Herramientas de seguridad: IDS/IPS y sistemas trampa

Questions and Answers

¿Cuál es el propósito principal de los sistemas de detección de intrusiones (IDS) y los sistemas señuelo?

• Proporcionar información valiosa para los administradores sobre posibles ataques. (correct)
• Eliminar la necesidad de escáneres de vulnerabilidades.
• Ofrecer protección directa a los sistemas.
• Reemplazar los sistemas de protección perimetral.

¿Cuál de las siguientes opciones describe mejor la función de los sistemas de protección perimetral?

• Analizar el modus operandi de los atacantes.
• Detectar intrusiones internas en la red.
• Proporcionar una capa adicional de seguridad más allá del perímetro de la red.
• Proteger el perímetro de la red contra amenazas externas. (correct)

¿Qué beneficio principal ofrecen los sistemas señuelo a los administradores de sistemas?

• Comprensión del modus operandi de los atacantes. (correct)
• Protección contra ataques de denegación de servicio.
• Automatización completa de la respuesta ante incidentes.
• Eliminación de la necesidad de actualizaciones de software.

Según Gartner, ¿en qué se basa el análisis inteligente de amenazas?

En evidencia que incluye contexto, mecanismos e implicaciones de una amenaza. (B)

¿Qué función adicional provee un Sistema de Prevención de Intrusiones (IPS) que no tiene un Sistema de Detección de Intrusiones (IDS)?

Filtrar el tráfico malicioso. (A)

¿Cuál es la principal función de un Sistema de Detección de Intrusos basado en el host (HIDS)?

Detectar modificaciones en los equipos afectados por un ataque. (C)

¿Cuál es la principal característica de un Sistema de Detección de Intrusos basado en la red (NIDS)?

Detecta accesos no deseados a la red analizando el tráfico. (D)

¿Qué es un 'sniffer' en el contexto de un Sistema de Detección de Intrusos (IDS)?

Un analizador de paquetes de red que captura el tráfico que circula por la red. (A)

¿Qué significa que la interfaz de un IDS debe funcionar en 'modo promiscuo'?

Que debe capturar todo el tráfico que circula por la red. (A)

¿Cuál es el propósito de conectar la interfaz de monitorización de un NIDS a un 'network-tap'?

Para capturar el tráfico de la red sin interferir en ella. (D)

¿Qué implica que un sistema IDS sea 'basado en firmas'?

Que utiliza una base de datos de firmas de ataques conocidos para la detección. (B)

¿Qué implica que un sistema IDS sea 'basado en anomalías'?

Que compara el tráfico de red con un comportamiento normal predefinido. (B)

¿Por qué es importante actualizar periódicamente un sistema IDS?

Para mantener la base de datos de firmas actualizada contra nuevas amenazas. (B)

¿Cuál es la función principal de un switch de nivel de aplicación (capa 7 del modelo OSI)?

Analizar la información de la capa de aplicación (HTTP, DNS, FTP). (A)

¿Qué función realizan los conmutadores que incorporan capacidades de protección contra ataques de denegación de servicio (DoS/DDoS)?

Detectan y mitigan ataques que buscan sobrecargar los recursos del sistema. (A)

¿Qué es la 'fase de entrenamiento' en un IPS de host a nivel de aplicación?

El proceso de aprendizaje del comportamiento normal de las aplicaciones para detectar anomalías. (D)

¿Cómo se configuran los conmutadores híbridos?

Mediante la importación datos de un escáner de vulnerabilidades. (C)

¿Cuál es la principal novedad de los sistemas trampa respecto a los sistemas de seguridad tradicionales?

Atraer al atacante en lugar de evitarlo. (D)

¿Cuál es una ventaja de usar honeypots para la prevención?

Distraen a los atacantes y permiten aprender patrones de ataque. (C)

¿Cómo ayudan los honeypots en la detección de ataques?

Facilitando la distinción entre falsos positivos y verdaderos ataques. (B)

¿Cuál es el beneficio de usar honeypots en la respuesta ante incidentes?

Disminuyen el tiempo de respuesta al permitir analizar los ataques. (B)

¿Qué característica define a un honeypot de 'baja interacción'?

Emula servicios o sistemas operativos sin implementarlos realmente. (C)

¿Cuál es un riesgo potencial de usar un honeypot de 'alta interacción'?

Facilitar movimientos laterales dentro de sistemas reales si es comprometido. (C)

¿Qué ventaja ofrece un honeypot de 'media interacción'?

Maximizar la interacción posible de los atacantes minimizando riesgos. (B)

¿Cuál es el objetivo principal de un 'honeypot'?

Atraer a los atacantes simulando ser un sistema vulnerable. (A)

¿Qué diferencia a una 'honeynet' de un 'honeypot'?

Una honeynet utiliza equipos reales con sistemas operativos reales, mientras que un honeypot emula servicios. (B)

¿Para qué se utilizan principalmente las 'honeynets'?

Para investigar nuevas técnicas de ataque y el modus operandi de los intrusos. (C)

¿Cuál es la principal desventaja de los sistemas honeynet?

Requieren un alto nivel de conocimientos y experiencia para su instalación. (C)

¿Cuál es la función principal de un 'padded cell'?

Simular un entorno real para atraer a los atacantes sin causar daño. (B)

¿Qué sistema se utiliza para redirigir tráfico malicioso a un 'padded cell'?

Un detector de intrusos (IDS). (D)

¿Qué busca lograr Snort en modo sniffer?

Leer los paquetes de red y mostrarlos en consola. (D)

¿Cuál es la función del modo logger de Snort?

Guardar los paquetes en disco para su análisis. (B)

¿Qué modo de operación de Snort realiza detección y análisis basándose en reglas?

NIDS (B)

¿Cuál es el propósito del componente sniffer en la arquitectura de Snort?

Capturar paquetes de la interfaz. (A)

¿Cuál es la función del preprocesador en la arquitectura de Snort?

Formatear los paquetes capturados. (A)

¿Qué indica el parámetro -v al ejecutar Snort?

Mostrar todos los paquetes por consola. (B)

¿Cuál es el propósito de la opción -b al ejecutar Snort?

Almacenar los paquetes en formato binario. (D)

¿Qué tipo de información añade Snort al nombre de cada archivo de log?

Un sello temporal (timestamp). (D)

¿Qué archivo se especifica al lanzar Snort en modo NIDS?

El archivo de configuración. (B)

¿Qué parámetro de Snort es útil para analizar capturas de un incidente de seguridad??

-r (A)

Flashcards

¿Qué es un IDS?

Detecta accesos no autorizados a un equipo o red.

¿Qué es un IPS?

Añade filtrado al IDS, actuando activamente.

¿Qué hace un 'sniffer'?

Analiza paquetes de red buscando patrones sospechosos.

¿Qué es un HIDS?

IDS que opera en el host, detectando cambios.

¿Qué es un NIDS?

Detecta accesos no deseados a la red.

¿Qué es 'modo promiscuo'?

Software espía que examina el tráfico de la red.

¿Qué son 'firmas' en IDS?

Base de datos de ataques conocidos.

¿Qué es detección por anomalías?

Analiza tráfico comparándolo con comportamiento normal.

¿Qué control ofrece un IPS?

Control total del tráfico de la red.

¿Qué hace un switch de nivel de aplicación?

Balancea carga y protege contra ataques DoS/DDoS.

¿Qué es un 'honeypot'?

Simula ser un sistema vulnerable para atraer atacantes.

¿Cuáles son los tipos de 'honeypots'?

Baja, media y alta interacción.

¿Qué es una 'honeynet'?

Red entera diseñada para ser atacada.

¿Qué es un 'padded cell'?

Dirige tráfico malicioso a un entorno seguro.

¿Qué es Snort?

Captura, formatea y analiza tráfico de red.

¿Qué hace Snort en modo 'sniffer'?

Muestra paquetes en la consola.

¿Qué hace Snort en modo 'logger'?

Almacena paquetes en disco para análisis.

¿Qué hace Snort en modo NIDS?

Detecta y analiza tráfico con reglas.

¿Qué hace el componente 'sniffer' en Snort?

Captura paquetes de red.

¿Qué hace la acción 'alert' en Snort?

Genera una alerta.

Study Notes

Herramientas de seguridad: IDS/IPS y sistemas trampa

• Esta unidad introduce los conceptos de sistema de detección de intrusiones y sistemas señuelo, los cuales no ofrecen protección directa, pero sí información valiosa para proteger equipos y redes.

Sistemas de detección y prevención de intrusos

• Las redes internas están cada vez más expuestas a ataques debido a la interconexión a través de Internet.
• El análisis inteligente de amenazas se basa en el contexto, mecanismos, indicadores e implicaciones de una amenaza, según Gartner (McMillan, 2013).
• Los mecanismos de detección de intrusiones complementan la seguridad perimetral en el análisis inteligente de amenazas.
• Un sistema de detección de intrusiones (IDS) detecta actividades incorrectas, inapropiadas o anómalas en un sistema.
• Los sistemas de detección de intrusiones pueden trabajar en conjunto con cortafuegos, lo que incrementa el nivel de seguridad (IPS).
• El sistema de detección de intrusos (IDS) es un programa que permite detectar accesos no autorizados un equipo informático o una red.
• Los sistemas IDS detectan ataques de exploración de red o de sistemas y escáneres de vulnerabilidades.

Tipos de sistemas de detección de intrusos (IDS)

• Sistemas de detección de intrusos basados en equipo (HIDS) utilizan programas instalados en los equipos para detectar modificaciones y reportar sus conclusiones.
• Sistemas de detección de intrusos basados en red (NIDS) detectan accesos no deseados. Estos sistemas suelen incorporar un analizador de paquetes de red (sniffer).
• Los NIDS se despliegan en modo escucha (Tap mode) utilizando un equipo con dos interfaces de red: una para monitorizar el tráfico y otra para gestión/administración.
• La interfaz de monitorización se conecta a un dispositivo de escucha, y no tiene asignada una dirección IP.

Clasificación de los sistemas IDS por técnica de detección

• Sistemas basados en firmas: utilizan una base de datos de firmas de ataques conocidos.
• Sistemas basados en anomalías: comparan el tráfico o comportamiento con un patrón normal predefinido.
• Un sistema IDS debe actualizarse periódicamente para ser efectivo.
• Un sistema de prevención de intrusos (IPS) es un IDS con un cortafuegos añadido para filtrar el tráfico.
• Los IPS ofrecen nuevas funcionalidades con respecto a los IDS ya que, además de permitir la detección de ataques, son capaces de prevenirlos.
• Los IPS se despliegan en modo en línea (on-line mode) y tienen al menos tres interfaces de red. Una para recibir el tráfico del exterior, otra para redirigir el tráfico a la red interna y otra para tareas de gestión y administración.
• Un sistema IPS debe actualizarse periódicamente para ser efectivo.

Otros dispositivos

• Switch de nivel de aplicación: analiza información de aplicación (DNS, HTTP, FTP, etc.) para balanceo de carga y protección contra ataques DoS/DDoS.
• IPS de host a nivel aplicación: se instalan en el sistema final a proteger y analizan elementos como la gestión de la memoria o intentos de conexión. Realiza una fase de entrenamiento para establecer un modelo de comportamiento normal y bloquear las acciones no definidas en el perfil.
• Conmutador híbrido: es una conbinación entre los switches de nivel de aplicación y los IPS de host, funcionando a través de la definición de políticas de seguridad e importando datos obtenidos de escáneres de vulnerabilidades.

Sistemas trampa

• Los sistemas trampa atraen al atacante en lugar de evitarlo.

Valor de los sistemas trampa

• Prevención: distraen a los atacantes, los exponen a patrones y nuevas amenazas almacenando la interacción realizada.
• Detección: facilitan la detección al reducir los falsos positivos.
• Respuesta: permiten analizar los ataques para disminuir el tiempo de respuesta.

Tipos de honeypots

• Baja interacción: emulan servicios o sistemas operativos sin implementarlos realmente y suponen un riesgo reducido a la organzación pero son fácilmente detectados y capturan poca información.
• Alta interacción: utilizan sistemas operativos, servicios y aplicaciones reales, lo cual facilita al atacante la creencia de que está comprometiendo algo real,capturan mucha más information y deben protegeerse adecuadamente.
• Media interacción: intentan combinar las ventajas e inconvenientes de los anteriores, maximizando la interacción y minimizando el riesgo a través de la virtualización.
• El proyecto T-Pot ofrece un conjunto de honeypots de baja o media interacción.

Definición de Honeypot y Honeynet

• Honeypot: sistema cuyo objetivo es atraer atacantes simulando ser un sistema débil o vulnerable.
• Honeynet: red entera diseñada para ser atacada y recabar más información sobre posibles atacantes usando equipos reales (físicos o virtuales).
• Las honeynets ayudan a descubrir nuevos tipos de ataques y permiten mejorar los motores de detección de intrusiones.

Padded cell

• Los sistemas padded cell funcionan con IDS y simulan un entorno real para comprender los métodos de ataque de los intrusos.
• Se puede utilizar un sistema «Bait and Switch» con IDS Snort donde se instalen tres interfaces de red redirigiendo así el tráfico malicioso a el padded cell sin que el atacante se de cuenta.

Snort: Funcionamiento práctico

• Snort es una herramienta que aglutina las capacidades de un analizador de paquetes, tanto de un sistema de detección como de prevención de intrusos (IDS e IPS).
• Originalmente, en 1998, fue ideado como una herramienta de análisis de paquetes de red implementada sobre libcap y, poco a poco, se fue convirtiendo en lo que hoy en día es el IPS open source más utilizado mundialmente. Es mantenido y desarrollado actualmente por CISCO, que compró en 2013 la empresa Sourcefire.

Modos en los que puede trabajar Snort

• Modo sniffer: lee los paquetes que atraviesan la interfaz de red monitorizada y los muestra por consola.
• Modo logger de paquetes: en lugar (o de forma adicional) de mostrar los paquetes por consola, los almacena en disco para su posterior análisis.
• Modo sistema de detección de intrusos en red (NIDS): en este modo realiza una detección y análisis del tráfico de red con base en las reglas cargadas. Es el modo más complejo y flexible del programa.

Componentes de Snort

• Sniffer: captura los paquetes de la interfaz especificada.
• Preprocesador: formatea los paquetes de modo que sean más fácilmente interpretables.
• Motor de detección: toma decisiones con base en las reglas cargadas para lanzar o no un alerta o almacenar el paquete.
• Salida: componente encargado de una alerta o almacenar el paquete.
• Para ejecutar Snort en modo sniffer y mostrar todos los paquetes por consola se utiliza el comando snort -dev.
• Para lanzarlo en modo logger se escribe snort -dev -l /var/log/snort para especificar el directorio en el que guardar los paquetes.
• Para ahorrar tiempo de procesamiento se escribe snort -b -l /ruta/al/directorio/log
• Para lanzar Snort en modo NIDS se debe añadir es archivo que contiene la definición con las reglas, mediante el comando snort -c/ruta/al/snort.conf -l /ruta/al/directorio/log.

Reglas y acciones en Snort

• La definición de una regla en Snort se divide en dos partes: cabecera y opciones.
• La cabecera incluye la acción a realizar, el protocolo, IP de origen, puerto de origen, dirección del flujo de la comunicación, IP de destino y puerto de destino.

Acciones posibles

• alert: genera una alerta y guarda el paquete.
• log: guarda el paquete.
• pass: ignora el paquete.
• activate: lanza una alerta y activa otra regla.
• dynamic: permanece inactiva hasta que se activa por otra regla
• drop: bloquea y guarda el paquete.
• reject: bloquea, guarda el paquete y envía un TCP reset si el protocolo es TCP o un ICMP port unreachable si el protocolo es UDP.
• sdrop: bloquea el paquete, pero no lo guarda.
• Existen numerosas opciones que pueden influir en una regla, como:
  • msg: mensaje que se muestra asociado a la alerta.
  • sid: identificador único de la regla.
  • rev: identificador de revisión o cambio de la regla.