Descargar la presentación
La descarga está en progreso. Por favor, espere
1
Evasión de IDS Cómo atacar sin ser detectado
02 Junio 2005
2
Sistemas de Detección de Intrusos
¿Qué es un IDS? Definición Elementos básicos Fuentes de información Motor de análisis Respuesta frente alertas.
3
Sistemas de Detección de Intrusos
Categorías NIDS vs HIDS DIDS Análisis de patrones vs Detección de anomalías Sistemas pasivos vs Sistemas Activos
4
Problemática de los IDS
Falsas alertas Falsos positivos Falsos negativos Insuficiente información Datos de la topología Estado de la red Congestiones o problemas Tipo de S.O. de las máquinas Estado de las máquinas. Carga.. Ambigüedades En los propios protocolos La variedad de implementaciones Inconsistencias en la red Lo que define a un ataque no es un paquete, sino el comportamiento que induce ese paquete en la máquina objetivo.
5
Ataques contra NIDS Ataques contra NIDS Ataques de Inserción
Ataques de evasión Denegación de Servicio CPU Memoria Disco Ancho de banda Otro: spoofing, inundación de alertas,etc.
6
Ataque de Inserción
7
Ataque de Evasión
8
Capa de red Ataques en la capa de red
Cómo conseguir Inserción o Evasión en el NIDS Cabeceras malformadas Ejemplo: checksum Opciones IP Strict source routing Timestamp
9
Ataque basado en TTL
10
Ataque basado en MTU
11
Ataques de fragmentación (timeout-1)
12
Ataques de fragmentación (timeout-2)
13
Ataques de fragmentación (overlap)
14
Capa de transporte Ataques a nivel TCP Más elaborados
Cabeceras malformadas Opciones no permitidas en ciertos estados. Datos en un paquete SYN Checksum Opciones TCP Ejemplo: PAWS Timestamp inválido Modificar el umbral
15
Sincronización del NIDS
Estado Números de secuencia BCT = Bloque de control TCP Puntos donde de-sincronizar el NIDS Creación de BCT Reensamblado Duplicado de segmentos Superposición de segmentos Destrucción del BCT
16
Ataque en otras capas Capa de enlace Capa de aplicación
Ataques de spoofing Inserción. Capa de aplicación HTTP Técnica Ejemplo Cambio de método GET /cgi-bin/some.cgi HEAD /cgi-bin/some.cgi Codificación de la URL cgbin %63%67%69%2d%62%69%6e Transformación UNICODE 0x5C 0xC19C U+005C / 0xE0819C Directorio 1 GET ////cgi-bin///vuln.cgi Directorio 2 GET /cgi-bin/blahblah/../some.cgi HTTP/1.0 Directorio 3 GET /cgi-bin/././././vuln.cgi Múltiples peticiones GET / HTTP/1.0\r\n Header: /../../cgi-bin/some.cgi HTTP/1.0\r\n \r\n
17
Conclusiones Soluciones y consideraciones No es sencillo evadir NIDS
Mucha información necesaria Mejores capacidades Se deben dar ciertos problemas de configuración Ataques a ciegas Soluciones Normalización del tráfico Uso de una base de conocimientos Mapeado Activo
18
CONFIDENCIALIDAD Y RESTRICCIONES DE USO
FIN ¿Preguntas? Roberto Gutiérrez CONFIDENCIALIDAD Y RESTRICCIONES DE USO Toda la información contenida en el presente documento, sea de naturaleza técnica, comercial, financiera o de cualquier otro tipo, es propiedad de TISSAT y considerada como “Información estrictamente confidencial”, por lo que no se revelará a terceras partes quedando prohibida su reproducción, total o parcial, por cualquier medio sin el previo consentimiento expreso de TISSAT.
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.