HADES - PowerPoint PPT Presentation

About This Presentation
Title:

HADES

Description:

Title: Sin t tulo de diapositiva Last modified by: CSIC RedIRIS Created Date: 1/1/1601 12:00:00 AM Document presentation format: Presentaci n en pantalla – PowerPoint PPT presentation

Number of Views:62
Avg rating:3.0/5.0
Slides: 23
Provided by: redirisE
Category:
Tags: hades | linux | sistema

less

Transcript and Presenter's Notes

Title: HADES


1
HADES
  • SEGURIDAD EN LA RED
  • Y
  • ANÁLISIS FORENSE

Universidad de Murcia Facultad de Informática
2
Tabla de Contenido
  • Introducción
  • Objetivos y Metodología
  • Diseño y Resolución
  • Conclusión y Vías Futuras

Universidad de Murcia Facultad de Informática
3
Introducción (I)
  • Antecedentes
  • Desde el primer gran incidente de seguridad en
    1988 la preocupación por la seguridad en equipos
    y redes de computadores de propósito general se
    ha convertido en algo fundamental.
  • Ante la aparición de los peligros potenciales que
    podía entrañar un fallo o un ataque a los equipos
    informáticos surgen los CERT para dar respuesta
    rápida a los problemas de seguridad. El primero
    en crearse fue el CERT/CC.

Universidad de Murcia Facultad de Informática
4
Introducción (II)
  • El Problema de la Seguridad
  • Cada día se hace más patente la preocupación por
    los temas relacionados con la seguridad en la red
    y sus equipos informáticos, así como la necesidad
    de esta seguridad.
  • El número de incidentes de seguridad reportados y
    el costo económico asociado crece de forma
    espectacular año tras año.

Universidad de Murcia Facultad de Informática
5
Introducción (III)
  • Análisis Forense (Concepto)
  • Si la prevención y los IDS (Sistemas de Detección
    de Intrusos) fallan ? Análisis Forense.
  • Def Análisis de un equipo atacado para averiguar
    el alcance de la violación, las actividades de un
    intruso en el sistema, y la puerta utilizada para
    entrar de esta forma se previenen ataques
    posteriores y se detectan ataques a otros
    sistemas de la propia red.


Universidad de Murcia Facultad de Informática
6
Introducción (IV)
  • Análisis Forense (Dificultad)
  • Sin embargo, no resulta fácil
  • Proceso laborioso (mucha información).
  • Actuación precipitada de administradores.
  • Eliminación de pruebas.
  • Falta de automatización.


Universidad de Murcia Facultad de Informática
7
Introducción (y V)
  • Experiencia Piloto de RedIRIS
  • Como consecuencia de los problemas de seguridad,
    RedIRIS emprende un proyecto a nivel nacional.
  • Coordinado desde IRIS-CERT y con la colaboración
    de varias Universidades Españolas.
  • Objetivo Creación de una red de equipos
    supervisada, que permita la detección de nuevos
    patrones de ataque y el análisis de los sistemas
    atacados.
  • Este proyecto está enmarcado dentro de esa
    experiencia piloto.


Universidad de Murcia Facultad de Informática
8
Objetivos y Metodología (I)
  • Objetivos
  • Desarrollo de un sistema capaz de monitorizar de
    manera transparente la información que circula
    por la red destinada a uno o varios equipos
    específicos para detectar ataques.
  • Estudio pormenorizado de los ataques, usando la
    información almacenada por los IDS y la
    información que se pueda recuperar del equipo
    atacado.
  • Obtención de patrones de comportamiento de los
    atacantes para descubrir nuevas modalidades de
    intrusión.
  • Desarrollo de una guía que especifique los pasos
    a seguir cuando un equipo ha sido atacado.


Universidad de Murcia Facultad de Informática
9
Objetivos y Metodología (y II)
Universidad de Murcia Facultad de Informática
10
Diseño y Resolución (I)
  • Diseño de la topología (Requisitos)
  • Toda información con origen/destino los equipos
    trampa debe pasar por el equipo de control
    (monitorización y filtrado del tráfico).
  • Necesidad de un mecanismo que permita comunicar
    al sistema de control con los equipos trampa sin
    que haya una conexión física directa.
  • Se debe poder aislar los equipos trampa de forma
    individual (bloqueo de accesos remotos).


Universidad de Murcia Facultad de Informática
11
Diseño y Resolución (II)
  • Diseño de la topología (Soluciones)


Universidad de Murcia Facultad de Informática
12
Diseño y Resolución (III)
  • Configuración del Sistema de Control
  • Instalación de un sistema operativo seguro
    (VA-Linux).
  • Funcionamiento en modo Bridge (bridge-utils).
  • Configuración para realizar Firewalling
    (iptables).
  • Monitorización de los equipos trampa (tcpdump y
    snort).


Universidad de Murcia Facultad de Informática
13
Diseño y Resolución (IV)
  • Configuración de los Equipos Trampa
  • Instalación de distintos sistemas operativos.
  • Apertura de todos los puertos y servicios
    disponibles.
  • Instalación de herramientas que faciliten la
    copia y migración de datos (dd y nc).
  • Sincronización de la hora del sistema con algún
    servidor de tiempo fiable (NTP).


Universidad de Murcia Facultad de Informática
14
Diseño y Resolución (V)
  • Análisis de Ataques (Ideas Generales)
  • La mayor parte de los ataques que acaban con un
    acceso al sistema con privilegios de root siguen
    el mismo esquema
  • Se realiza un escaneo buscando equipos
    vulnerables que estén ejecutando un servicio con
    algún fallo de seguridad conocido.
  • Se emplea un exploit contra el equipo,
    consiguiendo instalar una puerta de acceso al
    sistema.
  • El atacante instala o compila un rootkit
    conjunto de programas de nombre y comportamiento
    similar al de comandos del sistema operativo, que
    sin embargo no muestran información sobre
    determinados estados del sistema.
  • El atacante instala herramientas de ataque para
    escanear otros equipos y redes, empleando esta
    máquina como puente.


Universidad de Murcia Facultad de Informática
15
Diseño y Resolución (VI)
  • Análisis de Ataques (Análisis Forense I)
  • Evitar utilizar comandos y/o aplicaciones del
    equipo atacado, ya que pueden estar troyanizadas.
    Así mismo, utilizar programas compilados
    estáticamente. Mejor si se usa un equipo distinto
    para el análisis.
  • Realizar una copia a nivel de bit de los datos y
    enviarlos (si es posible) a otro equipo.
  • - Ejemplo
  • En el equipo víctima
  • dd if/dev/sda4 of nc equipo_remoto p 100
  • En el equipo remoto
  • nc s p 1000 gt sda4


Universidad de Murcia Facultad de Informática
16
Diseño y Resolución (VII)
  • Análisis de Ataques (Análisis Forense II)
  • Obtener todos los datos disponibles sobre el
    sistema versión, particiones, hora y fecha del
    ataque, fecha en la que se desconectó de la
    red...
  • Montar las imágenes de las particiones para su
    análisis.
  • - Ejemplo
  • mount -o ro,loop,nodev,noexec raiz-hda4
    home/analisis/disco
  • mount -o ro,loop,nodev,noexec var-hda3
    home/analisis/disco/var


Universidad de Murcia Facultad de Informática
17
Diseño y Resolución (VIII)
  • Análisis de Ataques (Análisis Forense III)
  • Obtener los tiempos MAC de ficheros y directorios
    antes de hacer cualquier modificación
    (grabbe-robber, ils, ils2mac, mactime).
  • - Ejemplo
  • grave-robber -o LINUX2 -c
    home/analisis/disco -m -d ./resultados
  • ils /home/analisis/raiz-hda4 ils2mac gt
    ilsbody
  • cat body ilsbody gt body-full
  • mactime -b body-full 08/04/2001 gt
    mactime.txt


Universidad de Murcia Facultad de Informática
18
Diseño y Resolución (IX)
  • Análisis de Ataques (Análisis Forense IV)
  • Comprobar la integridad de todos los binarios
    existentes en el sistema y de los paquetes
    instalados (Tripwire, rpm, pkgchk...).
  • - Ejemplo
  • rpm -V -a --roothome/analisis/disco/
  • ...
  • SM5....T /bin/ls
  • SM5....T /usr/bin/ps
  • ...
  • Inspeccionar ficheros de configuración en busca
    de modificaciones.
  • Buscar cadenas extrañas dentro de ficheros
    binarios que puedan delatar la presencia de un
    rootkit (difícil).


Universidad de Murcia Facultad de Informática
19
Diseño y Resolución (X)
  • Análisis de Ataques (Análisis Forense V)
  • Analizar los tiempos MAC para crear una línea
    temporal de las actividades realizadas por el
    intruso.
  • Ejemplo
  • Aug 06 01 095755
  • 627271 ..c -rw-r--r--
    root root ltraiz-hda4-dead-2404gt
  • Aug 06 01 095800
  • 4096 m.c drwxr-xr-x root
    root home/analisis/disco/bin
  • 11952 .a. -rwxr-xr-x root
    root home/analisis/disco/bin/chown
  • 35300 ..c -rwxr-xr-x root
    root home/analisis/disco/bin/netstat
  • 33280 ..c -rwxr-xr-x root
    root home/analisis/disco/bin/ps
  • 36864 m.c drwxr-xr-x root
    root home/analisis/disco/dev
  • 241 m.c -rw-r--r-- root
    root home/analisis/disco/dev/xdta
  • 145 m.c -rw-r--r-- root
    root home/analisis/disco/dev/xmx
  • 19840 ..c -rwxr-xr-x root
    root home/analisis/disco/sbin/ifconfig


Universidad de Murcia Facultad de Informática
20
Diseño y Resolución (y XI)
  • Análisis de Ataques (Análisis Forense y VI)
  • Recuperar la información eliminada por el
    atacante (unrm, lazarus, icat...).
  • - Ejemplo
  • icat raiz-hda4 92962 gt fich-92962
  • Contrastar la información obtenida con la que ha
    quedado almacenada en el sistema de
    monitorización (IDS).


Universidad de Murcia Facultad de Informática
21
Conclusiones y Vías Futuras (I)
  • Conclusiones
  • El problema de la seguridad en equipos
    informáticos y redes de computadores es tan
    amplio como complejo.
  • Esto crea la necesidad de tener sistemas eficaces
    de detección de intrusiones y estar al día en los
    nuevos métodos de ataque.
  • Difícil encontrar gente con experiencia en el
    análisis de ataques y falta de un marco de
    trabajo común.
  • En este proyecto se ha tratado de aunar ambos
    problemas para proponer soluciones prácticas.
  • Los resultados alcanzados hacen pensar que se
    abren las puertas de una nueva línea de
    investigación, que ayudará a conseguir equipos
    más seguros.


Universidad de Murcia Facultad de Informática
22
Conclusiones y Vías Futuras (y II)
  • Vías futuras
  • Instalación y monitorización de más equipos
    trampa.
  • Captura de logs remotos.
  • Monitorización de los procesos del sistema.
  • Desarrollo de una interfaz que permita la
    separación, visualización y clasificación de las
    distintas conexiones establecidas sobre un
    equipo.


Universidad de Murcia Facultad de Informática
Write a Comment
User Comments (0)
About PowerShow.com