INTRUSION DETECTION SYSTEM

1
INTRUSION DETECTIONSYSTEM ó seguir viviendo
en la ignorancia
victor.barahona_at_uam.es
2
QUÉ ES UN IDS?

• Intrusion System Detection (IDS)
• Monitoriza
• Detecta intentos de intrusión
• Previene

3
TIPOS DE IDS

• Basados en Host
• Basados en Red (NIDS)

4
NIDS

• Más que un sniffer
• Detectan trafico no deseable
• ... Y luego actúa en consecuencia

5
Por qué usar un NIDS?

• Aumento del numero de equipos conectados
• Aumento del numero de intrusiones
• Facilidad de Hacking
• Download Attack (Script Kiddies)
• Impunidad
• Prevención

6
Introducción a Snort

• Es un sniffer con un potente sistema de detección
  de intrusiones.
• Su sistema de detección esta basado en reglas
• Tiene multitud de opciones de loggin
• Logs descodificados (texto)
• Logs tipo tcpdump (binario)
• Logs al syslog en tiempo real
• Winpopup por samba
• SQL, Postgresql, UnixODBC
• Es GNU !!!!

7
Qúe puede detectar Snort?

• Escaneos Basicos
• Escaneos Stealth/Fin
• OS Fingerprint
• Ejecución de exploits conocidos
• Trafico no deseado (Napster,Gnutella)
• DoS
• Intentos de penetración de otros tipos (virus,
  backdoors)
• Lo que queramos

8
Poniéndolo en marcha

• Instalación
• Configuración
• /etc/snort
• /etc/snort/rules.base
• Reglas
• /etc/snort/10102k.rules
• /etc/snort/vision.conf
• /etc/snort/misreglas.conf

9
rules.base

• Fichero de configuración para Snort
  
• Variables que definen nuestra red
  
• var INTERNAL 150.244.x.x/24
• var EXTERNAL !150.244.x.x/24
• var HOME_NET 150.244..x.x /24
• var DNSSERVERS 150.244 .x.x 150.244 .x.x 150.244
  .x.x
• var RUIDOSOS 150.244 .x.x 150.244 .x.x 150.244
  .x.x 150.244 .x.x
• Preprocesadores del trafico
  
• preprocessor http_decode 80 443 8080
• preprocessor minfrag 128
• preprocessor portscan 150.244.x.x /24 6 2
  /var/log/snort/snort_portscan.log
• preprocessor portscan-ignorehosts RUIDOSOS
  DNSSERVERS
• Tipo de login
  
• output alert_syslog LOG_LOCAL1 LOG_ALERT

10
Crear reglas propias

• Rule headers
• Acción
• Protocolo
• Direccion origen / Puerto origen
• Direccion destino / Puerto destino
• Rule options
• msg
• content

11
Ejemplo de regla

• Rule Header
• Alert tcp !HOME_NET any ltgt HOME_NET any
• Rule Options
• (msg "Transferencia de mp3" flags AP content
  ".mp3 ")

12
Reglas

• Snort Official Ruleset /etc/snort/10102k.rules
• alert TCP !HOME_NET any -gt HOME_NET 143
• (msg"OVERFLOW-x86-linux-imapd2" flags PA
  content "89D8 40CD 80E8 C8FF FFFF/")
• Max Vision Ruleset /etc/snort/vision.conf
• alert UDP EXTERNAL any -gt INTERNAL 31337
• (msg "IDS397/BackOrifice1-scan" content "ce63
  d1d2 16e7 13cf 38a5 a586")

13
Datos reales
The distribution of attack methods (30-31 Oct
24h)
of attacks method
57.28 4538 spp_portscan
from 213.132.136.131 41.13 3259 SCAN-SYN
FIN from 193.70.55.133 0.71 56
IDS106-BACKDOOR SIGNATURE-DeepThroat 0.61 48
MISC-WinGate-8080-Attempt 0.07 6
IDS152 - PING BSD 0.06 5
IDS127 - TELNET - Login Incorrect 0.05 4
FTP - Exploitable proftpd 1.2 server 0.05 4
IDS364 - FTP-bad-login
14
Herramientas

• Snortstats.pl
• SnortSnarf
• Analysis Console for Intrusion Databases (ACID)
• Guardian
• Flexresponse

15
Links de interes

• Pagina oficial de Snort
• http//www.snort.org
• Otras paginas de interes
• http//www.whitehats.com
• http//www.norz.org/
• http//www.silicondefense.com/snortsnarf
• http//www.incident.org/snortdb/

16
GRACIAS