Sistemas Ids y Análisis de Incidentes

Motivación

Una reciente encuesta sobre el porque de los fracasos de las empresas .com, apuntaba a la seguridad como el factor más determinante. Inicialmente, y ante el temor a su seguridad, muchas empresas no mantenían servidores conectados o no utilizaban Internet para su desarrollo diario. Hoy en día nadie se plantea prescindir de Internet como medio de trabajo. Su seguridad es un problema que hay que afrontar de forma eficaz.

Uno de los principales problemas de seguridad que se plantean es la detección de las intrusiones, ya que recientes estudios demuestran que estas pasan desapercibidas en gran medida y como punto añadido es de vital importancia el saber analizar correctamente los sistemas que han sido fruto de un ataque.

Objetivo

Después de la realización del curso los asistentes habrán obtenido una amplia visión de como planificar de manera correcta la detección de intrusiones, como analizar un sistema que ha sufrido un ataque y serán capaces de organizar correctamente un plan de respuesta a incidentes.

Características generales

Los asistentes realizan ejemplos reales de protección y análisis de equipos que han sufrido intrusiones. Cada aspecto se plantea inicialmente desde el lado del intruso, una vez comprendido, se mostrará su posible solución, y lo que es más importante, las medidas preventivas necesarias para evitarlo

Documentación:

• Manual de Análisis Forense por Instituto Seguridad Internet
• CDs con todas las herramientas y prácticas

1. Introducción

En este módulo se introduce el problema de la seguridad en los sistemas informáticos. El primer paso para asegurar cualquier cosa es conocer contra quién y de que nos debemos proteger. En esta introducción, se desvelan los diferentes tipos de intrusos que pueden atacar los servidores de la organización. Finalmente se detallan los conceptos necesarios para poder entender el protocolo TCP/IP como base de los temas posteriores

• Seguridad en los servidores Internet
• Conceptos de seguridad
• Seguridad en TCP/IP
• Nociones de TCP/IP avanzado
  • Fragmentación
  • Falsificación IP
  • Opciones IP
  • Protocolo ICMP
• Herramientas de análisis de protocolos
  • Monitores de red
  • Generadores de paquetes

2. Técnicas de detección de intrusiones

El presente capitulo presenta la definición de que son los detectores de intrusiones y para que sirven, de manera adicional detalla las técnicas de detección existentes y sus posibles usos.

En primer lugar se realiza un repaso sobre la historia de los detectores de intrusión así como una introducción para entender su significado, en segundo lugar se pasa a justificar su existencia así como las diferencias con los elementos clásicos de la seguridad y para finalizar se introducirán las técnicas existentes que serán puestas en práctica en el siguiente tema.

Como complemento a las técnicas de detección, se detalla de manera teórica las necesidades de un plan de respuesta a incidentes así como las connotaciones del mismo

• Historia de los IDS
• La razón de los IDS
• Técnicas de detección
  • Detección de patrones anómalos
  • Detección basada en Firmas
  • Inteligencia Artificial
• Plan de respuesta a incidentes: Incidente/Respuesta

3. Tipos de IDS

En el presente capitulo se detallan todos los tipos de IDS conocidos así como su correcta utilización, por lo tanto se explica la puesta en práctica de las técnicas aprendidas en el capítulo anterior y su implementación en los productos comerciales.

El presente capítulo utiliza el mismo patrón de enseñanza para los tipos de IDS: explicación con su posterior configuración, ataque con la visualización del mismo, técnicas para la evasión y reconfiguración para la detección avanzada.

• IDS de Sistema
  • Detección de los paquetes de entrada/salida
  • Auditoria de sistema
  • Registro de actividad
  • Chequeo de Integridad
  • IDS de Kernel
  • El caso de los Antivirus
• IDS de Red
• IDS de Sistema y Red usados en combinación
• IDS distribuidos
  • Servidor Central de Agentes
  • Red de Agentes
  • Correlación de Eventos
• Consolas de Seguridad
• Honeypots/HoneyNets
• El futuro de los IDS

4. Análisis forense - Captura de la evidencia

El primer paso de cualquier análisis forense consiste en la captura de la evidencia. Por evidencia se entiende todo aquella información que pueda ser procesada en un análisis detallado. El fin de este análisis es la interpretación lo más exacta posible del suceso ocurrido. Siempre ha existido una polémica no solucionada sobre si se debe realizar la captura de la evidencia y en como realizarla. El objetivo fundamental es que en el proceso de la captura no se altere, o que sea en la menor medida posible, el escenario a analizar.

• Evidencia Volátil
  • Memoria del sistema
  • Servicios – Procesos – Device drivers
  • Puertos abiertos
  • Conexiones establecidas
  • Cuentas de usuarios y grupos
  • Información de red
• Discos
  • Herramientas de duplicación de discos

5. Análisis de la evidencia volátil

En capítulos anteriores se veía qué información debe ser adquirida antes de apagar un sistema. En este capítulo veremos que operaciones hacer y cuales son las posibles evidencias que se pueden encontrar en la información capturada

• Memoria del sistema
• Servicios – Procesos – Device drivers
• Puertos abiertos
• Conexiones establecidas
• Cuentas de usuarios y grupos
• Red
• Rootkits

6. Análisis de la información de disco

La parte más importante de cualquier análisis forense es analizar y correlar la información que se nos suministra de los posibles registros que tengamos. Si esa información no esta disponible o es insuficiente será necesario realizar un análisis forense exhaustivo del sistema. Para ello se deberán realizar búsquedas de información relativa al caso en las evidencias obtenidas, que básicamente serán, volátil e imagen de disco.

En la parte final de este capítulo se analizarán los sistemas de archivos Windows (FAT y NTFS) y el sistema de archivos ext2 de Linux. Como se verá en la propia descripción de estos sistemas de archivos la metodología es aplicable a cualquier otro sistema de archivos que el analista forense se encuentre

• Ficheros especiales
• Archivos comprimidos
• Archivos cifrados
• Memoria en disco: Pagefile.sys, Swap Partition
• Sistemas de archivos
  • FAT16/FAT32
  • NTFS
  • Ext2/Ext3
• Análisis de la imagen capturada
  • Clasificación de ficheros por fechas
  • Borrado de archivos – Parcial y Total
  • Espacio libre y espacio de relleno (slack space)
  • Ocultación de archivos
  • Búsqueda de patrones en disco
  • Búsqueda de programas maliciosos – Comparación de HASHes

7. Análisis forense de sistemas cliente

Mucho más abundantes que las intrusiones en servidores son las intrusiones en sistemas cliente. En muchos casos estas intrusiones se realizan teniendo como objetivo el acceso a servidores a los que el usuario víctima tiene derecho. Esto es debido a que normalmente los puestos de los usuarios son el eslabón más débil de la cadena de seguridad de un sistema.

• Interacción con Internet
  • Detectores de intrusos en sistemas clientes
  • Correo electrónico – Outlook
  • Navegación Web – Internet Explorer
• Técnicas de ocultación de código móvil
• Análisis de documentos
  • Microsoft

8. Análisis de programas sospechosos

Cuando el conjunto de evidencias encontradas no nos da toda la información requerida o cuando se ha identificado un programa como sospechosos, será necesario realizar un análisis más profundo del citado fichero.

• Estructura de los ficheros ejecutables
• DLLs y librerías
• Análisis en ejecución
  • Entorno seguro de pruebas
  • Interacción con el sistema