SNORT IDS/IPS EN APPLIANCE PFSENSE.

POR: Maicol Muñoz.

INSTRUCTOR: Andres Mauricio Ortiz.

Gestión de la seguridad de la red.

Tecnólogo en administración de redes Informáticas. 35442.

Servicio nacional de aprendizaje (SENA) –Antioquia Centro de Servicios y Gestión Empresarial. (CESGE) 2011

INTRODUCCION. La seguridad es la principal defensa que puede tener una organización si desea conectarse a Internet, dado que expone su información privada y arquitectura de red a los intrusos de Internet. El Firewall ofrece esta seguridad, mediante: Políticas de seguridad, determinando que servicios de la red pueden ser acezados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados. Pfsense es una distribución personalizada de FreeBSD adaptado para su uso como Firewall y Router. Se caracteriza por ser de código abierto, puede ser instalado en una gran variedad de ordenadores, y además cuenta con una interfaz web sencilla para su configuración.

MARCO TEORICO.
Que es un IDS? Un IDS es un Sistema de Detección de Intrusos, es un software capaz de relacionar eventos en un equipo y relacionarlos con un tipo de ataque si asi lo fueran. Los IDS suelen contener sniffers para basarse en estos y determinar los ataques, es algo similar a tener a una persona sentada en un equipo monitoreando una red con Wireshark y verificando lo que pasa para ver si hay intrusiones. Existen 2 tipos de IDS los HIDS y los NIDS: HIDS Es un Sistema de Detección de Intrusos basado en Host el cual registra los eventos ocurridos en este ya que generalmente cuando hay una intrusión quedan rastros en lugares como el registro o las DLL (en el caso Windows). NIDS Es un Sistema de Detección de Intrusos basado en Red se encarga de sniffers y determinar los accesos a todo un segmento de red y dar oportuno aviso al administrador de esta. OSSEC HIDS Ossec es una herramienta con varios años de desarrollo aunque reconocida hasta hace poco ya que fue incluida en el famoso OSSIM de AlienVault el cual es un conjunto de herramientas bajo la licencia GPL diseñadas para la verificación de la seguridad de la información. Ossec está desarrollado para varios sistemas operativos entre estos Windows, Linux, MacOs, OpenBSD y FreeBSD, este está dividido en 3 componentes básicos los cuales son el servidor el cual monitorea y registra la actividad de los agentes, los agentes son quienes están siendo verificados y le envían la información de lo que ocurre en ellos al servidor y la interfaz WEB.

IPS El Sistema de Prevención de Intrusos (IPS) es una tecnología de software mas hardware que ejerce el control de acceso en una red de computadores para protegerla de ataques y abusos. La tecnología de Prevención de Intrusos (IPS) es considerada por algunos como una extensión de los Sistemas de Detección de Intrusos (IDS), pero en realidad es otro tipo de control de acceso, más cercano a las tecnologías de firewalls; incluso los complementan. Los Sistemas de Prevención de Intrusos (IPS) tienen varias formas de detectar el tráfico malicioso: 1) Detección Basada en Firmas, como lo hace un antivirus,

2) Detección Basada en Políticas: el IPS requiere que se declaren muy específicamente las políticas de seguridad, 3) Detección Basada en Anomalías: funciona con el patrón de comportamiento normal de tráfico (el cual se obtiene de mediciones reales de tráfico o es predeterminado por el administrador de la red), el cual es comparado permanentemente con el tráfico en línea, enviando una alarma cuando el tráfico real varía mucho con respecto del patrón normal, y 4) Detección Honey Pot (Jarra de Miel): funciona usando un equipo que se configura para que llame la atención de los hackers, de forma que estos ataquen el equipo y dejen evidencia de sus formas de acción, con lo cual posteriormente se pueden implementar políticas de seguridad.

DESARROLLANDO.
Primero que todo tendremos que descargar el paquete de sornt.

Una vez instalado, voy al menú Services, Snort.

Ahora antes de hacer o proceder a nuestra configuración debemos tener en cuenta que para nosotros actualizar nuestras reglas VRT (Sourcefire Vulnerability Research) de Snort, deberemos de tener una cuenta en la página oficial del Snort, para poder obtener el código Oinkcode, el cual tendremos que poner en nuestro Snort en pfsense para actualizar las reglas gratuitamente. https://www.snort.org/ Ya creado nuestro usuario en la página oficial les mostrare los pasos para obtener nuestro código Oinkcode.

Entonces lo que deberemos hacer es copiar nuestro código al Snort de pfsense.

Habilitamos que se instalen las reglas, le habilitamos que actualice 7 veces al día, le especifico el tiempo (3 horas) por el cual va a eliminar todos los host bloqueados, también ponemos que nos especifique el tipo de alerta, especificamos el tamaño limite del directorio de registros (1991 MB) y especificamos que mantenga la configuración del Snort después de desinstalado.

Procedemos entonces a actualizar todas las reglas de nuestro Snort.

Ya actualizado nuestras reglas procedemos a especificar donde estará ubicado nuestro Snort, en mi caso lo voy a ubicar entre la red WAN y la red interna. Lo que le especificaremos será, habilitar el Snort, especificar la interface por la que va a trabajar (WAN), darle una descripción, especificamos el rendimiento de la memoria (AC-BNFA), especificamos que bloque los ataques o ofensas, y también le habilitamos el envió de alertas a los principales registros del sistema principal.

Y aquí vemos que ya esta creada la configuración de la interface WAN.

Ahora lo que haremos será habilitar el servicio de Snort.

Ahora deberemos habilitar las categorías que queramos que nuestro Snort detecte y prevenga a la hora de ser atacada. En mi caso solo habilite como prueba las categorías para DNS, FTP, ICMP, y para el http. Nota: Para que el Snort detecte cualquier ataque de cualquier tipo es mejor habilitar todas las categorías.

También tenemos que habilitar todas las reglas para dicha categoría. A modo de prueba de prueba les mostrare con una solo categoría como hacerlo.

Ya activadas todas la reglas para las categorías que permitimos deberemos especificar los servidores a los cuales el Snort va a proporcionar alertas.

Y ya para terminar con la configuración de la interfaces WAN, deberemos habilitar los preprocesadores estáticos, esto para que el inspector de http normalizar el tráfico http y decodificar las anomalías de protocolo, también detecta varios tipos de escaneos

de puertos y también para que le preprocesador DNS decodifique el trafico de respuesta y detecte vulnerabilidades.

Ya con todo lo anterior hemos terminado en la configuración de nuestro Snort, ahora solo bastara con hacer la prueba. Para realizar la prueba yo he cogido una maquina en backtrack, lo que voy a hacer es una ataque de fuerza bruta a el ssh de mi red. Nota: La ip que utilizo en el ataque de fuerza bruta es la ip pública de mi red. Para más información sobre este ataque pueden ir a: http://thehackerway.wordpress.com/2011/04/08/hydra-ataques-defuerza-bruta/

Ya hecho el ataque nos dirigimos de nuevo y podremos ver que nuestro Snort a bloqueado la ip de la cual me han hecho el ataque además me especifica el ataque que me han realizado.

Glosario:

DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la LAN y la WAN. LAN: Una red de área local. WAN: Las Redes de área amplia.

Router: Enrutador, encaminador. Dispositivo hardware o software para interconexión de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El Router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la información de la capa de red.

SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a través del navegador. Esta herramienta soporta un amplio número de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayoría de los routers nuevos de Cisco.

SSH: SSH (Secure SHell, en español: intérprete de órdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo la computadora mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo.

JAVA: Java es un lenguaje de programación. Existe un gran número de aplicaciones y sitios Web que no funcionan a menos que Java esté instalado, y muchas más que se crean a diario. Java es rápido, seguro y fiable. De portátiles a centros de datos, de consolas de juegos a súper equipos científicos, de teléfonos móviles a Internet, Java está en todas partes.

NAT: En las redes de computadoras, NAT es el proceso de modificación de la dirección IP de información en los encabezados de paquetes IP, mientras que en tránsito a través de un tráfico de dispositivos de enrutamiento El tipo más simple de NAT proporciona una traducción a una de las direcciones IP.

DNS: Es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada.

Este sistema asocia información variada con nombres de dominios asignados a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente.

TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación, posibilita la administración de datos que vienen del nivel más bajo del modelo, o van hacia él, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipación que el protocolo es TCP). TCP es un protocolo orientado a conexión, es decir, que permite que dos máquinas que están comunicadas controlen el estado de la transmisión.

UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Protocol) un protocolo sin conexión que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a través una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisión de la información, por ejemplo, RealAudio utiliza el UDP. El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en inglés

Trivial File Transfer Protocol), y puesto que es trivial, perder algo de información en la transferencia no es crucial

Stateless: Crear reglas de ida y de respuesta.

Statefull: Crear reglas de ida y las reglas de respuestas son automáticas no hay que crearlas.

Mascara wildcard: Una máscara wildcard es sencillamente una agrupación de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una máscara wildcard le recordará probablemente a una máscara de subred. Salvo esa apariencia, no existe otra relación entre ambas. Por ejemplo, una máscara wildcard puede tener este aspecto: 192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. Mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255

ISA server: ISA Server es un Gateway integrado de seguridad Perimetral que protege su entorno de IT frente a amenazas basadas en Internet y permite a los usuarios un acceso remoto rápido y seguro a las aplicaciones y los datos.

Servidor: En informática, un servidor es una computadora que, formando parte de una red, provee servicios a otras computadoras denominadas clientes.

WPAD: Web Proxy Automatic Discovery es un metodo usado por los navegadores para encontrar los proxys automáticamente, es decir que cuando configuramos un navegador para que detecte automáticamente el proxy, el se dirigirá al DNS buscando cual es la IP que responda al nombre de WPAD y con dicha respuesta sabrá cual es el proxy al que debe conectarse. Red privada virtual (VPN): Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. Ejemplos comunes son la posibilidad de conectar dos o más sucursales de una empresa utilizando como vínculo Internet, permitir a los miembros del equipo de soporte técnico la conexión desde su casa al centro de cómputo, o que un usuario pueda acceder a su equipo doméstico desde un sitio remoto, como por ejemplo un hotel. Todo ello utilizando la infraestructura de Internet. Snort: Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de

puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

Sign up to vote on this title
UsefulNot useful