PFsense con IDS ( Intrusion Detection System ) = SNORT

Publicada en Publicada en Pfsense, Pfsense (EN)

Sistema de detección de intrusiones (IDS)

Introducción

El término IDS (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión.

Existen dos claras familias importantes de IDS:

  • El  IDS (Sistema de detección de intrusiones de red), que garantiza la seguridad dentro de la red.
  • El IDS (Sistema de detección de intrusiones en el host), que garantiza la seguridad en el host.

UnIDS necesita un hardware exclusivo. Éste forma un sistema que puede verificar paquetes de información que viajan por una o más líneas de la red para descubrir si se ha producido alguna actividad maliciosa o anormal. El IDS pone uno o más de los adaptadores de red exclusivos del sistema en modo promiscuo. Éste es una especie de modo “invisible” en el que no tienen dirección IP.

Es común encontrar diversos IDS en diferentes partes de la red. Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.

Por lo tanto, su software cubre una amplia gama de sistemas operativos como Windows, Solaris, Linux, HP-UX, Aix, etc.

El IDS actúa como un daemon o servicio estándar en el sistema de un host. Tradicionalmente, el H-IDS analiza la información particular almacenada en registros y también captura paquetes de la red que se introducen/salen del host para poder verificar las señales de intrusión (como ataques por denegación de servicio, puertas traseras, troyanos, intentos de acceso no autorizado, ejecución de códigos malignos o ataques de desbordamiento de búfer).

Técnicas de detección

El tráfico en la red generalmente está compuesto por datagramas de IP. Un IDS puede capturar paquetes mientras estos viajan a través de las conexiones físicas a las que está sujeto. Un IDS contiene una lista TCP/IP que se asemeja a los datagramas de IP y a las conexiones TCP.

Puede aplicar las siguientes técnicas para detectar intrusiones:

  • Verificación de la lista de protocolos: Ping de la muerte y escaneo silencioso TCP utilizan violaciones de los protocolos IP, TCP, UDP e ICMP para atacar un equipo.
  • Verificación de los protocolos de la capa de aplicación: Algunas formas de intrusión emplean comportamientos de protocolos no válidos, como “WinNuke”, que utiliza datos NetBIOS no válidos (al agregar datos fuera de la banda). Para detectar eficazmente estas intrusiones, un N-IDS debe haber implementado una amplia variedad de protocolos de la capa de aplicación, como NetBIOS, TCP/IP, etc. Os acordais de lo que le paso a TELEFÓNICA el año pasado en su red ¿?:??? .Esto es el caso exacto.
  • Reconocimiento de ataques de “comparación de patrones”: Esta técnica de reconocimiento de intrusión es el método más antiguo de análisis IDS y todavía es de uso frecuente.

La ventaja principal de esta técnica radica en la facilidad de actualización y también en la gran cantidad de firmas que se encuentran en la base N-IDS. Sin embargo, cantidad no siempre significa calidad. Por ejemplo, los 8 bytes “CE63D1D2 16E713CF”, cuando se colocan al inicio de una transferencia de datos UDP, indican un tráfico Back Orifice con una contraseña predeterminada.

Aunque el 80% de las intrusiones utilicen la contraseña predeterminada, el 20% utilizarán contraseñas personalizadas y no serán necesariamente reconocidas por el N-IDS.

Por ejemplo, si la contraseña se cambia a “evadir”, la serie de bytes se convertirá en “8E42A52C 0666BC4A”, lo que automáticamente la protegerá de que el N-IDS la capture. Además, la técnica inevitablemente conducirá a un gran número de falsas alarmas y falsos positivos.

Existen otros métodos para detectar e informar sobre intrusiones, como el método Pattern Matching Stateful, y/o para controlar el tráfico peligroso o anormal en la red.

Qué hace un IDS

Los principales métodos utilizados por IDS para informar y bloquear intrusiones son:

  • Reconfiguración de dispositivos externos (firewalls o ACL en routers): Comando enviado por el N-IDS a un dispositivo externo (como un filtro de paquetes o un firewall) para que se reconfigure inmediatamente y así poder bloquear una intrusión. Esta reconfiguración es posible a través del envío de datos que expliquen la alerta (en el encabezado del paquete).
  • Envío de una trampa SNMP a un hipervisor externo: Envío de una alerta (y detalles de los datos involucrados) en forma de un datagrama SNMP a una consola externa como HP Open View Tivoli, Cabletron, Spectrum, etc.
  • Envío de un correo electrónico a uno o más usuarios: Envío de un correo electrónico a uno o más buzones de correo para informar sobre una intrusión seria.
  • Registro del ataque: Se guardan los detalles de la alerta en una base de datos central, incluyendo información como el registro de fecha, la dirección IP del intruso, la dirección IP del destino, el protocolo utilizado y la carga útil.
  • Almacenamiento de paquetes sospechosos: Se guardan todos los paquetes originales capturados y/o los paquetes que dispararon la alerta.
  • Apertura de una aplicación: Se lanza un programa externo que realice una acción específica (envío de un mensaje de texto SMS o la emisión de una alarma sonora).
  • Envío de un “ResetKill”: Se construye un paquete de alerta TCP para forzar la finalización de una conexión (sólo válido para técnicas de intrusión que utilizan el protocolo de transporte TCP).
  • Notificación visual de una alerta: Se muestra una alerta en una o más de las consolas de administración.

Con Snort aparece toda esta informacion para que puedas valorarlo.

Snort + Pfsense = IDS Completo

La solución de SNORT integrada con PFSENSE ( Firewall ) es la que se basa este manual. De inicio regístrate en Snort con una cuenta free de la base de datos de la comunidad.

Activar ( Enable Snort VRT ) y acceder al enlace de Sign Up for a free Registered User Rules Account.

al pulsar este enlace te llevara a la siguiente web : https://www.snort.org/

Date de alta con datos reales para que la web de te un OINKCODE real…nada de datos falsos…. No te van a cobrar nada hasta que no quieras una version pro.

El oinkcode lo tienes aqui : PULSA TU EMAIL y te llevará a los datos personales. Si quieres una subscripcion de pago te la recomiendo , sobre todo para redes más completas y que sean profesionales. Piensa que SNORT es un sistema de seguridad y invertir en Seguridad es “tranquilidad”.

Alertas

Snort con paquete (filtro) da la capacidad de bloquear IP maliciosa. La ip bloqueada aparecerá en el apartado de BLOCKED. Imagen a continuación.

Blocked Hosts

En este apartado aparecen las ips bloqueadas y con la configuración de poder ver el límite 500 por defecto.

Se puede ampliar si se va aumentado esa cifra.

También se pueden descargar los hosts pulsando el botón de download .Imagen a continuación.

Pass Lists

Por defecto LAN Local está generalmente en la lista de pase.

Se pueden añadir más listas con su descripción para que el sistema se “salte” el análisis persistente.

Muestro el menú de añadir un listado.

Como se puede observar se pueden auto-generar opciones a través de la propia informacion que tiene el Pfsense del firewall, vpns configuradas, etc…

Al seleccionar el campo deseado automáticamente recoge esa informacion y la añade al Snort.

Es muy útil si tenemos todos “los servicios” muy bien configurados.

Por ultimo podemos añadir la IP que queramos excluir del análisis como por ejemplo un servidor de aplicaciones local, para el departamento de contabilidad porque suelen dar problemas posteriormente y por ello las repetidas llamadas de los usuarios.

Reputation List ( IP LIST)

Lista de direcciones ip que puede ser cargadas desde la comunidad Pfsense. Nota: En el apartado de Global Settings se puede activar dicha opción. En el actual ejemplo existe un listado descargado de la comunidad Pfsense con la fecha de actualización.

Estos listados ya han sido aprobados como amenazas reales. Por lo que no los borraría . Los podemos analizar y ver que ips son e información al respecto pero mi recomendación es que no se borren. Es información correcta para nuestro funcionamiento.

Este menú es para activar la opción de guardar el logs las alertas, listas, eventos, estadísticas. Os recomiendo daros de alta directamente en la version free.

Por defecto es el 20 % del volumen de espacio libre del disco duro.  En el ejemplo actual serían 425 MB. Imagen a continuación.

De momento esto es todo lo esencial que hay que saber.

Saludos