220 likes | 344 Views
HADES. SEGURIDAD EN LA RED Y ANÁLISIS FORENSE. Universidad de Murcia – Facultad de Informática. Tabla de Contenido. Introducción Objetivos y Metodología Diseño y Resolución Conclusión y Vías Futuras. Universidad de Murcia – Facultad de Informática. Introducción (I). Antecedentes
E N D
HADES SEGURIDAD EN LA RED Y ANÁLISIS FORENSE Universidad de Murcia – Facultad de Informática
Tabla de Contenido • Introducción • Objetivos y Metodología • Diseño y Resolución • Conclusión y Vías Futuras Universidad de Murcia – Facultad de Informática
Introducción (I) • Antecedentes • Desde el primer gran incidente de seguridad en 1988 la preocupación por la seguridad en equipos y redes de computadores de propósito general se ha convertido en algo fundamental. • Ante la aparición de los peligros potenciales que podía entrañar un fallo o un ataque a los equipos informáticos surgen los CERT para dar respuesta rápida a los problemas de seguridad. El primero en crearse fue el CERT/CC. Universidad de Murcia – Facultad de Informática
Introducción (II) • El Problema de la Seguridad • Cada día se hace más patente la preocupación por los temas relacionados con la seguridad en la red y sus equipos informáticos, así como la necesidad de esta seguridad. • El número de incidentes de seguridad reportados y el costo económico asociado crece de forma espectacular año tras año. Universidad de Murcia – Facultad de Informática
Introducción (III) • Análisis Forense (Concepto) • Si la prevención y los IDS (Sistemas de Detección de Intrusos) fallan Análisis Forense. • Def: Análisis de un equipo atacado para averiguar el alcance de la violación, las actividades de un intruso en el sistema, y la puerta utilizada para entrar; de esta forma se previenen ataques posteriores y se detectan ataques a otros sistemas de la propia red. Universidad de Murcia – Facultad de Informática
Análisis Forense (Dificultad) Sin embargo, no resulta fácil: Proceso laborioso (mucha información). Actuación precipitada de administradores. Eliminación de pruebas. Falta de automatización. Introducción (IV) Universidad de Murcia – Facultad de Informática
Experiencia Piloto de RedIRIS Como consecuencia de los problemas de seguridad, RedIRIS emprende un proyecto a nivel nacional. Coordinado desde IRIS-CERT y con la colaboración de varias Universidades Españolas. Objetivo: Creación de una red de equipos supervisada, que permita la detección de nuevos patrones de ataque y el análisis de los sistemas atacados. Este proyecto está enmarcado dentro de esa experiencia piloto. Introducción (y V) Universidad de Murcia – Facultad de Informática
Objetivos Desarrollo de un sistema capaz de monitorizar de manera transparente la información que circula por la red destinada a uno o varios equipos específicos para detectar ataques. Estudio pormenorizado de los ataques, usando la información almacenada por los IDS y la información que se pueda recuperar del equipo atacado. Obtención de patrones de comportamiento de los atacantes para descubrir nuevas modalidades de intrusión. Desarrollo de una guía que especifique los pasos a seguir cuando un equipo ha sido atacado. Objetivos y Metodología (I) Universidad de Murcia – Facultad de Informática
Víctima Víctima Atacante Análisis Forense Control Objetivos y Metodología (y II) Universidad de Murcia – Facultad de Informática
Diseño de la topología (Requisitos) Toda información con origen/destino los equipos trampa debe pasar por el equipo de control (monitorización y filtrado del tráfico). Necesidad de un mecanismo que permita comunicar al sistema de control con los equipos trampa sin que haya una conexión física directa. Se debe poder aislar los equipos trampa de forma individual (bloqueo de accesos remotos). Diseño y Resolución (I) Universidad de Murcia – Facultad de Informática
Diseño de la topología (Soluciones) Diseño y Resolución (II) Universidad de Murcia – Facultad de Informática
Configuración del Sistema de Control Instalación de un sistema operativo seguro (VA-Linux). Funcionamiento en modo Bridge (bridge-utils). Configuración para realizar Firewalling (iptables). Monitorización de los equipos trampa (tcpdump y snort). Diseño y Resolución (III) Universidad de Murcia – Facultad de Informática
Configuración de los Equipos Trampa Instalación de distintos sistemas operativos. Apertura de todos los puertos y servicios disponibles. Instalación de herramientas que faciliten la copia y migración de datos (dd y nc). Sincronización de la hora del sistema con algún servidor de tiempo fiable (NTP). Diseño y Resolución (IV) Universidad de Murcia – Facultad de Informática
Análisis de Ataques (Ideas Generales) La mayor parte de los ataques que acaban con un acceso al sistema con privilegios de root siguen el mismo esquema: Se realiza un escaneo buscando equipos vulnerables que estén ejecutando un servicio con algún fallo de seguridad conocido. Se emplea un exploit contra el equipo, consiguiendo instalar una puerta de acceso al sistema. El atacante instala o compila un rootkit: conjunto de programas de nombre y comportamiento similar al de comandos del sistema operativo, que sin embargo no muestran información sobre determinados estados del sistema. El atacante instala herramientas de ataque para escanear otros equipos y redes, empleando esta máquina como puente. Diseño y Resolución (V) Universidad de Murcia – Facultad de Informática
Análisis de Ataques (Análisis Forense I) Evitar utilizar comandos y/o aplicaciones del equipo atacado, ya que pueden estar troyanizadas. Así mismo, utilizar programas compilados estáticamente. Mejor si se usa un equipo distinto para el análisis. Realizar una copia a nivel de bit de los datos y enviarlos (si es posible) a otro equipo. - Ejemplo: En el equipo víctima: dd if=/dev/sda4 of = – | nc equipo_remoto –p 100 En el equipo remoto: nc –s –p 1000 > sda4 Diseño y Resolución (VI) Universidad de Murcia – Facultad de Informática
Análisis de Ataques (Análisis Forense II) Obtener todos los datos disponibles sobre el sistema: versión, particiones, hora y fecha del ataque, fecha en la que se desconectó de la red... Montar las imágenes de las particiones para su análisis. - Ejemplo: mount -o ro,loop,nodev,noexec raiz-hda4 home/analisis/disco mount -o ro,loop,nodev,noexec var-hda3 home/analisis/disco/var Diseño y Resolución (VII) Universidad de Murcia – Facultad de Informática
Análisis de Ataques (Análisis Forense III) Obtener los tiempos MAC de ficheros y directorios antes de hacer cualquier modificación (grabbe-robber, ils,ils2mac, mactime). - Ejemplo: # grave-robber -o LINUX2 -c home/analisis/disco -m -d ./resultados # ils /home/analisis/raiz-hda4 |ils2mac > ilsbody # cat body ilsbody > body-full # mactime -b body-full 08/04/2001 > mactime.txt Diseño y Resolución (VIII) Universidad de Murcia – Facultad de Informática
Análisis de Ataques (Análisis Forense IV) Comprobar la integridad de todos los binarios existentes en el sistema y de los paquetes instalados (Tripwire, rpm, pkgchk...). - Ejemplo: # rpm -V -a --root=home/analisis/disco/ ... SM5....T /bin/ls SM5....T /usr/bin/ps ... Inspeccionar ficheros de configuración en busca de modificaciones. Buscar cadenas “extrañas” dentro de ficheros binarios que puedan delatar la presencia de un rootkit (difícil). Diseño y Resolución (IX) Universidad de Murcia – Facultad de Informática
Análisis de Ataques (Análisis Forense V) Analizar los tiempos MAC para crear una línea temporal de las actividades realizadas por el intruso. Ejemplo: Aug 06 01 09:57:55 627271 ..c -rw-r--r-- root root <raiz-hda4-dead-2404> Aug 06 01 09:58:00 4096 m.c drwxr-xr-x root root home/analisis/disco/bin 11952 .a. -rwxr-xr-x root root home/analisis/disco/bin/chown 35300 ..c -rwxr-xr-x root root home/analisis/disco/bin/netstat 33280 ..c -rwxr-xr-x root root home/analisis/disco/bin/ps 36864 m.c drwxr-xr-x root root home/analisis/disco/dev 241 m.c -rw-r--r-- root root home/analisis/disco/dev/xdta 145 m.c -rw-r--r-- root root home/analisis/disco/dev/xmx 19840 ..c -rwxr-xr-x root root home/analisis/disco/sbin/ifconfig Diseño y Resolución (X) Universidad de Murcia – Facultad de Informática
Análisis de Ataques (Análisis Forense y VI) Recuperar la información eliminada por el atacante (unrm, lazarus, icat...). - Ejemplo: # icat raiz-hda4 92962 > fich-92962 Contrastar la información obtenida con la que ha quedado almacenada en el sistema de monitorización (IDS). Diseño y Resolución (y XI) Universidad de Murcia – Facultad de Informática
Conclusiones: El problema de la seguridad en equipos informáticos y redes de computadores es tan amplio como complejo. Esto crea la necesidad de tener sistemas eficaces de detección de intrusiones y estar al día en los nuevos métodos de ataque. Difícil encontrar gente con experiencia en el análisis de ataques y falta de un marco de trabajo común. En este proyecto se ha tratado de aunar ambos problemas para proponer soluciones prácticas. Los resultados alcanzados hacen pensar que se abren las puertas de una nueva línea de investigación, que ayudará a conseguir equipos más seguros. Conclusiones y Vías Futuras (I) Universidad de Murcia – Facultad de Informática
Vías futuras: Instalación y monitorización de más equipos trampa. Captura de logs remotos. Monitorización de los procesos del sistema. Desarrollo de una interfaz que permita la separación, visualización y clasificación de las distintas conexiones establecidas sobre un equipo. Conclusiones y Vías Futuras (y II) Universidad de Murcia – Facultad de Informática