• No se han encontrado resultados

PRUEBAS Y PROPUESTA DE IMPLANTACIÓN

3.5 Descripción de los registros de Snort 1 Registros en Ambiente de Simulación

3.5.1.1 Simulación de Ataque tipo Ping

Un ataque común es el que a continuación se muestra y para esto se utilizó la herramienta de Símbolo del Sistema, en Windows empleando la utilidad del ping, el cuál utiliza el protocolo ICMP, así tenemos que se considera un ataque debido a la forma de operación del ping, ya que por el formato de la trama, el usuario malicioso pide con la trama una solicitud de respuesta, y el equipo que recibe esta trama acepta la petición, así que el otro espera, hasta que el equipo vulnerable mande la respuesta a la petición. El ping es considerado un ataque porque así se conocen las PC´s activas en una red y el atacante ya puede dirigir procesos más específicos sobre este.

Figura 3.11 Ambiente para Simulación de Ataque tipo Ping

A continuación se muestra la trama obtenida de los registros guardados del archivo, con la información de tiempo, equipo y puertos origen y destino, así como la información perteneciente al protocolo ICMP, que es en este caso el que responde al ataque. Es considerada esta acción como ataque debido a que el equipo sospechoso esta pidiendo respuesta ya que si la petición es respondida, este equipo (en este caso con la IP 148.204.219.120) abre ciertos puertos y el otro equipo observará que el equipo esta activo.

Para detectar un ping realizado desde fuera de nuestra red, lo primero que se debe saber es qué tipo de datos intervienen en la cabecera del datagrama IP, en la ICMP y los datos. Para todo esto contamos con un tipo de herramientas llamadas sniffers (olfateadores). La teoría TCP/IP dice que:

• un echo request es de tipo 8 para obtener un echo reply (tipo 0)

• en el campo Protocolo de la cabecera IP debe ir el dato ICMP y poco más recordaremos.

Figura 3.13 Formato de petición y respuesta de eco. Ping echo / echo request. 3.5.1.2 Simulación de Ataque tipo Escaneo de puertos

En la siguiente prueba se utilizó una herramienta para redes informáticas, con el fin de obtener información acerca de la disponibilidad de puertos en equipos en Red, como es el analizador de puertos conocido como Nmap, con el cuál se ha trabajado para tratar de descubrir los puertos abiertos del equipo que tiene montado el IDS Snort, desde otro equipo (laptop), que tenga instalado este programa para ver los puertos así como, la disponibilidad de los mismos.

Figura 3.14 Ambiente para Simulación de Ataque tipo Escaneo de puertos

Aquí se tiene la trama obtenida también en los registros con otro tipo de ataque, conocido como escaneo de puertos, para ello el equipo intruso, ocupa una herramienta para redes, que es utilizada por lo general para observar el tráfico presente en un equipo determinado, así se puede ver el tráfico en una IP fija, por ejemplo, que es el caso en particular, para los fines de este trabajo; por lo cuál se utiliza el software de aplicación llamado Nmap, que se observa en la figura 3.15:

Figura 3.15 Escaneo de Puertos

Esta acción es considerada como un ataque potencial, debido a que el equipo atacante, tiene acceso a información de los puertos abiertos de este equipo o cualquier otro, y es vulnerable debido a que sabe que aplicaciones se encuentran ejecutando y por cuáles puertos puede acceder en ese momento debido a la información extraída del mismo.

Figura 3.16 Escaneo de Puertos utilizando Nmap

Una vez que se ha accedido a los archivos de los registros se puede observar también información respecto a los puertos, con un contador de las reglas de Snort; es decir es observable la frecuencia de utilización o del tráfico de red, a través de los puertos que estén corriendo en las aplicaciones registradas en estos archivos.

Figura 3.17 Inicializando las reglas de Snort 3.5.2 Registros obtenidos de Ataques Reales

Cuando se quiere acceder a los registros que se tienen para poder verificar la existencia de ataques en nuestro equipo, se debe hacer como súper-usuario (root) desde la consola, como se observa en la figura 3.18, y para observar un archivo en específico se realiza con el comando – r descrito anteriormente dentro del directorio /var/log/snort que es donde se encuentran los archivo tipo log, de este modo se podrá ver el contenido de los registros.

Figura 3.18 Lectura de registro donde se muestran ataques reales

Cuando se revisaron las tramas registradas se obtuvo información valiosa e interesante acerca de distintos tipos de ataques los cuáles serán expuestos a continuación.

El primer ataque real arrojado por estos registros el cuál es importante mencionar es un ataque que tiene la siguiente trama de información

Figura 3.19 Registro de ataques realizados usando protocolo SNMP 3.5.2.1 Características del protocolo SNMP 161

En este ataque se muestra la intervención del protocolo SNMP (Simple Network Management Protocol) el cual es un protocolo estándar para la administración de red en Internet. Prácticamente todos los sistemas operativos, enrutadores, conmutadores, modems cable o ADSL MODEM, cortafuegos, etc, se ofrecen con el servicio SNMP, existen varias vulnerabilidades con este protocolo ya que definen múltiples tipos de mensajes SNMP que se emplean para petición de información o cambios de configuración, respuestas de las peticiones, enumeración de objetos SNMP y envío de alertas, Estas vulnerabilidades pueden causar problemas de denegación de servicios, interrupciones de servicio e incluso permitir al atacante conseguir acceso sobre el dispositivo afectado.

En las dos tramas anteriores, se arrojan datos con información bastante valiosa acerca de la actividad del usuario malicioso, y que en estas se da información, en primera de tiempo, seguida de la dirección y puerto origen, es decir, la información de la dirección IP del usuario atacante y su puerto de utilización, seguido por la dirección IP del destino así como su puerto, o protocolo utilizado, como se puede ver en este ejemplo, hablando concretamente, el usuario, está con dominio, dentro del rango de las direcciones IP, dentro del IPN, en ESIME Zacatenco, y está haciendo un broadcast utilizando SNMP que en este caso tiene el número de puerto 161,( 255.255.255.255:161) como se ve en la trama, con el protocolo de usuario, UDP, así que según la teoría de protocolos de redes, SNMP es un protocolo de gestión y administración de datos, lo que hace este ataque es que como este protocolo pide información cerca del equipo, como dirección IP, puertos, aplicaciones en uso, etc., el atacante tiene acceso a información valiosa con la que puede hacerse conocedor de las vulnerabilidades del equipo atacado, es por eso que lo hace con un broadcast para ver que equipo escucha y responde a este mensaje, o a esta petición de información.

En la figura 3.20, se aprecia de manera gráfica como se puede realizar este tipo de ataque.

Figura 3.20 Ataque Realizado a Puertos Utilizando SNMP

A continuación se muestra otra trama del mismo registro, también con información no menos valiosa, la cuál es de importancia para los fines de análisis de este proyecto, ya que arroja datos que deben ser analizados pues presentan rasgos poco comunes, y sugiere la idea de un posible ataque.

Figura 3.21 Registro de ataque realizado usando protocolo HIP

Este tipo de ataque hace un broadcast, también se observa que utiliza el protocolo asignado por el número 139, el cuál es el protocolo HIP (Host Identified Protocol), esta trama es considerada, importante y por eso se registra, ya que este protocolo como su nombre lo dice es de identificación, por dado motivo puede hacer pensar y sospechar que el usuario no autorizado puede atentar contra la seguridad de este equipo por las autenticaciones del mismo ya que este pudiese tener acceso a esa información dañando esos accesos privilegiados.