Evasión de IDS Cómo atacar sin ser detectado

Slides:

Advertisements

Presentaciones similares

1 LACNIC V – 18 / 20 de noviembre - La Habana, Cuba Proceso de Desarrollo de Políticas Germán Valdez Director Políticas LACNIC.

Advertisements

Algoritmos y Programas

Intranets P. Reyes / Octubre 2004.

Introducción a Netflow

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.

Nau Gran dHivern Intr. a la creación y gestión de páginas web Introducción a la web.

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.

Introducción Programación Matemática Objetivos:

Cuestiones y problemas

Cómo cargar contenidos en un curso en Moodle

SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Capa de Transporte de OSI Fundamentos.

Política de privacidad de Facebook

Funciones Continuas. Contenidos Definición de Continuidad Funciones Discontinuas Teoremas Ejemplos.

Hoy en día cuando nos hablan de servidores pensamos tanto en grandes bases de datos como en servidores web, con una capacidad tan grande que pueden soportar.

Capa de Transporte.

Capa de Transporte del modelo OSI

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Configuración de un switch Conmutación y conexión inalámbrica de.

Protocolos de transporte de datos Marcio Baeza

Fragmentación práctico 0: Se envía un paquete de H1 a H2 de 1300 bits (1320 en total con encabezamiento) P P P24600 P IdDespFinalBits.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Frame Relay Acceso a la WAN: capítulo 3.

Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática

Denial Of Service Seguridad En Redes Geralddy Sánchez

Creación del prototipo de la red del campus

PROTOCOLOS Y ESTANDARES DE RED

Servicios en una WAN convergente

NORMA INTERNACIONAL DE AUDITORÍA 505

NORMA INTERNACIONAL DE AUDITORÍA 330

Datagram IP, Fragmentación

Unidad 5 Redes IP Multiservicio: Control de Congestión

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

Estructura de Lewis de H2O

Ecuaciones y Resolución de Ecuaciones Lineales

Desigualdades Lineales y Compuestas

Capa física del modelo OSI

Conmutación y conexión inalámbrica de LAN. Capítulo 3

Comité Nacional de Información Bogotá, Febrero 11 de 2011 Consejo Nacional de Operación de Gas Natural 1 ESTADISTICAS NACIONALES DE OFERTA Y DEMANDA DE.

Exploración de la infraestructura de red empresarial

¿Cómo conectamos nuestra red a Internet?

Telefonia Sobre IP VoIP Zulema Sierra Carlos Garcia.

Firewalls Con Fortigate’s II. Que se puede hacer con un Fortigate 1.Excepción de puertos y direcciones ip/ Bloqueo de Ip’s 2.Controlar tráfico 3.Políticas.

TOPICOS ACTIVIDAD # 5 TOPICOS G.B.I PRESENTADO POR:

AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

Aspectos básicos de networking: Clase 5

Protocolos y funcionalidad de la capa de Aplicación

© 2007 Cisco Systems, Inc. Todos los derechos reservados.Cisco Public 1 Protocolos de enrutamiento de estado de enlace Conceptos y protocolos de enrutamiento.

TCP/IP V4 Redes de Computadoras uclv.

Sebastián Barbieri IP - ICMP Comunicación de Datos II Ingeniería en Sistemas – Facultad Cs. Exactas Universidad Nacional de Centro de la Prov. de Bs. As.

CONCEPTES AVANÇATS DE SISTEMES OPERATIUS Departament d’Arquitectura de Computadors (Seminaris de CASO) Autors Protocolo IP v.6 Susana Lores Rubira.

LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11

Mejoras y Nuevas Características de ISA Server 2004 Chema Alonso MVP Windows Server Security

1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.

Protocolos de enrutamiento por vector de distancia

Control de Congestion. Muchos paquetes en la red se retrasan o pierden provocando que se degrade el desempeño de la red. Congestión.

66.69 Criptografía y Seguridad Informática FIREWALL.

Sistemas de Detección de Intrusos

DETECCION DE INTRUSOS.. Presentado por: Maury Leandro González Deivy Escobar Christian Herrera Yoiner Gomez Marlon Góngora.

Conceptos avanzados Dr. Daniel Morató Area de Ingeniería Telemática Departamento de Automática y Computación Universidad Pública de Navarra

Propuesta de Colaboración Profesional: © TB·Solutions Web · · Tfno. · Fax · Septiembre.

Modelo de Referencia OSI

UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 Preguntas para ser analizadas para el examen final. 1.- Describa el término de Escaneo de Red. 2.-Tipos de.

Distance Vector vs Link State.

Seguridad de Datos IDS e IPS.

FIREWALLS, Los cortafuegos

TIPOS DE ATAQUES Y VULNERABILIDADES EN UNA RED

 PROBLEMA DE INVESTIGACIÓN PROBLEMA DE INVESTIGACIÓN  MARCO TEÓRICO MARCO TEÓRICO  ESTUDIO ACTUAL DE LA RED DE LA INSTITUCIÓN, HONEYPOTS A INSTALAR.

SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.

Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación

Protección de un servicio Web 1.Autenticación. 2.Gestión de usuarios y grupos. 3.Gestión de servicios. 4.Gestión de sistema de ficheros. 5.Firewall. 6.Prevención.

Transcripción de la presentación:

Evasión de IDS Cómo atacar sin ser detectado 02 Junio 2005

Sistemas de Detección de Intrusos ¿Qué es un IDS? Definición Elementos básicos Fuentes de información Motor de análisis Respuesta frente alertas.

Sistemas de Detección de Intrusos Categorías NIDS vs HIDS DIDS Análisis de patrones vs Detección de anomalías Sistemas pasivos vs Sistemas Activos

Problemática de los IDS Falsas alertas Falsos positivos Falsos negativos Insuficiente información Datos de la topología Estado de la red Congestiones o problemas Tipo de S.O. de las máquinas Estado de las máquinas. Carga.. Ambigüedades En los propios protocolos La variedad de implementaciones Inconsistencias en la red Lo que define a un ataque no es un paquete, sino el comportamiento que induce ese paquete en la máquina objetivo.

Ataques contra NIDS Ataques contra NIDS Ataques de Inserción Ataques de evasión Denegación de Servicio CPU Memoria Disco Ancho de banda Otro: spoofing, inundación de alertas,etc.

Ataque de Inserción

Ataque de Evasión

Capa de red Ataques en la capa de red Cómo conseguir Inserción o Evasión en el NIDS Cabeceras malformadas Ejemplo: checksum Opciones IP Strict source routing Timestamp

Ataque basado en TTL

Ataque basado en MTU

Ataques de fragmentación (timeout-1)

Ataques de fragmentación (timeout-2)

Ataques de fragmentación (overlap)

Capa de transporte Ataques a nivel TCP Más elaborados Cabeceras malformadas Opciones no permitidas en ciertos estados. Datos en un paquete SYN Checksum Opciones TCP Ejemplo: PAWS Timestamp inválido Modificar el umbral

Sincronización del NIDS Estado Números de secuencia BCT = Bloque de control TCP Puntos donde de-sincronizar el NIDS Creación de BCT Reensamblado Duplicado de segmentos Superposición de segmentos Destrucción del BCT

Ataque en otras capas Capa de enlace Capa de aplicación Ataques de spoofing  Inserción. Capa de aplicación HTTP Técnica Ejemplo Cambio de método GET /cgi-bin/some.cgi  HEAD /cgi-bin/some.cgi Codificación de la URL cgbin  %63%67%69%2d%62%69%6e Transformación UNICODE 0x5C 0xC19C  U+005C / 0xE0819C Directorio 1 GET ////cgi-bin///vuln.cgi Directorio 2 GET /cgi-bin/blahblah/../some.cgi HTTP/1.0 Directorio 3 GET /cgi-bin/././././vuln.cgi Múltiples peticiones GET / HTTP/1.0\r\n Header: /../../cgi-bin/some.cgi HTTP/1.0\r\n \r\n

Conclusiones Soluciones y consideraciones No es sencillo evadir NIDS Mucha información necesaria Mejores capacidades Se deben dar ciertos problemas de configuración Ataques a ciegas Soluciones Normalización del tráfico Uso de una base de conocimientos Mapeado Activo

CONFIDENCIALIDAD Y RESTRICCIONES DE USO FIN ¿Preguntas? Roberto Gutiérrez rogugil@alumni.uv.es CONFIDENCIALIDAD Y RESTRICCIONES DE USO Toda la información contenida en el presente documento, sea de naturaleza técnica, comercial, financiera o de cualquier otro tipo, es propiedad de TISSAT y considerada como “Información estrictamente confidencial”, por lo que no se revelará a terceras partes quedando prohibida su reproducción, total o parcial, por cualquier medio sin el previo consentimiento expreso de TISSAT.