RT Generic
T1 Estudio de un IDS Open Source frente a herramientas de análisis y explotación de vulnerabilidades
A1 Gascón Polanco, Hugo
AB Ante el vertiginoso ritmo de cambio inherente al mundo de la seguridad de los sistemas de información y la necesidad constante de actualización de los sistemas implicados en la misma, surge la motivación original de este proyecto: analizar la respuesta desde un punto de vista tanto teórico como práctico de Snort, un sistema de detección de intrusiones en red open source de amplia difusión, frente a herramientas de explotación y detección de vulnerabilidades. El sistema de detección de intrusiones (IDS) es una herramienta básica a la hora de garantizar la integridad y disponibilidad de los sistemas en redes IP, de ahí, el interés en analizar la adecuación de la respuesta ante diversas herramientas que se encuentran en competición directa con el mismo y que permiten identificar vulnerabilidades en auditorías de sistemas o en muchos casos, realizar ataques para aprovechar vulnerabilidades accesibles de forma remota. Snort es un IDS desarrollado por Sourcefire bajo licencia GNU y su funcionamiento está basado en la identificación de ataques por reglas, permitiendo inspeccionar tanto protocolos como anomalías en el tráfico de red. Ha sido descargado por millones de usuarios y existen más de 225.000 registrados, por lo que podríamos decir que Snort es un estándar de facto en cuanto a tecnología de detección de intrusiones. Aunque existen distintos enfoques y métricas a la hora de determinar la eficacia de este tipo de sistema, la rapidez de los procesos de actualización y el número de ataques que pueden ser detectados son indicadores significativos de su efectividad. El primer paso de este proyecto ha sido determinar, mediante un análisis comparativo, las ventanas de vulnerabilidad de Snort frente a la aparición de nuevos fallos y respecto a la actualización de Nessus, una herramienta de detección de vulnerabilidades que se utiliza de forma habitual para comprobar la respuesta del sistema de detección de intrusiones. Para ello, se han analizado datos relativos a los ataques a vulnerabilidades identificados por Snort y las fechas de aparición de las mismas. Se han generado gráficas y medidas estadísticas de los retardos de actualización que han permitido verificar la existencia de dichos retardos y ofrecer valores comparativos de los mismos. Por último, se ha demostrado cómo los procesos de actualización de las aplicaciones vulnerables dan lugar a ventanas de vulnerabilidad menores que aquellas asociadas a la actualización de las aplicaciones destinadas a protegerlas, es decir, los sistema de detección de intrusiones y de análisis de vulnerabilidades. Una vez conocidos, de forma teórica y estadística, los retardos presentes en la actualización del sistema detector de intrusiones, y tras la configuración de un entorno de pruebas adecuado, con los elementos necesarios para simular procesos de ataque y detección (atacante, objetivo y detector de intrusiones), se han realizado diversas pruebas de concepto para analizar de forma experimental la respuesta de Snort ante herramientas de detección y explotación de vulnerabilidades. Las herramientas seleccionadas son aquellas que son habitualmente utilizadas en las distintas etapas de un ataque: Nmap, un software de análisis de puertos para la identificación remota de los sistemas o fingerprinting, Nessus, para la identificación de las vulnerabilidades existentes en los mismos, y el entorno de desarrollo y ejecución remota de exploits Metasploit, que permite la explotación de las vulnerabilidades con el objetivo de tomar el control de los sistemas atacados. Para analizar la respuesta de Snort ante intentos de detectar los servicios disponibles en un sistema de red, se han realizado distintas pruebas con Nmap. Se han utilizado diferentes configuraciones de este analizador de puertos y se han aplicado técnicas de ocultación y evasión del análisis para comprobar la fiabilidad de la respuesta de Snort. Se ha comprobado cómo las estrategias de detección de Snort se encuentran adecuadas a los mecanismos de análisis de Nmap, obteniéndose resultados positivos en cuanto a identificación y detección de los ataques de reconocimiento. En segundo lugar se han realizado diferentes pruebas de concepto en las que se ha intentado verificar la presencia de servicios vulnerables en un sistema configurado para este fin y se ha comprobado la respuesta de Snort ante el sistema de detección de vulnerabilidades. Para ello se ha utilizado el escáner Nessus, habitual en tareas de auditoría y que ha permitido poner de manifiesto algunas debilidades en cuanto a su efectividad a la hora de verificar el funcionamiento de un IDS, como la dificultad para identificar de forma unívoca la respuesta del sistema detector de intrusiones ante un ataque o la generación de ruido con envío de tramas ajenas a la vulnerabilidad cuya respuesta se busca analizar. Por último, se ha analizado la respuesta de Snort ante el ataque directo realizado con exploits, fragmentos de código que permiten aprovechar una vulnerabilidad en un sistema permitiendo el control del mismo por el atacante o provocando un fallo en el servicio. El entorno de ejecución de código malicioso Metasploit, ha permitido realizar una serie de ataques estandarizados contra un sistema linux preparado como objetivo. Con la realización de esta serie de ataques se ha comprobado la respuesta de Snort ante la presencia de exploits individuales y la detección realizada por su motor de reglas, diseñado específicamente para detectar este tipo de código. Se muestra como a pesar de la dificultad para realizar un ataque exitoso sobre un sistema vulnerable, el sistema detector de intrusiones permite identificar de forma limitada aunque satisfactoria tales intentos de explotación.
YR 2010
FD 2010
LK https://hdl.handle.net/10016/11213
UL https://hdl.handle.net/10016/11213
LA spa
DS e-Archivo
RD 1 sept. 2024