dv e tec f co iónr do e i d nte rus s o s e ng lu a r ei …...(msg: "trafico...

32
V Foro de Seguridad de RedIRIS V Foro de Seguridad de RedIRIS Detección de intrusos en la red: más allá del NIDS Detección de intrusos en la red: más allá del NIDS David Pérez David Pérez (Consultor independiente) (Consultor independiente) Puerto de la Cruz, 12-13 Abril 2007 Puerto de la Cruz, 12-13 Abril 2007 Detección de intrusos en la red: Detección de intrusos en la red: más allá del NIDS más allá del NIDS

Upload: others

Post on 22-Aug-2020

0 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

David PérezDavid Pérez(Consultor independiente)(Consultor independiente)

Puerto de la Cruz, 12-13 Abril 2007Puerto de la Cruz, 12-13 Abril 2007

Detección de intrusos en la red:Detección de intrusos en la red:más allá del NIDSmás allá del NIDS

Page 2: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Ponente David Pérez Conde Consultor independiente de seguridad Instructor de The SANS Institute GSE (http://www.giac.org/certifications/gse.php)

[email protected] http://www.radajo.com

Page 3: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Agenda Introducción Limitaciones del NIDS/NIPS Más allá del NIDS:

Análisis de trazas de red

Análisis de logs de sistema

Automatización

Page 4: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Definiciones IDS: Sistema de detección de

intrusionesHIDS: IDS de hostNIDS: IDS de red

IPS: Sist. de prevención contra intrusiones

HIPS: IPS de hostNIPS: IPS de red

Page 5: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

NIDS

¡Alerta!

Page 6: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

NIPS

¡Tráfico bloqueado!

X

Page 7: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

alert tcp 10.10.10.10 !80 -> any any \

(msg: "Trafico sospechoso")

drop tcp 10.10.10.10 !80 -> any any \

(msg: "Trafico sospechoso eliminado")

Page 8: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Limitaciones de NIDS/NIPS Ancho de banda Firmas / anomalías Falsos positivos Gestión de las alertas Visión limitada

Page 9: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Incidente: Ficheros borrados

Page 10: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Incidente: Ficheros borrados

SERVER1

Win 2003

Serv. de fich.

(CIFS/SMB)

CLIENTXP1

Win XP

Sniffer

(WireShark)

Page 11: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Análisis de la traza de red

Page 12: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

smb.disposition.delete_on_close: el cliente marca un fichero

(smb.fid) para ser borrado

Page 13: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

smb.fid: Identificador de fichero, asignado por el servidor

al abrir un fichero

Page 14: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

smb.pid: Identificador de proceso, asignado por cliente.

smb.mid: Identificador de petición/resp., asignado por cliente.

Page 15: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

smb.tid: (Tree ID) Identificador de directorio compartido,

asignado por el servidor

Page 16: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Fichero borrado: \\SERVER1\PROJECT1\file4.txt

Page 17: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

smb.uid: Identificador de usuario, asignado por el servidor al

establecer la sesión (Session Setup AndX Req/Resp)

Page 18: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

La petición de establecimiento de sesión incluye un ticket de

kerberos que identifica al usuario, aunque el nombre...

Page 19: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

... sólo aparece en claro en la respuesta del servidor KDC que

proporcionó el ticket. Principal: david. Realm: SANS.ORG

Page 20: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Inciso: KERBEROS

ServidorCliente

KDC (AS+TGS)KDC: Kerberos Distribution

Center

AS: Authentication Service

TGS: Ticket Granting Service

Tickets:

- Ticket Granting Ticket (TGT)

- Service Ticket (ST)

(1) Obtener TGT

(2) Obtener ST

(3) Presentar ST

(1)(2)

(3)

Page 21: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

La petición correspondiente contiene el TGT del usuario...

Page 22: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

...que fue obtenido en un mensaje AS-REP, como respuesta a

una petición AS-REQ...

Page 23: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

...y esa petición AS-REQ contiene el nombre NETBIOS del equipo

cliente desde el que se realizó la petición: CLIENTXP1

Page 24: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Ya sabemos: El fichero \\server1\Project1\file04.txt

fue borrado a las 09:45:55 a través de

una sesión SMB establecida como

usuario [email protected] desde el

equipo CLIENTXP1 (10.10.10.11 en

aquel momento).

Page 25: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Análisis de logs de sistema

Page 26: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Object Access: 560 y 564

Nota: Reloj desplazado 1h por el cambio horario (de invierno a verano) del 25-mar-2007

Page 27: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Nos confirma: El fichero \\server1\Project1\file04.txt fue

borrado a las 09:45:55 a través de una sesión remota (¿SMB?) como usuario [email protected] desde el equipo CLIENTXP1 (10.10.10.11 en aquel momento).

Otros eventos confirman (¿o sólo indican?) que era SMB

Page 28: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Eventos interesantes (1/2) Account Logon

672 : Auth. Ticket Request

673 : Service Ticket Request Logon/Logoff

540 : Successful Network Logon

576 : Special priv. Assigned to New Logon

538 : User Logoff

Page 29: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Eventos interesantes (2/2) Object Access

560 : Object Open564 : Object Deleted567 : Object Access Attempt562 : Handle Closed

Process Tracking592 : A new process was created593 : A process exited

Page 30: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Automatización

Page 31: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Automatización tshark Scripts (Perl, Visual Basic Script,

PowerShell, etc.) Programas en otros lenguajes Productos comerciales

Page 32: DV e tec F co iónr do e i d nte rus S o s e ng lu a r ei …...(msg: "Trafico sospechoso") drop tcp 10.10.10.10 !80 -> any any \ (msg: "Trafico sospechoso eliminado") V F o r o d

V Foro de Seguridad de RedIRISV Foro de Seguridad de RedIRISD

etección d

e intru

sos en la red

: más allá d

el NID

SD

etección d

e intru

sos en la red

: más allá d

el NID

S

Referencias http://www.radajo.com http://www.sans.org http://www.snort.org http://www.wireshark.org http://www.isascripts.org http://www.microsoft.com/windowsserver2003/tech

nologies/management/powershell/default.mspx http://www.microsoft.com/technet/scriptcenter/def

ault.mspx http://www.niksun.com