siguientes:
Se crean %888 alertas creadas los el tr!ico 2ue Snort detecta como malicioso5 lo 2ue de0a
totalmente plasmado todos los accesos 2ue realiza el e2uipo atacante hacia el atacado'
(6
7ste e0emplo nos muestra como Snort nos permitir realizar posteriormente un anlisis
!orense de los datos 2ue hemos registrado so"re el escaneo de puertos5 . los e@ploit realizados
posteriormente'
9o o"stante5 una de las grandes capacidades 2ue nos produce el uso de 9essus ser el echo
de 2ue si lo realizamos contra nuestra red o e2uipo5 nos dar un in!orme detallado de todo lo 2ue ha
realizado'
ongamos un e0emplo:
%O 4ecimos 2ue 2ueremos realizar el scan so"re nuestro e2uipo'
(>
-O 7le0imos la con!iguracin por de!ecto:
(8
(O #e decimos 2ue escanee desde nustro propio e2uipo:
,K
,O 7stos son los datos recogidos:
#os datos se muestran el una pgina IDM#5 . nos dice la m2uina escaneada5 los puertos
a"iertos detectados5 ''' osteriormente comienza a e@plicar toda la in!ormacin 2ue ha podido
conseguir so"re la m2uina escaneada'
&n!ormacin 2ue se consigue del puerto de M.S2l:
,%
3. !onclusin
7n este documento hemos 2uerido de0ar claro la utilidad de Snort5 as como el tra"a0o 2ue un
administrador de"er realizar para 2ue solamente se muestren las alertas 2ue $l5 como
administrador5 considera 2ue merecen la pena'
or otro lado5 tam"i$n hemos 2uerido mostrar5 como la utilizacin de otras herramientas 2ue
complementen Snort5 como M.S2l . A3&4 harn 2ue la tarea de anlisis !orense5 para la toma de
decisiones sea menos costosa5 as como !acilitar un tutorial para la instalacin de
SnortbM.S2lbA3&4'
Dam"i$n hemos mostrado los tpicos5 2ue no todos5 ata2ues remotos5 de manera 2ue puede
ser de utilidad el conocer los por menores de cada uno de ellos'
M por Cltimo5 hemos tratado de mostrar la utilidad de otra herramienta5 9essus5 para la la"or
del administrador5 as como mostrar los resultados 2ue se daran en el caso de 2ue un ata2ue
remoto5 en concreto un escaneo de puertos con su posterior e@ploit'
,-

Snort: Análisis de La Herramienta Visión Práctica

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Snort: Análisis de La Herramienta Visión Práctica

Uploaded by

Copyright:

Available Formats

Snort:

You might also like