Diseño de filtros para el análisis en la detección de anomalías

Texto completo

(1)Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Diseño de Filtros para el Análisis en la Detección de Anomalías. Autor: Yohansy Rodríguez Espino.. Tutor: Msc. Samuel Montejo Sánchez. Santa Clara 2009 “Año del 50 aniversario del triunfo de la Revolución”.

(2) Universidad Central “Marta Abreu” de Las Villas. Facultad de Ingeniería Eléctrica Departamento de Telecomunicaciones y Electrónica. TRABAJO DE DIPLOMA Diseño de Filtros para el Análisis en la Detección de Anomalías.. Autor: Yohansy Rodríguez Espino [email protected]. Tutor: Msc. Samuel Montejo Sánchez [email protected]. Santa Clara 2009 “Año del 50 aniversario del triunfo de la Revolución”.

(3) Hago constar que el presente trabajo de diploma fue realizado en la Universidad Central “Marta Abreu” de Las Villas como parte de la culminación de estudios de la especialidad de Ingeniería en Telecomunicaciones y Electrónica, autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.. Firma del Autor Los abajo firmantes certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.. Firma del Autor. Firma del Jefe de Departamento donde se defiende el trabajo. Firma del Responsable de Información Científico-Técnica.

(4) i. PENSAMIENTO. Las cosas buenas se deben hacer sin llamar al universo para que lo vea a uno pasar. Se es bueno porque sí; y porque allá dentro se siente como un gusto cuando se ha hecho un bien, o se ha dicho algo útil a los demás. Eso es mejor que ser príncipe: ser útil.. José Martí..

(5) ii. DEDICATORIA. Con mucho cariño, a mi adorada madre, por ser tan sacrificada y la mayor fuente de inspiración en mi vida; A mí querida novia Yudenia, por el amor tan lindo y puro que me ha dedicado durante estos años; A todos mis hermanos, y especialmente a mi adorado hermanito Carlitos, por el sentimiento tan tierno que con su presencia ha despertado en mi corazón; A mis abuelos Martha y Miguel, especialmente a mi adorada abuelita, por amarme de esa manera tan inmensa; A mi papá, por su satisfacción de que su hijo fuera “ingeniero”; A Carlos, por apoyarme siempre y ser como mi propio padre; A todas mis tías, tíos y primos, por quererme tanto; A mis suegros Amaury y Cecilia, por acogerme en su familia como su propio hijo; A todos ellos les dedico este, mi mayor logro profesional..

(6) iii. AGRADECIMIENTOS. A mi madrecita, por quererme y apoyarme siempre en el logro de mis sueños; A mi Yudita, por la manera que me ha enseñado de amar la vida; A mi tutor Samuel, por esforzarse y ayudarme en la culminación de este sueño; Al profesor Ramón, por brindarse gentilmente a enfrentar conmigo mis dudas; A todos los profesores que contribuyeron a mi formación profesional; , y especialmente a toda mi familia, por ser las personas más maravillosas del mundo..

(7) iv. TAREA TÉCNICA. 1. Investigar y analizar las principales técnicas en la Detección de Anomalías. 2. Profundizar en las potencialidades de la herramienta de Linux: TCPDump y en el análisis de filtros diseñados por expertos con dicha herramienta. 3. Seleccionar los campos que van a ser filtrados por el sniffer para la recolección de los datos. 4. Diseñar un conjunto de filtros que permitan implementar un sistema correcto, eficiente y fiable en la Detección de Anomalías. 5. Probar los filtros implementados, con el objetivo de verificar sus potencialidades y validar su aplicación. 6. Documentar el trabajo con el objetivo de facilitar su comprensión a aquellos que utilicen o implementen dichos filtros y a los desarrolladores de aplicaciones similares, extendiendo así su valor teórico-práctico.. Firma del Autor. Firma del Tutor.

(8) v. RESUMEN. Este trabajo presenta una descripción de los Sistemas de Detección de Anomalías, haciendo énfasis por su convergencia con la investigación propuesta, en las técnicas: Detección Estadística de Anomalías y Análisis de las Cabeceras de Paquetes. Como primera fase de un posible Sistema de Detección de Intrusos se realiza la descripción general, diseño e implementación de un conjunto de filtros usando la herramienta de Linux TCPDump, para detectar paquetes implicados en algunos ataques de Escaneo y Denegación de Servicio. Las capturas de estos filtros son almacenadas en distintos ficheros para un futuro análisis, en busca de un número representativo de patrones propios de los ataques descritos. Los resultados obtenidos en las pruebas de validación realizadas, demuestran que es posible capturar con los nueve filtros diseñados los paquetes involucrados en múltiples ataques, realizados con el empleo de hping2 y nmap, así como otros ataques relacionados con las expresiones de los filtros..

(9) vi. TABLA DE CONTENIDOS. PENSAMIENTO .....................................................................................................................i DEDICATORIA .....................................................................................................................ii AGRADECIMIENTOS ........................................................................................................ iii TAREA TÉCNICA................................................................................................................iv RESUMEN .............................................................................................................................v INTRODUCCIÓN ..................................................................................................................1 CAPÍTULO 1. Generalidades de los Sistemas de Detección de. Anomalías ......................5. 1.1 Detección de intrusos...................................................................................................5 1.1.1 Clasificación de los sistemas de detección de intrusos.........................................6 1.2 Técnicas empleadas en la Detección de Anomalías. ...................................................9 1.2.1 Detección Estadística de Anomalías.....................................................................9 1.2.2 Análisis de las Cabeceras de los Paquetes. .........................................................11 1.2.2.1 Patrones representativos de intrusiones en las tramas TCP / IP. ..................12 1.2.3 Sistemas híbridos de detección. ..........................................................................13 1.3 Descripción de dos significativos grupos de anomalías. ...........................................14 1.3.1 Escaneo en Redes de Computadoras. .................................................................14 1.3.2 Ataques de Denegación de Servicio. ..................................................................15 1.4 Recolección de datos significativos usando la herramienta TCPDump. ....................16.

(10) vii 1.4.1 Surgimiento y desarrollo del TCPDump. ...........................................................16 1.5 Conclusiones Parciales ..............................................................................................16 CAPÍTULO 2. Descripción de intrusiones conocidas y los filtros que permiten su captura17 2.1 Descubrimiento de hosts activos................................................................................17 2.1.1 Escaneo mediante segmentos TCP (SYN, ACK, FIN) y mensajes ICMP. ........17 2.1.2 Reconocimiento de red mediante opciones IP....................................................18 2.2 Identificación del sistema operativo. .........................................................................19 2.2.1 Banderas SYN y FIN activas. .............................................................................20 2.2.2 Bandera FIN sin bandera ACK...........................................................................21 2.2.3 Encabezado TCP sin banderas activas................................................................21 2.3 Análisis de puertos.....................................................................................................21 2.3.1 Escaneo TCP connect ()......................................................................................22 2.3.2 Escaneo TCP SYN..............................................................................................22 2.3.3 Modos Stealth FIN, Xmas Tree y Null Scan. .....................................................22 2.3.4 Escaneo UDP. .....................................................................................................23 2.4 Ataques de Denegación de Servicio. .........................................................................23 2.4.1 Ataques de DoS contra la red. ............................................................................23 2.4.1.1 Inundación SYN. ..........................................................................................23 2.4.1.2 Inundación ICMP..........................................................................................24 2.4.1.3 Inundación UDP. ..........................................................................................24 2.4.1.4 Land Attack (Ataque terrestre). ....................................................................24 2.4.1.5 Ataque Smurf................................................................................................25 2.4.2 Ataques de DoS específicos de cada sistema operativo. ....................................25 2.4.2.1 Ping of Death (Ping de la muerte). ...............................................................25.

(11) viii 2.4.2.2 Ataque Teardrop. ..........................................................................................26 2.4.2.3 Ataque WinNuke. .........................................................................................26 2.5 Atributos de paquetes sospechosos............................................................................27 2.5.1 Paquetes ICMP grandes. ....................................................................................27 2.5.2 Fragmentos ICMP...............................................................................................28 2.5.3 Opciones IP incorrectas. .....................................................................................29 2.5.4 Protocolos desconocidos.....................................................................................29 2.5.5 Fragmentos SYN.................................................................................................30 2.6 Introducción a la etapa de filtrado. ............................................................................31 2.6.1 Generalidades del TCPDump para la implementación de los filtros...................32 2.7 Descripción de los filtros diseñados usando TCPDump............................................33 2.7.1 Filtros relacionados con el encabezado IP..........................................................33 2.7.1.1 Filtro # 1........................................................................................................33 2.7.1.2 Filtro # 2........................................................................................................35 2.7.1.3 Filtro # 3........................................................................................................35 2.7.2 Filtros relacionados con el encabezado TCP. .....................................................35 2.7.2.1 Filtro # 4........................................................................................................36 2.7.2.2 Filtro # 5........................................................................................................36 2.7.2.3 Filtro # 6........................................................................................................37 2.7.3 Filtros relacionados con el encabezado UDP. ....................................................37 2.7.3.1 Filtro # 7........................................................................................................38 2.7.4 Filtros relacionados con el encabezado ICMP....................................................38 2.7.4.1 Filtro # 8........................................................................................................38 2.7.4.2 Filtro # 9........................................................................................................39.

(12) ix 2.8 Conclusiones del Capítulo. ........................................................................................39 CAPÍTULO 3. Validación de la efectividad de los filtros....................................................40 3.1 Introducción a las pruebas para la validación de los filtros.......................................40 3.2 Herramientas empleadas para la generación de las anomalías. .................................41 3.3 Generación de las anomalías y capturas realizadas por los filtros.............................41 3.3.1 Validación del Filtro # 1. ....................................................................................42 3.3.2 Validación del Filtro # 2. ....................................................................................45 3.3.3 Validación del Filtro # 3. ....................................................................................47 3.3.4 Validación del Filtro # 4. ....................................................................................48 3.3.5 Validación del Filtro # 5. ....................................................................................54 3.3.6 Validación del Filtro # 6. ....................................................................................56 3.3.7 Validación del Filtro # 7. ....................................................................................57 3.3.8 Validación del Filtro # 8. ....................................................................................58 3.3.9 Validación del Filtro # 9. ....................................................................................61 3.4 Integración de los filtros. ...........................................................................................63 3.4.1 Descripción de los comandos empleados. ..........................................................63 3.5 Conclusiones Parciales. .............................................................................................65 CONCLUSIONES Y RECOMENDACIONES ...................................................................66 Conclusiones.....................................................................................................................66 Recomendaciones .............................................................................................................67 REFERENCIAS BIBLIOGRÁFICAS .................................................................................68 GLOSARIO DE TÉRMINOS ..............................................................................................72 ANEXOS ..............................................................................................................................73 Anexo A. Libpcap............................................................................................................73.

(13) x Anexo B. Opciones IP. ....................................................................................................74 Anexo C. Ejecutable realizado para obtener las capturas................................................75 Anexo D. Archivos de salida de los Filtros. ....................................................................76 Anexo D.1 Salida del Filtro # 1. ...................................................................................76 Anexo D.2 Salida del Filtro # 2. ...................................................................................76 Anexo D.3 Salida del Filtro # 3. ...................................................................................76 Anexo D.4 Salida del Filtro # 4. ...................................................................................77 Anexo D.5 Salida del Filtro # 5. ...................................................................................77 Anexo D.6 Salida del Filtro # 6. ...................................................................................77 Anexo D.7 Salida del Filtro # 7. ...................................................................................78 Anexo D.8 Salida del Filtro # 8. ...................................................................................78 Anexo D.9 Salida del Filtro # 9. ...................................................................................78.

(14) INTRODUCCIÓN. 1. INTRODUCCIÓN. Las redes actuales contemplan diversas series de tecnologías incluyendo almacenamiento de datos distribuidos, técnicas de encriptación y autentificación, voz y video sobre IP, accesos remotos e inalámbricos y servicios Web, permitiendo una mayor accesibilidad para lograr la interacción directa con todos los servicios que se ofrecen. Estas condiciones propician que sean vulnerables a ataques e intrusos que pretendan desviarla de su funcionamiento normal. Esta situación ha propiciado que se desarrollen en todo el mundo sistemas de detección y prevención de intrusos para intentar garantizar, junto al trabajo de los Firewall (Cortafuegos), la integridad, confidencialidad y autenticidad de la red. Los sistemas de detección de intrusos de red, por sus siglas en inglés (NIDS: Network Intrusion Detection System) pueden clasificarse por la detección de firmas (huellas) o anomalías en red. Actualmente presentan una baja eficiencia de detección en aquellos ataques que se presentan como desconocidos, o nuevos. Esto es debido a que la mayor parte de los sistemas de detección de intrusos basan su funcionamiento en la comparación de firmas, lo que supone que el sistema debe contar con una base de datos que contenga todos los tipos de ataques conocidos. Este enfoque sería más efectivo si todos los ataques pudieran registrarse en una base de datos. Sin embargo, hoy día surgen nuevos ataques, variaciones de ataques anteriores, inserción de nuevos comandos, descubrimiento de nuevas fallas del sistema, y en general sería poco operativo tener una base de datos de todos los ataques posibles. Esta situación, de constantes variaciones, requiere de sistemas que detecten no solo los ataques conocidos, sino sus posibles mutaciones también e incluso los nuevos. Ellos son, los Sistemas de Detección de Anomalías que como principal característica, comparan las actividades realizadas contra un supuesto patrón “normal” buscando desviaciones.

(15) INTRODUCCIÓN. 2. significativas. Basándose en métodos específicos se han desarrollado diversos sistemas de Detección de Anomalías. Algunos de estos métodos utilizan técnicas de: Detección Estadística de Anomalía, basada en Aprendizaje Automático o basada en Minería de Datos. Cada uno de ellos varía su desempeño en dependencia de las anomalías que intente detectar. El objetivo de este trabajo mediante el diseño e implementación de filtros para la recolección del tráfico de la red, es contribuir a la creación de un sistema de detección de anomalías en redes, capaz de identificar la mayor cantidad de ataques de Escaneos y de Denegación de Servicio, por sus siglas en inglés (DoS: Denial of Service), así como atributos sospechosos en los paquetes por el impacto que producen estas anomalías en la degradación de los servicios de la red. La creación de filtros para la captura del tráfico de red, como primera fase de un Sistema de Detección de Anomalías, permite encontrar patrones cercanos a ataques que evidencien qué pudo dar origen a la anomalía. El diseño de los filtros va a estar en función de la causa de la anomalía, basándose en determinados campos de los paquetes que viajan por la red, y de esta manera centrar la atención del sistema en estos parámetros del tráfico a lo largo del tiempo. La solución propuesta permite que se definan en cada entorno los filtros a tener en cuenta para la implementación de la funcionalidad solicitada. Para lograr este empeño serán tratadas en el Capítulo I las principales técnicas existentes para la detección de intrusos y de anomalías, se revisará el estado del arte de estos en la actualidad mencionando sus principales ventajas y diferencias. Se describirán. las. principales técnicas de detección que presentan puntos en común con el sistema propuesto y de manera general se mencionarán las características e implicaciones de los escaneos y ataques de DoS, concluyendo el capítulo con una presentación del sniffer empleado para las capturas. En el Capítulo II se describirán de manera específica diferentes técnicas empleadas por los atacantes para identificar qué hosts se encuentran activos en una red, qué sistemas operativos utilizan y qué servicios presentan disponibles. Para la detección de estas circunstancias anómalas se describirán, concluyendo el capítulo, las expresiones de nueve filtros diseñados usando la herramienta de Linux para capturar el tráfico de la red: tcpdump. La validación de todos los filtros empleados se realizarán en el Capítulo III,.

(16) INTRODUCCIÓN. demostrando que se capturan con eficiencia los paquetes implicados en. 3. los ataques. descritos en el Capítulo II. Finalmente se implementará un método para que todos los filtros realicen sus capturas simultáneamente, por el tiempo que se estime conveniente según el entorno, se almacenen las capturas en ficheros para un posterior procesamiento y poder reportar la alarma en caso de ocurrir alguna intrusión. Esta investigación propició la siguiente Situación Problémica: ¿Cómo recolectar y clasificar la información relacionada con las anomalías en las redes de datos? Para cumplir esta situación problémica se proponen los siguientes objetivos: Objetivo General Diseñar un conjunto de filtros que permitan recolectar la información por la herramienta: TCPDump de Linux, y así determinar la posible causa de la detección de anomalías en las redes de datos. Objetivos Específicos 1. Estudiar y analizar sistemas de detección de anomalías, y herramientas de recolección de datos. 2. Determinar qué datos deben ser filtrados y almacenados debido a su relevancia o implicación. 3. Utilizar la herramienta TCPDump en el filtrado de datos y la recolección de información. 4. Diseñar y describir los filtros empleados para la captura de datos en redes de computadoras. 5. Validar la aplicabilidad y efectividad de los filtros. 6. Documentar la investigación realizada.. Para la creación de este proyecto surgen las siguientes Interrogantes Científicas: ¿Cuáles son las principales técnicas de los Sistemas de Detección de Anomalías, y cuáles están relacionadas con la presente investigación?.

(17) INTRODUCCIÓN. 4. ¿Qué criterios han de ser seguidos para la selección de los datos y campos que van a ser filtrados? ¿Por qué ha de ser usado el sniffer de Linux: TCPDump, para la recolección de la información? ¿Cómo elaborar un conjunto de filtros para ser aplicados en el análisis de la información y la clasificación de anomalías? ¿Qué pruebas realizar para validar los filtros diseñados?.

(18) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 5. CAPÍTULO 1. Generalidades de los Sistemas de Detección de Anomalías. En este capítulo serán abordadas las principales características de los Sistemas de Detección de Intrusos, sus clasificaciones, describiendo de manera más detallada los enfoques de los Sistemas de Detección de Anomalías que presentan convergencia con el tema propuesto en la investigación.. Se describirán también las características y. repercusiones contra los sistemas informáticos, que realizan los escaneos de red y los ataques de DoS, concluyendo con la descripción general de la herramienta empleada (TCPDump) para el filtrado y captura de los datos representativos de estos ataques.. 1.1 Detección de intrusos. Un Sistema de Detección de Intrusos es una herramienta de software usada para detectar accesos no autorizados a una computadora común, un servidor o una red. Este debe ser capaz de detectar todo tipo de tráfico malicioso en la red, incluyendo ataques contra: servicios vulnerables, aplicaciones de datos y terminales de red; tales como escalamiento de privilegios, logins no autorizados, acceso a archivos privados o sensibles y esparcimiento de softwares dañinos. (Cruz, 2008) Una intrusión es un conjunto de acciones que intentan comprometer la integridad, confidencialidad o disponibilidad de un recurso (Martínez, 2007); no solo es un acceso no autorizado a una computadora, también puede ser la negación del servicio. Aunque solo se permitan los servicios básicos y teóricamente seguros, existen agujeros que se pueden aprovechar porque aunque existan programas de seguridad para intentar proteger a los hosts de ataques del exterior como los Firewalls, que prohíben el acceso a los.

(19) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 6. servicios no autorizados, deben permitir el tráfico relacionado con los servicios que están en ejecución. Por esta razón la seguridad implementada por el Firewall no es suficiente, ya que muchos ataques pasarán por él sin ser detectados. Ante esta situación es necesario una entidad de monitoreo dinámico que se complemente con la habilidad de monitoreo estático de un Firewall, es decir un Sistema de Detección de Intrusos, por sus siglas en inglés (IDS: Intrusion Detection System). Este realiza el monitoreo y análisis de las actividades de los usuarios en busca de contenidos anómalos. Dentro de sus tareas se encuentran la auditoria de configuraciones y vulnerabilidades en determinados sistemas, así como la supervisión de los eventos que ocurren en los equipos terminales o en la red para analizarlos y correlacionarlos en busca de señales de intrusión. Uno de los pioneros en las técnicas de identificación fue Anderson, quien propone la identificación de intrusiones por comportamiento anormal mediante un modelo de amenazas clasificándolos como penetraciones externas e internas y abuso de autoridad. (Anderson, 1980). Las penetraciones externas se refieren a intrusiones ejecutadas por un usuario no autorizado al sistema, las penetraciones internas son realizadas por usuarios autorizados que acceden a datos comprometidos que no tienen autorización, y el abuso de privilegios se refiere al uso indebido de acceso autorizado al sistema y a sus datos.. 1.1.1 Clasificación de los sistemas de detección de intrusos. Generalmente existen dos grandes enfoques para la clasificación de los sistemas de detección de intrusos. Sus diferencias están en función de qué vigilan y cómo lo hacen. La primera de estas aproximaciones se refiere a dos grupos de IDS: . IDS basados en host (HIDS). Los Sistemas de Detección de intrusos basados en hosts, por sus siglas en inglés (HIDS: Host based Intrusion Detection System), intentan detectar ataques o intrusiones realizadas contra él, supervisando el desempeño y el estado del sistema. El mismo detecta los recursos accedidos por los programas instalados, pudiendo proteger al sistema de algunos programas como los que intentan repentinamente cambiar la base de datos de contraseñas. Adicionalmente verifica que la información contenida en la.

(20) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 7. memoria del sistema, como la RAM o en el sistema de archivos, sea consistente con la información esperada. Una de las mayores ventajas que tienen los HIDS es su capacidad para registrar todos los eventos que ocurren en el sistema, así queda el rastro de cualquier actividad maliciosa o intento de intrusión. (Martínez, 2007) . IDS basados en red (NIDS). Es un sistema que monitoriza el tráfico de la red buscando posibles intrusiones contra los terminales que la componen mediante la detección de patrones indicativos de un ataque. La principal diferencia de este método es que vigila la red, mientras que un HIDS vigila un solo host. Los HIDS utilizan los mismos recursos del sistema que protegen, en cambio los NIDS necesitan un equipo especializado con capacidades suficientes para analizar el tráfico que circula a través de la red.. La segunda gran clasificación de los IDS se realizan en función de cómo actúan estos sistemas. Sus algoritmos para el análisis y detección de intrusos / ataques son tradicionalmente clasificados dentro de tres categorías: . Sistema de Detección por patrones o huellas. Es una técnica que se apoya en un conjunto de huellas definidas para diferentes ataques. En busca de patrones específicos este sistema compara los paquetes entrantes y/o las secuencias de comandos de las huellas de los ataques conocidos. La decisión se toma basada en el conocimiento adquirido del modelo del proceso intrusivo y del camino que este deja en el sistema. Una de las principales ventajas de este sistema es que los ataques son conocidos y pueden ser detectados con bastante eficiencia. Otro de los beneficios que tiene es que comienza la protección del equipo / sistema después de instalado. Uno de los mayores problemas que presenta este sistema es mantener la información del estado de las huellas en la que una actividad intrusiva abarca múltiples eventos discretos, es decir que una firma de ataque se extiende por múltiples paquetes. Otra de las desventajas de este sistema es que debe tener una huella definida para cada posible ataque que se pueda iniciar. Aquí radica su debilidad, solo son capaces de detectar lo que conocen, de manera que si alguien lanza un ataque desconocido no.

(21) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 8. notificará ningún problema. Por esta razón requiere de frecuentes actualizaciones de firmas para mantener la base de datos actualizada. . Sistemas de Detección de Anomalías. Este método fue propuesto en 1980 por James P. Anderson como un método válido para detectar intrusiones en sistemas informáticos. Este modelo crea una línea inicial del perfil del sistema, red o actividad de programas normales, cualquier actividad que se desvíe de esa línea inicial es tratada como posible intrusión. Por ejemplo, si una trama procedente de una máquina desconocida se sale del conjunto de normalidad, automáticamente es catalogada como sospechosa. Las tendencias para la creación de un perfil normal están divididas en dos clasificaciones fundamentalmente: aquellas en que se especifica al sistema dicho comportamiento mediante un conjunto de reglas, o las que emplean técnicas de aprendizaje automático basándose principalmente en el comportamiento de los usuarios, de sus procesos y del tráfico de la red. 9 Beneficios: Son capaces de detectar abusos de información privilegiada. Por ejemplo, si un usuario o alguien usando una cuenta robada comienza a ejecutar acciones que se salen del comportamiento normal de un usuario común, un Sistema de Detección de Anomalías generará una alarma. Está basado en perfiles hechos a la medida, esto hace que sea muy difícil para un intruso conocer que acciones puede llevar a cabo sin ser detectado. Es capaz de descubrir nuevos ataques, debido que su funcionamiento no está basado en el conocimiento previo de huellas de actividades intrusivas conocidas. 9 Desventajas: Debe pasar por un período de entrenamiento en el que se crean los perfiles de usuario mediante la definición de perfiles de tráfico “normal”. La creación de un perfil incorrecto puede conducir a malos resultados. Como el sistema de detección está buscando acontecimientos anómalos en lugar de ataques, son propensos a ser afectados por las falsas alarmas. Las falsas alarmas se clasifican en falsos positivos o falsos negativos..

(22) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 9. Un falso positivo ocurre cuando un IDS reporta como un intruso un evento que es una actividad legítima de la red. Para evitar la generación de un elevado % de esta falsa alarma es frecuentemente aumentar la tolerancia del sistema, lo que puede incurrir en la no detección de algunas intrusiones, apareciendo así los falsos negativos. . Sistema Híbrido de Detección. Este sistema combina ambos enfoques. En esencia, un sistema híbrido es un sistema de detección de intrusos que toma una decisión usando un “modelo híbrido”, que compara un conjunto de huellas definidas para un ataque, semejante al comportamiento anómalo del intruso con el objetivo de no fallar en la detección.. 1.2 Técnicas empleadas en la Detección de Anomalías. Existen diversas técnicas para la detección de anomalías. Cada una con características independiente que la diferencian de las demás. En el artículo desarrollado por (Patcha and Park, 2007) se definen tres grupos fundamentales: Detección Estadística de Anomalías, Técnicas basadas en Aprendizaje Automático y las basadas en La Minería de Datos. Basados en las premisas de estos tres grandes grupos se derivan métodos como: Análisis Secuencial basado en llamada al sistema, Método de la ventana deslizante, Redes Bayesianas, Análisis de los Componentes Principales, Modelos de Markov, Análisis de la Cabecera de los Paquetes, Detección de intrusos basado en clasificación, Agrupamiento y detección de objetos aislados y Descubrimiento de reglas de asociación. Como el método de detección propuesto presenta puntos de convergencia con los métodos de Detección Estadística y Análisis de las Cabeceras de los Paquetes se explicarán de manera más detallada las características propias de estos enfoques.. 1.2.1 Detección Estadística de Anomalías. En los métodos estadísticos para la detección de anomalías, el sistema observa la actividad a chequear y genera perfiles para representar su comportamiento. Un perfil típico incluye; medida de actividad intensa, medida de distribución de los registros de auditoria, medidas categóricas y medidas ordinarias. Típicamente se mantienen dos perfiles; uno actual y otro almacenado, como son procesados los eventos del sistema o la red, el sistema de detección de intrusos actualiza el perfil y periódicamente calcula un rango de anomalía (indicando el.

(23) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 10. rango de irregularidad para el evento específico) por comparación del perfil actual con el almacenado usando una función de desviación de todas las medidas dentro del perfil. Si el rango de anomalía es superior al umbral definido, entonces el sistema de detección reporta una alarma. 9 Ventajas de este método: No requieren un conocimiento previo de las banderas de seguridad y/o los propios ataques. Tienen la capacidad de detectar ataques más recientes. Pueden proveer notificaciones de actividades maliciosas que típicamente ocurren durante períodos de tiempo prolongados, que son indicadores de un ataque de DoS. Un ejemplo de tales actividades lo constituye un “portscan”, la distribución del escaneo de puertos es típicamente anómala en comparación con la distribución usual del tráfico. Un escaneo de puertos que se extienda por un período de tiempo prolongado será registrado como anómalo. 9 Desventajas: Un atacante experto puede entrenar un sistema de detección estadístico de anomalías para aceptar comportamientos anormales como normales. Es difícil determinar un umbral que logre un balance entre las razones de falsos positivos y falsos negativos.. Uno de los principales métodos empleados en la Detección Estadística de Anomalías es el denominado Haystack (Smaha., 1998); donde se definen un rango de valores que son considerados normales para cada aspecto. La principal desventaja de este método es que fue diseñado para trabajar sin conexión (offline). Otro método desarrollado fue el Sistema Experto de Detección de Intrusos, por sus siglas en inglés (IDES)(Lunt et al., 1992, Newman et al., 2002); donde se analizan constantemente el comportamiento de los usuarios en busca de eventos sospechosos a medida que ocurren. Este sistema fue desarrollado y surgió la llamada Próxima Generación de Sistemas de Detección de Intrusos, por sus siglas en inglés (NIDES) (Anderson et al., 1994, Anderson et al., 1995), cuya principal característica es que puede actuar en tiempo real para el seguimiento continuo de las actividades de los usuarios. Un sistema empleado para detectar el escaneo silencioso de.

(24) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 11. puertos es el Motor de Detección de Anomalías por Paquetes Estadísticos, por sus siglas en inglés (SPADE) (Staniford et al., 2002).. 1.2.2 Análisis de las Cabeceras de los Paquetes. Uno de los métodos que localiza el problema de detección de anomalías en el uso de protocolos por inspección de las cabeceras de los paquetes es propuesto por Mahoney (Mahoney and Chan, 2001, Mahoney and Chan, 2002a), donde se realizan técnicas de entrenamiento para automáticamente obtener perfiles normales basados en los protocolos de diferentes capas. El Detector de Anomalías por Cabeceras de Paquetes, por sus siglas en inglés (PHAD) (Mahoney and Chan, 2001), Reglas de Entrenamiento para la Detección de Anomalías (LERAD) (Mahoney and Chan, 2002a) y el Detector de Anomalías en Capa de Aplicación (ALAD) (Mahoney and Chan, 2002b) usan un modelo basado en el tiempo, en el cual la probabilidad de un evento depende del tiempo transcurrido desde la última vez que ocurrió. Para cada atributo, ellos colectan un conjunto de valores permitidos y resaltan los valores noveles como anómalos. PHAD, ALAD, Y LERAD difieren en los atributos que ellos monitorean. PHAD monitorea 33 atributos de Ethernet, IP y cabeceras de paquetes de la capa de transporte. ALAD modela peticiones entrantes de servidores TCP, por sus siglas en inglés (TCP: Transmission Control Protocol): fuente y destino de direcciones IP, puertos y apertura o cierre de banderas TCP. Dependiendo de los atributos, este construye modelos separados para cada host, número de puerto (servicio), o la combinación host/puerto. LERAD también modela conexiones TCP. El conjunto de datos consiste en el tráfico de datos de una red multivariante que contiene los campos extraídos de la cabecera de paquetes, los autores descomponen el problema multivariado en un conjunto de problemas univariados y en una suma ponderada de la gama de los resultados coincidentes a lo largo de cada dimensión. Aunque la ventaja de este enfoque esté dada por ser más computacionalmente eficiente y efectivo en la detección de intrusos en la red, la ruptura de los datos multivariados en univariados resulta en importantes inconvenientes sobre todo en la detección de ataques. Por ejemplo, en un típico ataque de inundación SYN un indicador del ataque, es teniendo más demandas SYN de lo habitual, observando una tasa ACK inferior a la normal..

(25) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 12. 1.2.2.1 Patrones representativos de intrusiones en las tramas TCP / IP. 9. Campos de Fragmentación. Una cabecera IP contiene dieciséis bits reservados a información sobre el nivel de fragmentación del datagrama; de ellos, uno no se utiliza, dos bits indican que el paquete no ha de ser fragmentado por un router intermedio (DF: Don’t Fragment) y el otro que el paquete ha sido fragmentado y no es el último que se va a recibir (MF: More Fragments). Los restantes trece indican el desplazamiento del fragmento que transportan como se indica en la Tabla 1.1. Valores incorrectos de parámetros de fragmentación en los datagramas se han utilizado típicamente para causar importantes negaciones de servicio a los sistemas y para obtener la versión del sistema operativo que se ejecuta en un determinado host. Tabla 1.1. Muestra de los 16 bits referidos a la fragmentación de un paquetes IP. Desplazamiento del fragmento 0. D. M (13 bits). 9 Dirección origen y destino Las direcciones de origen y destino de un paquete son campos interesantes para detectar intrusiones en nuestros sistemas o en la red. Por ejemplo, podemos sospechar del tráfico que proviene del exterior de nuestro entorno y tenga como destino nuestra red protegida, o peticiones originadas desde Internet y que tiene como destino máquinas de nuestra red que no están ofreciendo servicios al exterior. 9 Puerto origen y destino Los puertos de origen y destino pueden constituir un indicativo de actividades sospechosas en la red. Los atacantes pueden realizar intentos de acceso no autorizados a servicios de la red, actividades que supondrán violaciones de las políticas de seguridad implementadas, como la existencia de troyanos, ciertos tipos de barridos de puertos, o la presencia de servidores no autorizados en la red..

(26) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 13. 9 Flags TCP Un importante campo de la cabecera TCP contiene seis bits (URG, ACK, PSH, RST, SYN y FIN), cada uno con una finalidad diferente. Algunas combinaciones suelen ser bastante sospechosas: por ejemplo, una trama con los bit SYN y FIN activados, indicativo de que una conexión trata de abrirse y cerrarse al mismo tiempo. Uno de los problemas de seguridad más conocidos en plataformas Windows está fundamentado básicamente en el manejo de paquetes fuera de banda, por sus siglas en inglés (OOB: Out of Band), con el bit URG activado. 9 Campo de datos El campo de datos es muy explotado para la realización de ataques en sistemas de redes, debido a que el mismo puede pasar con mayor probabilidad desapercibido ante el análisis de los Firewall.. 1.2.3 Sistemas híbridos de detección. Estos sistemas mejoran la actividad de monitoreo de los Sistemas de Detección de Intrusos, teniendo en cuenta un enfoque híbrido que consiste tanto en detección de anomalías como detección de huellas. Estos sistemas son más robustos porque mientras las técnicas de detección de anomalías ayudan en la detección de nuevos ataques o desconocidos, la detección por patrones reconoce con bastante fiabilidad las intrusiones conocidas. Tombini (Tombini et al., 2004) usa un método donde la técnica de detección de anomalías es usada para generar una lista de ítems sospechosos. El módulo clasificador usa una técnica de detección de huellas, clasificando los ítems sospechosos en ataques conocidos, desconocidos y falsas alarmas. Este enfoque trabaja en la premisa de que los componentes de detección de anomalías deberían tener una alta tasa de detección, puesto que las intrusiones perdidas no pueden ser previstas por la segunda etapa del componente de detección de huellas y también se puede asumir que este componente será capaz de reconocer falsas alarmas. Si bien el sistema híbrido puede perder ciertos tipos de ataques, la reducción de su tasa de falsas alarmas aumenta la probabilidad de examinar la mayoría de las alertas..

(27) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 14. Uno de los sistemas más desarrollados fue el EMERALD (Patcha and Park, 2007). Este supervisa los sistemas en una variedad de niveles: host individuales, dominios y empresas para formar un análisis jerárquico. Para lograr una alta tasa de detección, los diseñadores de EMERALD emplearon un conjunto de técnicas como los motores de análisis estadístico y sistemas expertos. La característica más definida de EMERALD es su capacidad para analizar todo el sistema, todo el dominio y toda la empresa de los ataques, como los gusanos de Internet, ataques de DoS, y otros en el nivel superior. Combinando múltiples tecnologías en los Sistema Híbridos se examinan el sistema y/o tráfico de la red en busca de actividades intrusivas de diferentes maneras. El gran reto para la construcción de un sistema de detección de intrusos empleando el enfoque híbrido de detección es tomar estas diferentes tecnologías para interoperar efectiva y eficientemente.. 1.3 Descripción de dos significativos grupos de anomalías. Los IDS en red deben ser capaces de detectar anomalías tras el análisis de múltiples tramas, siendo significativos los ataques que tienen su representación en más de una trama. Como ejemplo se puede citar el escaneo de redes que atenta contra la privacidad y seguridad de la red, y los ataques de DoS que atentan contra los servicios en uno o varios hosts.. 1.3.1 Escaneo en Redes de Computadoras. El escaneo es una técnica que realizan los intrusos para descubrir servicios disponibles en una computadora (puertos abiertos) y / o características de las máquinas que componen la red. Estas técnicas están basadas fundamentalmente en los protocolo TCP, el Protocolo de Datagrama de Usuario, por sus siglas en inglés (UDP: User Datagram Protocol) y el Protocolo de Control de Mensajes de Internet, por sus siglas en inglés (ICMP: Internet Control Message Protocol). Algunas de ellas para el escaneo de puerto son: TCP connect, TCP SYN, Xmas Tree, Null Scan y Escaneo UDP (las técnicas mencionadas aquí serán descritas detalladamente en el Capítulo 2). Dentro de las técnicas para el descubrimiento de máquinas activas en una red se destaca el Escaneo Ping, aunque muchas veces el atacante para evitar la detección por el Firewall puede enviar numerosos paquetes IP con opciones o segmentos TCP con determinadas banderas del campo “Bits de Código” activas.(Moscalu et al., 2008). Dependiendo de la respuesta del atacado se pueden deducir algunas.

(28) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. informaciones. 15. valiosas como el número de máquinas activas, sus direcciones IP, la. topología de la red, los sistemas operativos y las vulnerabilidades de los hosts. Con todos estos datos el intruso puede preparar un ataque mejor elaborado con menos esfuerzo.. 1.3.2 Ataques de Denegación de Servicio. Los ataques de negaciones de servicio son dirigidos contra un recurso informático, generalmente una máquina o una red, pero también podría tratarse de equipos como una simple impresora. El objetivo es degradar total o parcialmente los servicios prestados por ese recurso a sus usuarios legítimos; constituyen en muchos casos uno de los ataques más sencillos y contundentes contra la mayoría de los servicios, incluso contra un sistema completo. En la mayor parte de los sistemas, un usuario con acceso a un shell no tendrá muchas dificultades en causar una denegación de servicio, que degradará enormemente el desempeño de la máquina (por ejemplo, su velocidad disminuirá considerablemente). Un ataque de DoS no tiene por qué ser un ataque intencionado, sino que puede deberse a un error de programación. Existen dos tipos principales de ataques de denegación de servicio: •. Exploración de grietas o desperfectos. Utiliza un desperfecto en el software del sistema para causar una falla en los procesos o para agotar los recursos del sistema. Un ejemplo de este tipo de ataque es el famoso Ping de la Muerte, que será descrito más adelante. Con respecto a los ataques que intentan agotar los recursos del sistema, estos pueden ser: tiempo de procesamiento, memoria, espacio en disco, espacio en un buffer específico, o ancho de banda de red. •. Ataques de inundación. Este tipo de ataque simplemente envía a un sistema o a un componente del sistema más información de la que puede manejar. En los casos en los que el atacante no puede mandar al sistema suficientes datos para inundar su capacidad de procesamiento, puede ser capaz de monopolizar la conexión al sistema, negando a alguien más el uso del recurso..

(29) CAPÍTULO 1. GENERALIDADES DE LOS SISTEMAS DE DETECCIÓN DE ANOMALÍAS. 16. Un usuario malicioso puede ser tan astuto como para añadir a los ataques de negación de servicio la técnica de spoofing de direcciones IP (Martínez, 2007), es decir, simular la identidad de una dirección IP legítima para obtener acceso a recursos restringidos y evadir la detección del origen del ataque.. 1.4 Recolección de datos significativos usando la herramienta TCPDump. Para recolectar datos provenientes de las tramas implicadas en el ataque se puede realizar la técnica de sniffing, que consiste en capturar tramas que circulan por la red mediante un programa que está ejecutándose en una máquina perteneciente a dicha red. Existen muchos programas para realizar capturas, dentro de los que se destaca el TCPDump.. 1.4.1 Surgimiento y desarrollo del TCPDump. TCPDump es una herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos de la red a la cual el ordenador está conectado. Funciona en la mayoría de los sistemas operativos, por sus siglas en ingles (OS: Operating System) Unix y hace uso de la librería libpcap (Ver Anexo A) para capturar los paquetes que circulan por la red. Existe una adaptación de TCPDump para los sistemas Windows que se llama WinDump y que hace uso de la biblioteca winpcap. En UNIX y otros sistemas operativos, es necesario tener los privilegios de root para utilizar TCPDump. El usuario puede aplicar varios filtros para que sea más depurada la salida. Un filtro es una expresión que va detrás de las opciones y permite seleccionar los paquetes que son de interés capturar.. 1.5 Conclusiones Parciales En el capítulo fueron presentados los IDS y sus clasificaciones, así como los principales enfoques de detección de anomalías, describiendo las técnicas de Detección Estadística y Análisis de las cabeceras de los paquetes por su estrecha relación con la propuesta de la investigación. Fueron además abordados como grupos significativos de anomalías los escaneos de red y ataques de DoS, concluyendo con la presentación del TCPDump como herramienta empleada para el filtrado y recolección de los datos..

(30) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 17. CAPÍTULO 2. Descripción de intrusiones conocidas y los filtros que permiten su captura. En este capítulo serán tratadas específicamente algunas técnicas de escaneos y ataques de DoS, mencionando las principales características de estas anomalías y sus efectos en los sistemas informáticos. Se elegirán los campos de los paquetes que identifican a cada ataque para el diseño de las expresiones de los filtros, describiéndolas detalladamente.. 2.1 Descubrimiento de hosts activos. Normalmente los intrusos primero intentan descubrir hosts que se encuentran activos en redes, para así dirigir sus ataques con el objetivo de apropiarse o degradar algún recurso privado. Para ello emplean técnicas como el escaneo ping (que utiliza el protocolo ICMP), aunque en ocasiones para evadir la detección del Firewall y filtros de paquetes emplean técnicas basadas en combinaciones activas de los bits de código del protocolo TCP, que regularmente son empleadas en conexiones legítimas.. 2.1.1 Escaneo mediante segmentos TCP (SYN, ACK, FIN) y mensajes ICMP. Para conocer qué computadoras se encuentran activas en una red se les pueden enviar mensajes ICMP echo request (solicitud de eco) a cada dirección IP de la red que se especifica. Aquellas que respondan enviando mensajes ICMP echo reply (respuesta de eco) se encuentran activas. (Wei-hua et al., 2003, Najeeb et al., 2005) Algunos Sitios Web o equipos intermedios bloquean este tipo de paquetes. Para cumplir su objetivo el atacante puede enviar segmentos TCP ACK al puerto 80 para poder detectar hosts activos. Si se obtiene por respuesta un RST, la máquina se encuentra activa. Una.

(31) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 18. tercera técnica implica el envío de segmentos TCP SYN a la espera de un RST o un SYNACK. Un análisis FIN envía segmentos TCP con el flag FIN activado para intentar provocar una respuesta (un segmento TCP con el flag RST activado) y así descubrir un host activo o un puerto activo en un host. El atacante puede utilizar este método para obtener los mismos resultados que se pretenden cuando se realiza un barrido de direcciones con peticiones de eco ICMP o un análisis de direcciones con segmentos SYN, porque sabe que muchos cortafuegos en ocasiones se defienden contra estos últimos, pero no necesariamente contra los segmentos FIN. Si se utilizan segmentos TCP con el flag FIN activado se puede evadir la detección, permitiendo que el atacante tenga éxito en el intento de reconocimiento.. 2.1.2 Reconocimiento de red mediante opciones IP. La norma del protocolo Internet “RFC 791, Internet Protocol” especifica una serie de opciones que ofrecen controles de enrutamiento, herramientas de diagnostico y medidas de seguridad especiales.. Figura 2.1. Área de opciones IP. Estas opciones aparecen después de la dirección de destino de un encabezado del paquete IP, identificadas por el octeto “Código de Opción”..

(32) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 19. Tabla 2.1. Valores posibles del octeto “Código de Opción”. Opción. Composición binaria del octeto Código de Opción.. Tipo. Fin de la lista de Opciones. 0000 0000. 0. Sin operación. 0000 0001. 1. Seguridad. 1000 0010. 130. 1000 0011. 131. 1000 1001. 137. Registrar Ruta. 0000 0111. 7. Identificador de flujo. 1000 1000. 136. Marca de tiempo Internet. 0100 0100. 68. Ruta de Origen No Estricta y Registrar Ruta Ruta de Origen Estricta y Registrar Ruta. La norma RFC 791 admite que estas opciones “no son necesarias para las comunicaciones más comunes” y, en realidad aparecen rara vez en los encabezados de paquetes IP. Cuando aparecen, normalmente están vinculadas a un uso con propósitos perniciosos. (Ver Anexo B). 2.2 Identificación del sistema operativo. Para un atacante suele ser un dato significativo conocer el OS del host o servidor al cual pretende atacar, y de esta manera decidir con mejor criterio que vulnerabilidades aprovechar. Por esta razón muchos ataques comienzan por la identificación del OS..

(33) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 20. 2.2.1 Banderas SYN y FIN activas. Con el objetivo de identificar el OS del host se explota el tipo de respuesta que el mismo proporciona ante la llegada de paquetes anómalos. Uno de los paquetes que pueden ser usados con este fin lo constituyen los paquetes que presenten las banderas de control SYN y FIN activadas en el mismo encabezado del segmento TCP. La bandera SYN sincroniza números de secuencia para el inicio de una conexión TCP entre ambas computadoras e indica donde comienza la posición de los datos del segmento en el flujo del transmisor. La bandera FIN indica el final de la transmisión de datos para la terminación de una conexión TCP. Sus propósitos se excluyen mutuamente. Un encabezado TCP con las banderas SYN y FIN activas representa un comportamiento TCP anómalo y puede provocar. varias. respuestas de la computadora atacada en función del sistema operativo que esté operando. (Northcutt and Novak, 2002, Burnett et al., 2001) Un atacante puede enviar un segmento con ambas banderas activadas para observar qué tipo de respuesta del sistema se devuelve y determinar qué tipo de sistema operativo se utiliza en el punto de destino. De esta manera el atacante puede emplear cualquier vulnerabilidad conocida del sistema para futuros ataques.. Figura 2.2. Banderas SYN y FIN activas..

(34) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 21. 2.2.2 Bandera FIN sin bandera ACK. Los segmentos TCP con el flag de control FIN activado (para señalar el final de una sesión y terminar la conexión) suelen tener también activado el flag ACK (para acusar recibo del paquete anterior). La presencia de un encabezado TCP con el flag FIN activado y el flag ACK desactivado representa un indicio de comportamiento TCP anómalo. Ante esta situación no existe una respuesta uniforme1. La respuesta de la víctima puede provocar información sobre el OS al atacante. Otros motivos para enviar un segmento TCP con el flag FIN activado pueden ser evadir la detección durante un análisis de puertos y direcciones o burlar las defensas destinadas a prevenir inundaciones SYN provocando una inundación FIN en su lugar. (Association for Computing Machinery. Special Interest Group on Security, 2002). 2.2.3 Encabezado TCP sin banderas activas. Normalmente los encabezados TCP tienen al menos un flag de control activado. Un segmento TCP sin las banderas de control activadas representa un evento anómalo. La respuesta (o la falta de ella) de la computadora objetivo puede proporcionar indicios sobre el sistema operativo que se está ejecutando.. 2.3 Análisis de puertos. Un análisis de puertos consiste en la explotación por parte de un atacante de técnicas que le permitan obtener respuestas de aquellos puertos abiertos por parte del host objetivo, para así analizar los servicios disponibles a los cuales dirigir su ataque.. 1. Los proveedores han interpretado la norma RFC 793 “Transmission Control Protocol” (Protocolo de. Control de la Transmisión) de diversas formas a la hora de diseñar las implementaciones TCP/IP. Cuando se recibe un segmento TCP con el flag FIN activado y el flag ACK sin activar, determinadas implementaciones envían segmentos RST. Otras descartan el paquete sin enviar ningún segmento RST..

(35) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 22. 2.3.1 Escaneo TCP connect (). Este tipo de escaneo se usa para establecer una conexión con todos los puertos conocidos de la computadora objetivo. Si el puerto está a la escucha connect () tendrá éxito y se establece la conexión, de otro modo el puerto resulta inalcanzable. El atacante envía un segmento TCP SYN (inicio de conexión) a distintos puertos interesantes de la computadora atacada. Si recibe un segmento TCP SYN-ACK (puerto a la escucha), entonces envía un segmento TCP ACK (concluyendo el saludo (handshake) de tres etapas), indicando que la conexión está establecida, si por el contrario recibe un segmento TCP RST, es indicativo que el puerto no está a la escucha y no se puede establecer la conexión. Al concluir la conexión con aquellos puertos disponibles, entonces envía un RST para cortarla inmediatamente. (Muraleedharan, 2008). Normalmente las conexiones no duran tan poco, el hecho de enviar un RST automáticamente constituye un evento anómalo.. 2.3.2 Escaneo TCP SYN. Algunas personas nombran a esta técnica de escaneo “half open” (medio abierto), porque no se abre una conexión TCP completa. Se envía un segmento TCP SYN, como si se fuese a abrir una conexión real y se espera que llegue una respuesta. Si se recibe un SYN-ACK, entonces se envía un RST inmediatamente para cerrar la conexión. (Soniya and Wiscy, 2008, Muraleedharan, 2008). El terminar la conexión y no concluir el handshake de tres etapas constituye un evento alarmante.. 2.3.3 Modos Stealth FIN, Xmas Tree y Null Scan. Algunos Firewall (cortafuegos) y filtros de paquetes vigilan el envío de segmentos TCP SYN a puertos en una computadora, impidiendo que tenga éxito un análisis de puertos con esta técnica. El atacante puede utilizar métodos avanzados de escaneo para intentar cruzar estas barreras sin ser detectados. El escaneo FIN envía un segmento TCP inesperado al host objetivo, mientras que el escaneo Xmas Tree activa las banderas FIN, URG y PUSH. El escaneo Null desactiva todas las banderas. (Bauer, 2005, Muraleedharan, 2008).

(36) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 23. 2.3.4 Escaneo UDP. Este método se usa para saber qué puertos UDP (Protocolo de Datagrama de Usuario, RFC 768) están abiertos en un host determinado (fundamentalmente en servidores). La técnica consiste en enviar mensajes UDP de 0 bytes de datos a cada puerto de la computadora objetivo. Si responde enviando un mensaje ICMP de puerto inalcanzable, entonces el puerto está cerrado, de lo contrario se asume abierto. (Ahmed et al., 2008). 2.4 Ataques de Denegación de Servicio. La intención de un ataque de denegación de servicio es abrumar a la víctima con tal cantidad de tráfico simulado que se sature y no consiga procesar el tráfico de red legítimo. El destino de un ataque puede ser el Firewall (cortafuegos) instalado en una computadora, los recursos de red que el controla, la plataforma de hardware o el sistema operativo (OS) específico de un determinado host. Cuando un ataque de DoS se origina en múltiples direcciones de origen, se le conoce como ataque distribuido de denegación de servicio, por sus siglas en inglés (DDoS: Distributed Denial-of-Service). Normalmente, la dirección de origen de una ataque de DoS está suplantada. Las direcciones de origen de un ataque DDoS pueden ser cambiadas o bien las reales de computadoras previamente comprometidas por el atacante, y que este utiliza como “agentes zombie” para ejecutar su ataque.. 2.4.1 Ataques de DoS contra la red. Un ataque de denegación de servicio dirigido contra uno o más recursos de red inunda el destino con una cantidad abrumadora de paquetes SYN, ICMP o UDP, o de fragmentos SYN. El atacante puede seleccionar un host específico, como un enrutador o un servidor, o bien seleccionar hosts de forma aleatoria en la red atacada.. 2.4.1.1 Inundación SYN. Una inundación SYN ocurre cuando un host resulta tan saturado de inicios de conexiones irrealizables que le resulta imposible procesar peticiones de conexiones legítimas. Un ataque de inundación SYN inunda un host con segmentos SYN que contienen direcciones de origen spoofed (“falsificadas” o “suplantadas”). La víctima responde enviando.

(37) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 24. segmentos SYN-ACK a estas direcciones en espera de una respuesta, como las direcciones de origen son suplantadas, nunca obtienen respuesta y acaban por superar el tiempo de espera. Inundando un host con conexiones TCP no realizables, el atacante acabará por llenar el buffer de memoria intermedia de la víctima. Cuando el buffer se llena, el host ya no puede procesar nuevas conexiones y acaba por denegarle el servicio a otras máquinas de la red. (Schuba et al., 1997, Ohsita et al., 2004, Limwiwatkul and Rungsawang, 2004, Pukkawanna et al., 2007). 2.4.1.2 Inundación ICMP. Es una técnica que pretende agotar el ancho de banda del canal de comunicaciones de la víctima. Una inundación ICMP se produce cuando se envían de manera continuada un elevado número de mensajes ICMP del tipo echo request (solicitud de eco) con direcciones de origen suplantadas, de forma que sobrecargan a su víctima con tantas peticiones que le resulta imposible procesar el tráfico de red válido. Esta consume todos sus recursos en responder enviando mensajes ICMP del tipo echo reply (respuesta de eco). Esta situación origina una sobrecarga tanto en el tráfico de red como en la capacidad de procesamiento de la víctima. El éxito de este ataque depende de la capacidad de procesamiento entre la víctima y el atacante. (Pukkawanna et al., 2007, Limwiwatkul and Rungsawang, 2004). 2.4.1.3 Inundación UDP. Consiste en generar grandes cantidades de paquetes IP con direcciones de origen simuladas que contienen mensajes UDP contra la víctima elegida hasta que le resulte imposible procesar las conexiones válidas dirigidas al servicio que está siendo agotado.(Jonckheere et al., 2002, Limwiwatkul and Rungsawang, 2004). 2.4.1.4 Land Attack (Ataque terrestre). Este ataque consiste en enviar segmentos TCP/SYN suplantados que contienen la dirección IP de la víctima como dirección IP de origen y destino. El sistema receptor responde enviándose a si mismo el segmento TCP/SYN-ACK, creando una conexión vacía que perdura hasta que caduca el tiempo por inactividad. Inundar un sistema con tales conexiones vacías puede saturarlo y provocar la DoS. La dirección de origen que aparece.

(38) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 25. en el encabezado IP es la de la víctima, mientras que la dirección de origen verdadera permanece oculta. (Maloof, 2006, Pietro and Mancini, 2008). 2.4.1.5 Ataque Smurf. Existen tres partes en un ataque Smurf: El atacante, el intermediario y la víctima (el intermediario también puede ser la víctima). En Smurf el atacante dirige paquetes ICMP del tipo echo request (solicitud de eco) a una dirección IP de broadcast, usando como dirección IP origen, la dirección de la víctima (“spoofing”). Se espera que los equipos respondan a la petición, enviando un echo reply (respuesta de eco) a la máquina de la víctima. (Kumar, 2007, Kumar et al., 2006) De esta manera resulta tan ocupada procesando tales respuestas que en ocasiones acaba por denegarle el servicio a intentos de conexiones legítimas de otras computadoras de la red.. 2.4.2 Ataques de DoS específicos de cada sistema operativo. Si un atacante identifica, además de la dirección IP y los números de puertos accesibles de un host activo su sistema operativo, puede atacarlo de manera más sutil con menos esfuerzos.. 2.4.2.1 Ping of Death (Ping de la muerte). El tamaño admisible de un paquete IP es de 65 535 bytes, incluyendo el encabezado del paquete, que habitualmente mide 20 bytes2. Este ataque consiste en enviar numerosos paquetes ICMP muy grandes (mayores a 65.535 bytes) con el fin de colapsar el sistema atacado. Un ping (mensaje ICMP del tipo echo request) normalmente tiene un tamaño de 64 bytes, algunas computadoras no pueden manejar pings mayores al máximo de un paquete IP común, que es de 65.535 bytes. Cuando la computadora que es el blanco del ataque vuelve a montar el paquete, puede ocurrir una saturación del buffer, que causa a menudo un fallo del sistema. Un paquete ICMP sobredimensionado puede desencadenar una variedad de reacciones adversas por parte del sistema, como la denegación de servicio,. 2. Para obtener las especificaciones sobre el protocolo IP, consulte RFC 791, “Internet Protocol”..

(39) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 26. “cuelgues”, bloqueos y reinicios. Causa una sobrecarga en el buffer del sistema operativo destino, provocando la caída del sistema. Este ataque ha afectado a la mayoría de Sistemas Operativos, como Unix, Linux, Mac, Windows, impresoras, y los routers. (Zhou et al., 2005, Congress on Evolutionary Computation, 2002). 2.4.2.2 Ataque Teardrop. Los ataques Teardrop explotan la función de reensamblaje de paquetes IP fragmentados. Uno de los campos del encabezado IP es el desplazamiento del fragmento, que especifica el desplazamiento en el datagrama original de los datos que se está acarreando en el fragmento, medido en unidades de 8 bytes3, comenzando con un desplazamiento igual a cero. Cuando la suma “tamaño del desplazamiento” + “tamaño del paquete fragmentado” es distinta a la del siguiente paquete fragmentado, los paquetes se solapan y la computadora que intenta reensamblarlos puede colapsar, especialmente si esta ejecutando un sistema operativo antiguo que tenga esta vulnerabilidad. (Kendall, 1999). 2.4.2.3 Ataque WinNuke. Este es un ataque de denegación de servicio que se dirige a cualquier equipo que ejecute el sistema operativo Windows. El atacante envía un segmento TCP, normalmente al puerto 139 de NetBIOS con el flag “URG” (urgente) activado, a un host con una conexión establecida. El receptor usa un puntero para determinar la posición dentro del segmento en la que terminan los datos urgentes. Cuando ocurre esto este puntero no se gestiona correctamente y se produce el error, se induce un solapamiento de fragmentos NetBIOS, que en muchos equipos Windows provoca la caída del sistema. (IEEE Seoul Section Staff, 2005). 3. Para ahorrar espacio en el encabezado, los desplazamientos se especifican en múltiplos de 8 bytes..

(40) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 27. Figura 2.3. El flag URG esta activado y el puerto de destino es el de NetBIOS.. 2.5 Atributos de paquetes sospechosos. Un atacante puede manipular los paquetes para que realicen tareas de reconocimiento o ataques de denegación de servicio. En ocasiones resulta difícil determinar la intención de un paquete manipulado, pero el hecho que esté manipulado induce a sospechar que se pretende utilizar en algún fin mal intencionado.. 2.5.1 Paquetes ICMP grandes. Dado que los paquetes ICMP contienen mensajes muy cortos, no existe motivo legítimo para que se generen mensajes ICMP de gran tamaño. Si existe un paquete ICMP mayor a 1024 bytes es posible que exista algún problema. (NetScreen Technologies, 2004).

(41) CAPÍTULO 2. DESCRIPCIÓN DE INTRUSIONES CONOCIDAS Y LOS FILTROS QUE PERMITEN SU CAPURA 28. Figura 2.4. El protocolo debe ser (ICMP = 1) y el tamaño total mayor a 1024 bytes.. 2.5.2 Fragmentos ICMP. El protocolo de mensajes de control de Internet ofrece posibilidades de comunicación de errores y de comprobación de redes. Dado que los paquetes ICMP contienen mensajes muy cortos, no existe ningún motivo legítimo para que los paquetes ICMP resulten fragmentados. Cuando un paquete ICMP es tan grande que necesita ser fragmentado constituye una situación atípica. (NetScreen Technologies, 2004).