Professional Documents
Culture Documents
1.2. Prevenció.
La prevenció requereix:
1.3. Detecció.
La detecció requereix monitorar el comportament i analitzar la necessitat de canvis:
1
Seguretat informàtica (ETSE – UV) | Ximo Casanova
1.4. Resposta.
La resposta consisteix a recuperar el funcionament normal del sistema:
2
Seguretat informàtica (ETSE – UV) | Ximo Casanova
2. Detecció d’intrusions.
La detecció d’intrusions consisteix a detectar accessos o comportaments no desitjables amb la
finalitat de:
Necessita seguretat en profunditat perquè siga possible reaccionar a temps, i per això,
s’implementen barreres de contenció:
És una eina que pot iniciar la resposta i canviar la configuració del sistema (resposta activa).
Per detectar intrusions, cerca:
2.1.1.Tipus d’IDS.
HIDS.
Els HIDS són IDS de node (host-based IDS) que monitoren l’activitat del sistema on estan
instal·lats.
NIDS.
Els NIDS són IDS de xarxa (network IDS) que monitoren l’activitat de les xarxes a què
estan connectats.
Pots de mel.
Els pots de mel (honeypots i honeynets) creen entorns trampa, dissenyats per ser
atacats.
3
Seguretat informàtica (ETSE – UV) | Ximo Casanova
3. HIDS.
Els HIDS tenen l’objectiu d’enfortir el node, perquè:
• Configuració adequada.
• Antivirus.
• Host firewalls.
• Host IDS (OSSEC).
o Sistema de fitxers (aide, tripwire).
o Logs.
o Connexions de xarxa.
o Rootkits.
3.2. AIDE.
AIDE (Advanced Intrusion Detection Environment), quan s’instal·la, genera resums dels
fitxers del sistema i emmagatzematge en una base de dades (realitza una imatge de la
situació inicial de la màquina).
A mesura que passa el temps, va comparant els resums amb els de referència i notifica de
canvis amb l’objectiu de detectar modificacions en un sistema de fitxers. Funciona sobre
Linux o FreeBSD, entre d’altres. Els resums que elabora són en CRC32, MD5, SHA1,
SHA256, SHA512… Algunes característiques són:
• Configurable.
• Open source.
• Depèn de la integritat de la base de dades.
4
Seguretat informàtica (ETSE – UV) | Ximo Casanova
3.3. OSSEC.
OSSEC (Open Source HIDS SECurity) és un sistema HIDS gratuït i de codi obert basat en host.
3.3.1.Funcions.
Realitza les següents funcions:
3.3.2.Funcionament.
Hi ha dues formes de funcionament: local i servidor.
Local.
El funcionament local s’usa en el host que serà protegit.
Servidor.
El funcionament del servidor s’empra els hosts, mitjançant agents, que envien
esdeveniments a un servidor que analitza. El conjunt és més senzill de configurar i
administrar. La comunicació xifrada amb autenticació d’extrems (genera una clau en el
servidor que s’utilitza per a l’agent).
5
Seguretat informàtica (ETSE – UV) | Ximo Casanova
4. NIDS.
Els NIDS (Network IDS) són sistemes de detecció d’intrusos en la xarxa. Tenen les següents
funcions:
DESAVANTATGES
Falsos positius i falsos negatius.
• Canals xifrats (per exemple, VPN), amb anàlisi de capçaleres, volum de trànsit…
(HIDS en l’equip que xifra/desxifra).
• Trànsit molt intens, poden quedar paquets sense analitzar.
• Xarxa commutada, assegurar la visibilitat del trànsit per a l’IDS.
• Xarxa per a la gestió d’IDS, que ho fa més difícil de detectar i atacar i evita que les
sondes processen el trànsit de l’IDS.
• Seguretat dels sensors.
6
Seguretat informàtica (ETSE – UV) | Ximo Casanova
4.2. Limitacions.
Les limitacions dels NIDS són:
4.3. NIPS.
El NIDS sols s’encarrega de la detecció:
• Eliminant trànsit.
• Desconnectant sessions.
• Reconfiguració de tallafocs.
Tot i això, quan es reacciona pot ser massa tard (per exemple, en cas d’atacs d’un únic
paquet), ja que els paquets continuen passant fins que la resposta és efectiva.
7
Seguretat informàtica (ETSE – UV) | Ximo Casanova
4.4. Suricata.
Suricata pot actuar com a NIDS i com a NIPS que conté un conjunt de regles. A més, és
Open Source i gratuït (algunes regles són de pagament).
4.4.1.Formes de funcionament.
NSM.
NSM llegeix paquets de la xarxa, però amb la detecció deshabilitada. Realitza captures
del trànsit (en format pcap) per a una anàlisi posterior amb el registre de peticions HTTP,
certificats TLS i fitxers.
NIDS.
NIDS analitza el trànsit i fa accions sobre la base de configuració.
Inline.
Inline és de tipus NIPS, obté els paquets d’IPTABLES i els accepta o rebutja.
4.4.2.Característiques principals.
Les característiques principals de Suricata són:
• Descodificació de paquets.
• Processament TCP i IP amb:
o Desfragmentació d’IP.
o Fluxos TCP.
o Descodificació de protocols d’aplicació.
• Detecció d’intrusions amb:
o Paraules clau de protocols d’aplicació.
o Expressions regulars (múltiples algorismes).
o Fitxers (magic, mida, nom i extensió, MD5…)
o Perfilat (profiling) i posada a punt (tuning).
• Mòduls de sortida com:
o Eve (JSON) amb fàcil integració (ELK).
o Syslog.
o Registre de trànsit amb PCAP.
o Registre d’HTTP, TLS i DNS.
o Extracció de fitxers.
o Registre d’alertes (fast log).
• Altes prestacions:
o Nombre de fils configurable.
o Suporta la configuració d’afinitat al processador (CPU affinity settings).
o Accés exclusiu de gra fi i operacions atòmiques (major paral·lelisme).
8
Seguretat informàtica (ETSE – UV) | Ximo Casanova
4.4.3.Com a NIDS.
Com a NIDS, realitza les següents accions:
4.4.4.Com a NIPS.
Com a NIPS, realitza les següents accions en línia (Inline), accepta paquets des
d’IPTABLES i utilitza noves regles per indicar a IPTABLES què fer amb el paquet.
• Tot el tràfic que passa per l’exta (FORWARD) serà analitzat per Suricata.
• Tot el tràfic que entra a l’exta serà analitzat per Suricata.
9
Seguretat informàtica (ETSE – UV) | Ximo Casanova
5. Honeypots.
Els honeypots són una trampa amb tres funcions:
• Atraure.
• Simular.
• Contramesures.
• Protegir quelcom.
• Aprendre de l’atac.
AVANTATGES DESAVANTATGES
Tot el que ocorre és sospitós. Clau i missatge d’igual extensió.
10
Seguretat informàtica (ETSE – UV) | Ximo Casanova
5.1. Categories.
Es classifiquen segons el nivell d’interacció amb la necessitat d’un compromís entre:
Un exemple són els servidors telnet o FTP emulat amb unes poques interaccions inicials
i un prompt per a iniciar sessió i capturar els intents. No hi ha un servidor real darrere.
Els exemples més comuns són:
• Dionaea.
• Heralding, especialitzat a assolir credencials.
• Honeytrap, és una plataforma de codi obert per a honeypots (execució,
supervisió i gestió de múltiples honeypots en múltiples sistemes operatius).
11
Seguretat informàtica (ETSE – UV) | Ximo Casanova
5.2.2.Honeynets.
Honeynets és un honeypot d’interacció extrema, que proporciona a l’atacant sistemes
operatius complets que poden ser atacats (un o més), sent instal·lacions reals. Conté
diversos sistemes en una xarxa altament controlada amb la intenció de què siguen
atacats i compromesos.
Control.
S’ha d’evitar que l’atacant sortisca d’un entorn controlat amb un control de tota la
informació que entra i ix. Les respostes poden ser manuals o automàtiques.
Captura de dades.
Tota l’activitat de l’atacant (fitxers guardats i informació en temps real), ha de guardar-
se fora del honeypot.
Processament de dades.
El processament de dades permet l’agregació i correlació de tota l’activitat capturada.
12
Seguretat informàtica (ETSE – UV) | Ximo Casanova
6. Anàlisi forense.
L’anàlisi forense és l’aplicació de la informàtica i els procediments d’investigació per a un
propòsit legal que implica l’anàlisi de proves digitals després de la cerca adequada, cadena de
custòdia, validació amb matemàtiques, ús d’eines validades, repetibilitat, informes i possible
presentació d’experts. Es fa servir:
Es basa en el principi d’intercanvi de Locard (com la ciència forense tradicional), el qual estableix
que els atacants, en entrar o sortir de l’escena del crim, sempre es deixen alguna cosa a ella o
s’emporten alguna cosa amb ells.
6.1.1.Recol·lecció d’evidències.
En la recol·lecció d’evidències cal tenir en compte:
L’ordre de volatilitat.
L’ordre de volatilitat (OOV) estableix que s’ha de donar prioritat aquella informació
més volàtil en la recol·lecció d’evidències.
13
Seguretat informàtica (ETSE – UV) | Ximo Casanova
Obtenció en viu.
Si la recol·lecció d’evidències es realitza en temps real, s’han de seguir els següents
passos:
AVANTATGES DESAVANTATGES
Obtenció d’evidències (processos La modificació del sistema pot la
corrent, adreces IP, connexions invalidació d’evidències (es poden
establertes, claus criptogràfiques, produir canvis o la mateixa
malware...). interacció encara modifica més).
Tot i això, s’ha d’evitar estirar el cable, ja que pot destruir dades:
• Al mateix ordinador amb un sistema operatiu net (per exemple, Live CD).
• Connectat a un altre ordinador o un dispositiu de còpia.
És important no modificar l’original (protecció física o lògica) així com que el destí estiga
net (s’escriu prèviament un patró). Els formats habituals són EnCase (.E01) o raw dd
(.001), entre d’altres.
14
Seguretat informàtica (ETSE – UV) | Ximo Casanova
6.1.2.Anàlisi d’evidències.
Les evidències poden ser diferents tipus:
• Els blocs lliures que solen contenir informació del seu darrer ús.
• Fer esborrats segurs (wiping).
• Verificar que els sectors defectuosos ho són (les unitats defectuoses no s’usen).
• Anàlisi de consistència de tota la informació (per exemple, blocs no assignats
per cap objecte i no marcats com a lliures).
6.2.3.Anàlisi de metadades.
Les metadades poden ser interessants per analitzar la fragmentació interna (slack
space), és a dir, blocs assignats que no han estat fets servir completament. També s’ha
de prestar atenció a les metadades esborrades (poden mantenir atributs i punters) i els
blocs lliures.
15
Seguretat informàtica (ETSE – UV) | Ximo Casanova
Línia de temps.
La línia de temps permet ordenar els objectes per ordre temporal, tant els existents
com els eliminats. S’organitzen mitjançant l’estratègia MAC que els classifica segons han
estat modificats, accedits o canviats d’atributs.
Cerca.
La cerca serveix buscar per permisos, dates...
6.2.4.Anàlisi de noms.
L’anàlisi de noms permet cercar noms actuals o esborrats als directoris (esborrar un
àlies normalment no esborra el nom, sinó que el marca com a esborrat). A més, s’ha de
posar nom a les metadades i orientar la cerca (encara que els noms poden despistar).
• Cercar de patrons.
• Cercar de tipus de fitxers.
16
Seguretat informàtica (ETSE – UV) | Ximo Casanova
Generals.
Existeixen eines més generals, com:
• EnCase Forensic.
• ProDiscover Forensic.
• X-Ways Forensics.
• Oxygen Forensic Detective.
• XRY.
• Cellebrite UFED.
Específiques.
Existeixen eines específiques com:
Distribucions de Linux.
Existeixen distribucions de Linux:
17
Seguretat informàtica (ETSE – UV) | Ximo Casanova
6.3.3.Autopsy.
Autopsy (Autopsy Forensic Browser) és una interfície gràfic basat en una llibreria (TSK)
que permet investigar un sistema de fitxers. Permet connectar diverses persones des
de diferents navegadors a un servidor.
Tècniques de cerca.
Les tècniques que empra per a cercar malware són:
Casos d’ús.
S’usa en:
• Seqüències d’esdeveniments.
• Protegeix la integritat de la imatge que s’està analitzant.
• Audita logs.
6.3.4.Volatility.
Volatility du a terme diferents accions:
• Tractament de:
o Imatges de memòria física.
o Dades de sistemes operatius hivernats (suspesos en disc).
o Instantànies de màquines virtuals.
• Facilita la cerca de:
o Claus de xifratge (per exemple, Truecrypt, PGP...).
o Mòduls del nucli del sistema operatiu.
o Rootkits.
A més, estén la seua funcionalitat amb plugins o extensions amb anàlisis elaborades
mitjançant programes Python.
18