miércoles, julio 22, 2015

Herramientas para afinar y complementar IDS Snort.

El IDS Snort es de los mas populares, debido a ser multiplataforma y estar bajo una licencia GPL. También dispone de una gran cantidad de filtros o patrones ya predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad. Otro de sus puntos fuertes es su flexibilidad, que puede afinarse y complementarse con herramientas como:  IDS Policy Manager (Configuración remota de políticas),  SAM (Monitorización en tiempo real), Scanmap3d (visualización en 3D del trafico), Cyberprobe (Herramienta de motorización de redes contra ciberataques) y  Nebula (Herramienta de creación automática de firmas).



IDS Policy Manager, puede configurar las políticas de Snort de forma remota y con un intuitivo interfaz grafico. Esta herramienta facilita mucho la configuración de Snort. Además IDS Policy Manager permite realizar cambios rápidos en la configuración del IDS para darle más eficacia al sistema, en caso de incidencias puntuales.

Entre sus funciones destaca:

  • Combina las nuevas reglas con reglas existentes.
  • Actualización de reglas vía Internet.
  • Permite cargar los archivos vía: SFTP, ftp o compilándolos directamente.
  • Reinicia los sensores del Snort después de modificar las reglas.
  • Permite realizar hacer copias de seguridad de las políticas.
  • Soporta Snort® 2.8.

Es una herramienta ideal para administradores de sistemas, porque gracias a esta herramienta se pueden tener varias configuraciones de Snort para cada situación. Además simplifica mucho la configuración de políticas.

Más información y descarga de IDS Policy Manager:
http://ccm.net/download/download-5936-ids-policy-manager


SAM (Snort Alert Monitor), permite realizar una monitorización real de Snort. SAM ofrece muchas alternativas para indicar una intrusión detectada por Snort, además de mostrar gráficos muy representativos sobre la actividad del ids.

SAM posee alarmas visuales y sonoras para indicar una intrusión, también puede programársele para enviar alertas al email, aunque esta función ya es propia de snort. Al estar programado en Java puede ser utilizado desde cualquier plataforma, pero SAM tiene que estar instalado en un servidor Web Apache con MySQL o JDBC.

Más información y descarga de SAM:
http://sourceforge.net/projects/snortalertmon/


Scanmap3d, es un programa escrito en Java como una demostración de concepto para la visualización de información de detección de intrusiones en la red. El programa lee la información que genera el IDS Snort en una una base de datos MySQL y produce un mapa 3D de tráfico de la red ayudándose de un tcpdump.

Más información y descarga de Scanmap3d:
http://scanmap3d.sourceforge.net/


Cyberprobe, es una arquitectura de software distribuido para la monitorización de redes contra ciberataques. Se puede integrar con el IDS Snort, de manera que los datos capturados de un ataque, se contrasta la dirección IP con los datos recogidos por Snort.

El proyecto Cyberprobe es un código abierto distribuido arquitectura para la monitorización en tiempo real de las redes de contra ataque. El software consta de dos componentes:
  • Cyberprobe, una sonda que recoge los paquetes de datos y lo reenvía a través de una red en protocolos de transmisión estándar.
  • Cybermon, un monitor que recibe los paquetes de streaming, decodifica los protocolos e interpreta la información.

Estos componentes se pueden utilizar juntos o por separado. Para una configuración sencilla, se pueden ejecutar en el mismo host, para los entornos más complejos una serie de sondas puede alimentar a un solo monitor.

La sonda, cyberprobe tiene las siguientes características:

  • Puede recoger los paquetes de una interfaz y remitirlos a una lista de direcciones IP configurable.
  • Permite configurarse para recibir alertas de Snort. En esta configuración, cuando se recibe una alerta de Snort, la dirección IP de origen asociado con la alerta está dirigida de forma dinámica por un período de tiempo. En esta configuración, el sistema recogerá datos de cualquier host de la red que desencadena una regla de Snort y por lo tanto se identifica como un potencial atacante.
  • La sonda puede opcionalmente ejecutar una interfaz de gestión que permite la interrogación remota del estado y la alteración de la configuración. Esto permite que la alteración dinámica del mapa focalización y la integración con otros sistemas.
  • La sonda se puede configurar para entregar datos en dos protocolos de transmisión estándar.

La herramienta de seguimiento, cybermon tiene las siguientes características:

  • Recoge los paquetes entregados en los protocolos de streaming.
  • Decodifica protocolos y plantea eventos en tiempo real.
  • El usuario define mediante configuración cómo se maneja la información decodificada. Mediante un lenguaje de configuración sencilla (LUA) y con configuraciones de ejemplo que se proporcionan para controlar: los volúmenes de datos, hexdumps de datos de visualización y exportar los datos en archivos.
  • Técnicas de falsificación de paquetes, que permiten restablecer conexiones TCP y falsificar respuestas DNS. Con el fin de luchar contra los ataques a la red.
  • Soporta los protocolos IP, TCP, UDP, ICMP, HTTP y DNS.

El código de esta herramienta está destinado para la plataforma Linux, aunque es lo suficientemente genérico como para ser aplicable a otras plataformas.

Más información y descarga de Cyberprobe:
http://sourceforge.net/projects/cyberprobe/?source=directory 


Nebula, una herramienta de creación automática de firmas para Snort. Su funcionamiento consiste en ejecutarse como demonio y recibir ataques a través de un honeypot, inmediatamente Nebula genera una firma de ese ataque en lenguaje Snort. Nebula está diseñado para trabajar con los honeypot: Honeytrap y Argos.

Puede ayudar a asegurar una red automáticamente derivando e instalando reglas para filtrar ataques en el IDS Snort. También sirve para crear reglas de una forma rápida y fácil o para aprender a crear reglas de determinados ataques simulados previamente.

Más información y descarga de Nebula:
http://nebula.carnivore.it/

Más información y descarga de honeypot Argos:
http://www.few.vu.nl/argos/

Más información y descarga de honeypot Honeytrap:
http://sourceforge.net/projects/honeytrap/

miércoles, julio 15, 2015

Herramienta de seguridad que se puede utilizar tanto como un sistema de detección de intrusos como de auditoría de seguridad.

Tiger es una herramienta de seguridad que se puede utilizar tanto como un sistema de detección de intrusos como de auditoría de seguridad. Es compatible con múltiples plataformas UNIX y esta bajo una licencia GPL. A diferencia de otras herramientas, Tiger sólo necesita de herramientas POSIX y está escrito enteramente en el lenguaje shell.


Tiger tiene algunas características interesantes como: un diseño modular que es fácil de ampliar y puede ser utilizado como una herramienta de auditoría o una herramienta de sistema de detección de intrusiones en el host. El software gratuito de detección de intrusiones actualmente se encuentra de muchas maneras, desde IDS de red (como Snort), en el kernel (LIDS o SNARE para Linux y Systrace para OpenBSD, por ejemplo), sin mencionar sistemas auditores de integridad de archivos (como: aide, integrit samhain, tripwire ...) y testadores de logs. Pero pocos de ellos se centran en la detección de intrusos en el lado del host.

Tiger complementa estas herramientas y también proporciona un marco en el que todos ellos pueden trabajar juntos. Tiger no es un testador de logs, ni se centra en el análisis de la integridad de archivos, Tiger verifica la configuración del sistema y el estado del mismo. Un buen ejemplo de lo que Tiger puede hacer es, por ejemplo, el módulo "check_findeleted", que puede determinar que los servicios se ejecutan en un sistema están utilizando archivos borrados (porque las bibliotecas fueron parcheadas durante una actualización, pero en los servicios del servidor no fueron renovadas).

Si se desea ejecutarlo, sin tomar en cuenta las consideraciones de tiempo a la hora de generar un informe, solo hay que ir al directorio y ejecutarlo con la sentencia './tiger' como 'root'. El archivo de configuración 'tigerrc' está configurado para un host genérico y permite todos los controles. Se puede personalizar este archivo como sea necesario, esto influirá en el tiempo de generación del informe de resultados.

Más información y descarga de Tiger:
http://www.nongnu.org/tiger/

miércoles, julio 08, 2015

Estudiar hábitos de navegación en servidor DNS para detectar posibles amenazas.

Estudiar los hábitos de navegación de los usuarios de una red, en las estadísticas del servidor DNS, puede ayudar a detectar amenazas como: malware, ordenadores zombie pertenecientes botnets, phishing, pharming... En este post tratare de dos herramientas ideales para este cometido, una para generar estadísticas gráficas y otra para investigar a fondo los resultados sospechosos de estas estadísticas.


Para generar estadísticas gráficas DSC, es un sistema para la recogida y exploración de las estadísticas de los servidores DNS en funcionamiento. Actualmente cuenta con dos componentes principales:

  • Colector, el proceso colector utiliza libpcap para recibir mensajes DNS enviados y recibidos en una interfaz de red. Se puede ejecutar en la misma máquina que el servidor DNS, o en otro sistema conectado a un conmutador de red configurado para realizar puerto espejo. Un archivo de configuración define un número de conjuntos de datos y otras opciones. Los conjuntos de datos son guardados en disco cada 60 segundos como archivos XML. Los archivos XML son enviados mediante una tarea programada a un servidor independiente para ser archivados y posteriormente ser procesados.
  • Presentación, este componente recibe conjuntos de datos XML del colector. La tarea de analizar archivos XML es lenta, debido a un proceso de extracción que los convierte a otro formato. Actualmente ese formato es un archivo de texto basado en línea.

Dsc utiliza un script CGI para mostrar los datos en un navegador web. La interfaz permite cambiar las escalas de tiempo, seleccionar los nodos particulares dentro de un clúster de servidores y aislar las claves de conjuntos de datos individuales.

Mas información y descarga de dsc:
http://dns.measurement-factory.com/tools/dsc/

Cuando en este generador de estadísticas encontramos dominios o consultas sospechosos. Podemos investigar mejor los datos con dnstop.

Dnstop es una aplicación libpcap que muestra diversas estadísticas de tráfico DNS en la red. Actualmente dnstop muestra tablas de:

  • Direcciones IP de origen.
  • Las direcciones IP de destino.
  • Los tipos de consulta.
  • Los códigos de respuesta.
  • Opcodes.
  • Dominios de nivel superior.
  • Dominios de segundo nivel.
  • Dominios de tercer nivel.

Dnstop soporta tanto las direcciones IPv4 e Ipv6. Su principal cometido es ayudar a encontrar las consultas DNS especialmente indeseables a través de una serie de filtros. Los filtros sirven para mostrar sólo las siguientes tipos de consultas:

  • Para TLD desconocidos o no válidos.
  • Consultas donde el nombre de la consulta ya es una dirección IP.
  • Consultas PTR para espacio de direcciones  RFC1918.
  • Respuestas con código rechazados.

Dnstop puede o bien leer los paquetes capturados desde un interfaz de red o de un archivo de captura tcpdump.

Más información y descarga de dnstop:
http://dns.measurement-factory.com/tools/dnstop/index.html

Con las estadísticas gráficas de dsc resulta mas practico detectar amenazas en consultas DNS. Una vez detectadas estas amenazas se puede obtener mas información de estas consultas concretas con dnstop. Al obtener resultados sobre posible dominios sospechosos podemos consultar su reputación en una blacklist y analizar dicho dominio con un servicio online antivirus.

Blaclist de dominios online:
http://mxtoolbox.com/domain/

Servicio online antivirus:
https://sucuri.net/scanner


Post anteriormente publicados en este blog relacionados con seguridad en servidores DNS:

Herramientas para auditar seguridad de servidores DNS:
http://www.gurudelainformatica.es/2015/06/herramientas-para-auditar-seguridad-de.html 

Obtener hábitos de navegación de servidor DNS con técnicas de DNS Snooper. http://www.gurudelainformatica.es/2015/01/obtener-habitos-de-navegacion-de.html