Upload File

análisis de las principales plataformas (autoguardado)

  • Home
  • Documents
  • Análisis de Las Principales Plataformas (Autoguardado)
14
Capítulo 3 ESTUDIO COMPARATIVO DE HERRAMIENTAS PARA LA PREVENCION Y DETECCION DE INTRUSIONES Análisis de las principales plataformas Entre las diversas herramientas disponibles en el mercado de seguridad informática se realiza un estudio de las herramientas open source dedicadas explícitamente al monitoreo a nivel de red, es decir que el objetivo del análisis sean los paquetes y tramas de los diversos protocolos de la red. Snort Ilustración 1: Logo Snort Fuente: https://www.snort.org/ Snort es una aplicación que está disponible bajo la licencia GPL, desarrollada por Martin Roesh 1998, usada principalmente como IDS/IPS de red y host, como analizador de encabezados de protocolo (sniffer) y logging que registra los paquetes de red además almacena en un archivo para su posterior análisis. Snort IDS/IPS permite el tráfico de red para los partidos contra un conjunto de reglas definidas por el usuario y realiza varias acciones en base a lo que ve. Es capaz de analizar en tiempo real el tráfico registros de paquetes en redes IP capturando datos desde la red y

Upload: nnjaneth101

Post on 08-Nov-2015

16 views

Category:

Documents


5 download

Report

DESCRIPTION

NIDS open source

TRANSCRIPT

Captulo 3ESTUDIO COMPARATIVO DE HERRAMIENTAS PARA LA PREVENCION Y DETECCION DE INTRUSIONESAnlisis de las principales plataformasEntre las diversas herramientas disponibles en el mercado de seguridad informtica se realiza un estudio de las herramientas open source dedicadas explcitamente al monitoreo a nivel de red, es decir que el objetivo del anlisis sean los paquetes y tramas de los diversos protocolos de la red. Snort

Ilustracin 1: Logo SnortFuente: https://www.snort.org/Snort es una aplicacin que est disponible bajo la licencia GPL, desarrollada por Martin Roesh 1998, usada principalmente como IDS/IPS de red y host, como analizador de encabezados de protocolo (sniffer) y logging que registra los paquetes de red adems almacena en un archivo para su posterior anlisis. Snort IDS/IPS permite el trfico de red para los partidos contra un conjunto de reglas definidas por el usuario y realiza varias acciones en base a lo que ve.Es capaz de analizar en tiempo real el trfico registros de paquetes en redes IP capturando datos desde la red y aplicndolo reglas a los datos o las anomalas previamente definidas.Snort puede ejecutarse en sistemas x86 de Linux, FreeBSD, NetBSD, OpenBSD y Windows. Otro sistemas soportados incluyen Sparc Solaris x86, Mac OS X, PowerPC Mac OS X y MkLinux y PA-RISC HP-UX. En resumen, Snort se ejecutar en casi cualquier OS moderna.Caractersticas Pgina oficial: https://www.snort.org/ Versin estable: Versin beta: Multiplataforma Posee ms de 250000 reglas. Puede ser instalado en los host minimizando la interrupcin normal de estos. Posee un lenguaje de reglas sencillo y flexible, por lo que es posible la creacin de nuevas reglas. El tipo de respuesta es personalizable.Modos de operacin Packet Sniffer: captura los paquetes de la red. Packet Logger: registra los paquetes en el disco. Network-based IDS: Snort permite analizar Inline Mode: obtiene paquetes de iptables en lugar de forma libpcap y los iptables causas caigan o transmiten los paquetes basado en reglas de Snort que utilizan tipos de reglas especficas en lneaArquitectura bsica Snort combina mltiples componentes lgicos que trabajan de manera conjunta y bajo un mismo formato para detectar ataques particulares y as generar alertas. Sniffer Decodificador Preprocesador Motor de deteccin Mdulo de alertas y salida

Ilustracin 2: Componentes de SnortFuente: (Rehman, 2003)

Paquete Sniffer: (Packet Sniffer) el objetivo de un sniffer es olfatear el trfico que circula por una red, mediante la lectura de datagramas lo cual se consigue colocando una interfaz en modo promiscuo que permite a la NIC de un dispositivo leer todo el trfico y no solo el directamente dirigido a ella.El mdulo de adquisicin de datos (DAQ) funciona como una capa de abstraccin entre las libreras de captura de paquetes y Snort. El DAQ recolecta promiscuamente datos de la red y lo pasa junto al motor de decodificacin.Decodificador: (Packet Decoding) Analiza lo que esta en cada paquete desde de la capa enlace de datos hasta la capa de aplicacin, almacena esta informacin en la estructura de datos y trasmite a los dems elementos que componen la arquitectura. Snort decodifica en su totalidad TCP/IP para otros protocolos de red se identifica hasta la capa 2, sin hacer uso de ello.Preprocesador: (Preprocessors) Interacta con el paquete en un contexto pertinente de diseo para su interpretacin adecuada en el motor de deteccin antes que pueda ser analizado y realizar alguna operacin. Reorganiza, arregla, modifica, normaliza y presenta datos relevantes del paquete para que sea analizado eficazmente. De acuerdo a la configuracin el procesador es capaz de alertar condiciones anmalas.Snort posee una extensa gama de plugins preprocesadores, que de acuerdo a su enfoque se clasifican en: Normalizacin de datos: regularizan los paquetes con la finalidad de minimizar los cambios de evasin mediante distintas tcnicas de mutacin que modifican y empaan un ataque intrusivo. Como los trineos no-op usados con shellcode polimrfica cuyo propsito es la sobrecarga de buffer. Anlisis de protocolos: detecta inconsistencias en la notacin de sintaxis abstracta de protocolos usados especialmente en redes pblica lo que provoca desbordamiento de bfer o ataques DoS. (Koziol, 2003). Deteccin de emparejamiento sin firma: (Non-Signature- Matching Detection) Utiliza firmas adaptadas a trafico inofensivo ICMP en bsqueda de host de la red pblica que tenga puertos abiertos y lo servicios unidos a ellos enmascarado con trafico ICMP, que los atacantes utilizan un exploit de reconocimiento que puede enmascarar ataque DoS. El motor de deteccin: (the detection engine) aplica las reglas configuradas en busca de patrones de actividades intrusivas, para tomar acciones como generar alertas o descartar el paquete. El desempeo del motor deteccin depende de: nmero de reglas, cun robusto sea la maquina en la que se est ejecutando Snort y carga de la red.Mdulo de alertas y salidas: (the output and alerting module) realiza diferentes operaciones dependiendo de cmo se haya configurado. Controla el tipo de salida generada por el logging y el sistema de alertas adems de permitir almacenarlas en distintos tipos como SNMP, syslog, enviar emails, generar XML, modificar la configuracin en el router o firewalls, e interactuar con la base de datos, entre otras.Componente Caracterstica

DecodificadorPrepara los paquetes para el procesamiento.

PreprocesadorUsa un protocolo de normalizacin en: el encabezado, detecta anomalas, reensambla paquetes y cadenas TCP.

Motor de deteccinAplica las reglas

Mdulo de alertas y salidasProcesa y genera alertas

Tabla 1Descripcin de la arquitectura de SnortFuente: (Rehman, 2003) Editado por Egda. Nelly Yuquilema

Ventajas Permite la configuracin de mltiples archivos de configuraciones (vlan Id) Permite configurar diferente configuracin sin mltiples instancias de Snort Crea instancias de configuraciones nicas. Alta disponibilidad de documentacin en internet.Debilidades El motor de anlisis es menos potente que soluciones comerciales como las de ISS o de Cisco. (Royer J. , 2004) Requiere una automatizacin manual de firmas. (Royer J. , 2004) Uni-TheadedRequisitos bsicos de software The Snort core. snortrules-snapshot-2900.tar.gz Daq: (data aquisition module) Mdulo de adquisicin de datos libpcap - Biblioteca de captura de paquetes utilizado por DAQ y la compilacin de trfico. pcre 8.x: (Perl Compatible Regular Expressions) conjuntos de funciones que implementan la coincidencia regular de expresiones en patrones usando la misma sintaxis y semntica que Perl. libdnet-l.11 provee de la capacidad flexible de respuesta en Snort. MySQL Libdnet Apache 2.2.11

Suricata

Ilustracin 3: Logo SuricataFuente: http://suricata-ids.org/

Suricata es una herramienta IDS/IPS basado en reglas y motor de seguimiento de seguridad de prxima generacin, desarrollada por OISF (Open Information Security Foundation) una organizacin sin fines de lucro, sus distribuidores secundarios y su comunidad. El primer proyecto estuvo disponible en enero 2010 con su versin beta y e junio del mismo ao con la primera versin estable, desde su aparicin a dado pasos agigantados desde entonces y posicionndose como una herramienta competidora con Snort debido a que implementa algunas mejoras.Est disponible bajo la licencia GLP v2 y trabaja en sistemas basados en Unix/Linux, FreeBSD y Windows.

Pgina oficial: http://suricata-ids.org/http://openinfosecfoundation.org/index.php/download-suricataltima versin estable: Suricata 2.0.7 lanzado 25 de febrero 2015Versin beta: 2.1

Caractersticas Multi-threading: esta caracterstica permite ejecutar el procesamiento de varios procesos/ subprocesos de manera simultnea, de esta manera definir una arquitectura multincleo y administrar cada ncleo del procesador para que se encargue de uno o ms hilos. Estadsticas de rendimiento: modulo que permite llevar un conteo de variada informacin y presentarlos como estadsticas al administrador. Deteccin automtica de protocolos: facilita la implementacin de reglas utilizando palabras claves de los protocolos como FTP, HTTP,TLS, SMB. Modulo Log HTTP: lleva un registro de las peticiones http y las almacena en un formato log apache.

Arquitectura: Carpturador de paquetes. Decodificador Deteccin/comparacin de firmas Procesamiento de eventos y salida de alertas

Ilustracin 4: Ecosistema de SuricataFuente: http://suricata-ids.org/

Ventajas Altamente eficaz en la deteccin de ataques que siguen patrones definidos Compatible con la reglas de snort Soporta IPv6Debilidades Descarga manual de la actualizacin de reglas de seguridad en el sitio web oficial Emerging Threats. Baja nivel de deteccin para nuevos tipos de ataques. No posee una interfaz administrativa. Opera a base de lneas de comando. Baja documentacin en internet

RequerimientosHardwareLo requerimientos hardware tanto del procesador y memoria RAM se los realiza de acuerdo a la cantidad de trafico esperado para el anlisis, la cantidad de firmas de seguridad.En modo IDS se necesita como mnimo de 2 tarjetas de red. En Modo IPS es necesario de 3 tarjetas de red de las cuales 1 es dedicada para la administracin y las dos para monitoreo.SoftwareConfiguracin de los archivos: suricata.yaml, classification.config, reference.config, threshold.configDependencias:libyamllibcprelibcapDependencias opcionalesLibcap-nglibpfringFortalezasoportunidades

Primera herramienta open soure que proporciona trabajar en multihilos ( Multi-threading)

Implementa mejoras ante Snort,Solucin de software libreCompatible con plataformas: NMS, SIEM, y distribuciones open sourceMultiplataformaAltamente escalable que permite llegar a ser una solucin empresarial

Debilidades Amenazas

Baja disponibilidad de documentacinRequiere de herramientas de tercerosNo posee interfaz de administracin propia.

No detecta ataques nuevos

Bro IDS

Ilustracin 5: Logo Bro IDSFuente: https://www.bro.org/Bro IDS es una herramienta open source principalmente utilizada como IDS, sin embargo constituye una plataforma de anlisis de red completa y escalable capaz de detectar actividades maliciosas de la red consecuentes de ataques pasivos y activos. Fue desarrollado hace ms de 15 aos por Vern Paxson, actualmente se encuentra respaldada por la comunidad de usuarios en la que sobresalen universidades y centros de computacin y ciencia abierta.La fundacin Nacional de Ciencia (NSF) es la finaciadora del proyeto BroBro ha sido desarrollado principalmente como una plataforma de investigacin para la deteccin de intrusiones y anlisis de trfico de red para extraer informacin semntica a nivel de aplicacin, y entonces ejecutando analizadores orientados a eventos que comparan actividad con firmas conocidas. Debido a que utiliza un lenguaje de polticas especializadas Debido al lenguaje especializado de polticas Bro es capaz de alertar en tiempo real ante ataques ocurriendo o tomar acciones de bloqueo como lo hacen los IPS y almacenar registros del incidente dependiendo de su configuracin. Versin estable: 2.3.2 disponible desde enero 2015VentajasProporciona una plataforma de seguridad que implementa variadas herramientas de seguridad para todo trfico de red. Bro IDS dispone de varios componentes que pueden ser utilizados y descarados por separados.Personaliza script para trabajar ante condiciones especficas de la red.Registra sesiones http con fines de anlisis y auditoria.Debilidades Debido a que su metodologa de deteccin distinta a los IDS/IPS tradicionales requiere un estudio personificado de esta herramienta.Poco disponibilidad de la documentacin en internet.Caractersticas Est disponible bajo de la licencia BSD Mac Os X, FreeBSD, distribuciones Linux (rpm, deb)Motor de eventos escrito en C++Permite el anlisis en tiempo real y fuera de lnea.Permite el anlisis profundo fuera de lnea para auditoria forense.Soporta protocolos de capa de aplicacin.Soporta IPv6.

Fortalezasoportunidades

No se limita a la deteccin tradicionalSolucin empresarialMultiplataforma Opera eficientemente en sitios gran tamao.Soporte de nivel empresarial Licencia BSD

Debilidades Amenazas

Requiere de un personal experto en UNIX.Orientado a redes de alto rendimiento Gbps.Compatible solo con sistemas operativos UNIXNo dispone de una interfaz de usuario (GUI)Comunidad de usuarios escasaTiempo empleado en aprender Bro IDSDifcil la instalacin y despliegue

Arquitectura

Ilustracin 6: Arquitectura interna de BROFuente: RequerimientosHardwareNo requiere hardware especializado.Software Libpcap: interfaz estndar para la captura de paquetes Bibliotecas OpenSSL Biblioteca BIND 8 Libz Bash (por BroControl) Python (por BroControl)


Prueba de Evaluación Primer Trimestre (Autoguardado) (Autoguardado)

CONSOLIDADO_CAPACITACIONES_928_ACTUAL(1)(1) (Autoguardado) (Autoguardado)

Trabajo final-autoguardado-autoguardado[1]

Microorganismos usaca [autoguardado] [autoguardado]

Memoria de diseño (Autoguardado) (Autoguardado) (Autoguardado)

Capacitacion De Organizacion [Autoguardado] 2 [Autoguardado] [Autoguardado]

3º 2016 (Autoguardado) (Autoguardado)

ANYER MOTA CAP II (Autoguardado) (Autoguardado)

Banco Agrio (1) (Autoguardado) (Autoguardado) (1)

TECNOLOGÍAS APLICABLES PARA EL TRATAMIENTO de LOS RESIDU OS Proyectos (Autoguardado) (1) (1) (1) (Autoguardado) (Autoguardado) (Autoguardado) (Autoguardado) (3)

Nycol 1º cuento (autoguardado) (autoguardado)

Bibliografía de Paul Sweezy (Autoguardado) (Autoguardado)

CLASE 1, CONCRETO II [Autoguardado] [Autoguardado]

Derecho mercantil (Autoguardado) (Autoguardado).docx

Diapositivas juego 50 [autoguardado] [autoguardado] copia

monografia (Autoguardado) (Autoguardado).docx

EQUINOS [Autoguardado] [Autoguardado].pptx

Cubriendo todas las plataformas del mercado · ¿Por qué elegir Xamarin? Principales razones Desarrollo usando un mismo lenguaje (C# o F#) para las tres plataformas que dominan el

Manual Plataformas Elevadoras (PEMP)ÍNDICE 02 PLATAFORMAS ELEVADORAS 03 LAS PRINCIPALES PARTES QUE COMPONEN UNA PEMP 01 INTRODUCCIÓN 04 ELEMENTOS DE SEGURIDAD OBLIGATORIOS EN UNA

El primer encuentro-investigadores-sena-autoguardado (autoguardado)

CAPITULO1 ULTIMATE1 (3) (Autoguardado) (Autoguardado)

Prospección radiografica mype (autoguardado) (autoguardado)

Proyecto Bic (Autoguardado) (Autoguardado) (Reparado)

Manual de Quimica de Alimentos. (Autoguardado) (Autoguardado).docx

bitacora (Autoguardado) (Autoguardado)

Práctica ocho-autoguardado-autoguardado

Proyecto Sistema Solar - Copia [Autoguardado] [Autoguardado]

Sanitarias Sandro (Autoguardado) (Autoguardado)

Principales tipos de poemas líricos según su tema [autoguardado]

Hoja Excel Tesis (Autoguardado) (Autoguardado)

Análisis de objetos y artefactos (autoguardado) (autoguardado)

La Comunicacion Editado (Autoguardado) (Autoguardado)

Liquidacion_final_de Consorcio Rio Santiago 2013 (Autoguardado) (Autoguardado)

Nota informativa Plataformas digitales: principales

Sindrome de respuesta inflamatoria sistemica [autoguardado] [autoguardado]