Archivo

Posts Tagged ‘snort preprocessor sfportscan’

Intentando evadir mecanismos y restricciones de Seguridad – Burlando reglas de detección y alarmas de Snort utilizando W3AF – Parte IX

febrero 29, 2012 Deja un comentario

En esta ocasión indicaré el uso de W3AF para evadir sistemas de detección de intrusos y sistemas de prevención de intrusos (IDS/IPS), en este caso concreto, se intentará indicar las pruebas que se han realizado contra Snort ejecutándose como NIDS. Para esto se utilizan técnicas de evasión en W3AF (en algunas ocasiones accediendo y modificando directamente el código del proyecto que se encuentra escrito en Python). Estas técnicas ejecutan procedimientos de evasión partiendo de la base que muchos de los IDS/IPS del mercado detectan amenazas en función a determinadas “firmas” o patrones de comportamiento que son identificados como anómalos o maliciosos. Los “tips” de evasión presentados aquí lo que realmente hacen es modificar las peticiones realizadas a un servidor web para que dichas peticiones no se ajusten a los patrones que esperan los IDS/IPS.

Leer más…

Intentando evadir mecanismos y restricciones de Seguridad – Burlando reglas de detección de Snort con NMAP – Parte VIII

febrero 27, 2012 Deja un comentario

En la entrada anterior se han establecido las bases para utilizar Nmap y ejecutar un ataque de reconocimiento de forma “sigilosa”, evadiendo mecanismos de seguridad en el objetivo y evitando ser detectados en nuestras acciones, en este orden de ideas, anteriormente se han definido algunas de las opciones disponibles en Nmap para este propósito, inclusive se utilizó una técnica muy efectiva conocida como Idle Scan.

En esta ocasión, se intentará evadir las reglas y preprocessors de Snort para que de este modo, el escaneo efectuado contra el objetivo, sea lo mas silencioso posible, tratando de no despertar sospechas ni levantar ninguna alarma de las definidas en Snort (con las reglas y opciones de los preprocessors correctamente configuradas). Con esto en mente, se intenta utilizar diferentes opciones de Nmap para realizar el escaneo a diferentes máquinas en el segmento de red (Snort se ejecutará como NIDS) de esta forma se medirá el nivel de eficiencia de Snort y las opciones de configuración disponibles ante las diferentes técnicas de evasión existentes en NMAP.

Leer más…

Utilizando Reglas Libres de Snort para Detección de Amenazas y Generación de Alarmas

julio 25, 2011 Deja un comentario

Conociendo como es la estructura de las reglas en Snort, el siguiente paso lógico seria, escribir reglas para intentar proteger un sistema o segmento de red, si se desea se puede solicitar las reglas oficiales de Snort conocidas como VRT (Vulnerability Research Team) http://www.snort.org/snort-rules/ que definen un conjunto de reglas muy robusto y estable que permite tener un entorno empresarial seguro, sin embargo, cuestan dinero… Si se trata de implantar Snort en una organización, no cabe duda que es una excelente elección, sin embargo, para fines educativos y para dominar correctamente este IDS lo mas recomendable es optar por rule-sets libres, es aquí donde entra el juego de reglas Bleeding Edge para Snort, como se ha dicho son libres y tiene una característica que desde mi perspectiva resulta muy interesante y es la separación lógica de cada uno de los ficheros de reglas, es decir, existe un fichero de reglas para visitas a sitios indebidos, maleware, virus, ataques a servidores web, exploits, conexiones p2p… todo un compendio de reglas para proteger el entorno de agentes maliciosos y para limitar, obviamente, las libertades de los usuarios internos, sin embargo en próximas entradas se verán técnicas de evasión de IDS Firewall y otras “fortalezas” de los mecanismos de seguridad modernos. Por lo pronto, indicare los pasos para instalar y conocer a fondo las reglas Bleeding Edge de Snort, ademas de como ponerlas a funcionar adecuadamente en Snort v 2.9.x

Leer más…

Utilizando RuleSets en Snort para Detección de Amenazas y Generación de Alarmas – Parte II

julio 22, 2011 Deja un comentario

En la entrada anterior se ha indicado la estructura y las principales opciones con las que es posible declarar una regla en Snort, en esta ocasión intentare indicar opciones avanzadas para la detección de payloads en Snort, estas opciones se incluyen en la estructura de cualquier regla declarada en Snort, sin embargo permiten profundizar y filtrar aun más en los paquetes capturados por Snort en modo IDS/NIDS.

A continuación se listan las principales opciones diseñadas específicamente para filtrar ataques llevados a cabo desde el exterior del segmento de red o desde el interior.

Leer más…

Utilizando RuleSets en Snort para Detección de Amenazas y Generación de Alarmas – Parte I

julio 20, 2011 1 comentario

Una de las características mas importantes para el correcto funcionamiento de Snort, es sin lugar a dudas, las reglas de detección y alarmas, Snort cuenta con un pequeño lenguaje de definición de reglas que sigue una sintaxis definida para diseñar reglas robustas y útiles para un pentester y/o analista en seguridad informática. Las reglas en Snort se separan en dos secciones, en primera instancia esta el encabezado de la regla y luego se definen las opciones de la regla, el encabezado de la regla contiene información relacionada a la acción que se debe tomar (por ejemplo la acción de generar una alerta) al igual que direcciones IP, puertos y mascaras de red del origen y destino del paquete, por otro lado la sección de opciones de la regla determinan diversos filtros que le dan dinamismo a la regla, de esta forma solamente se aplicará cuando dichas opciones o filtros se cumplan, por lo tanto es de vital importancia diseñar correctamente esta sección de la regla para evitar falsos positivos.

Leer más…

Usando Preprocessors en Snort – Parte VI – Preprocessor SSL/TLS y ARP Spoof

julio 18, 2011 Deja un comentario

PREPROCESSOR SSLPP

Este modulo decodifica el trafico SSL y TLS, solamente sobre una conexión plenamente establecida, es decir, por defecto este preprocessor intentará determinar si una conexión dada ha sido completamente establecida con un “Handshake”, una vez inspecciona que el trafico se encuentra cifrado, no inspecciona los datos sobre la conexión establecida. Para realizar esto, el preprocessor inspecciona el trafico en ambos lados (cliente y servidor) si uno de los dos lados responde con indicios de que algo no ha ido bien en el establecimiento del handshake la sesión no es marcada como encriptada, esto le permitirá a Snort verificar dos cosas, en primer lugar que el ultimo paquete handshake enviado por el cliente no ha sido creado para evadir las reglas de Snort y por otro lado que el trafico ha sido legítimamente cifrado.

Leer más…

Usando Preprocessors en Snort – Parte V – Preprocessor SSH y DNS

julio 15, 2011 Deja un comentario

SSH PREPROCESSOR

Se trata de un preprocessor que identifica una serie de exploits ejecutados contra un servidor SSH/OPENSSH, de esta forma se puede detectar cuando esta ocurriendo un ataque y las medidas que se deben tomar para afrontarlo. Este preproprocessor detecta algunos de los exploits mas críticos sobre protocolo SSH, tales como Challenge-Response Buffer Overflow, CRC 32, Secure CRT, y Protocol Mismatch exploit. , Para esto Snort cuenta el número de bytes transmitidos al servidor, de esta forma puede detectar un payload malicioso por su tamaño, ya que algunos de estos exploits basan su funcionamiento en exceder los limites de determinadas funciones del servidor SSH (antes y después del intercambio de clave), por otro lado algunos de estos afectan solamente a determinadas versiones de SSH como por ejemplo Challenge-Response Buffer Overflow solamente afecta a SSHv2 y CRC 32 a SSHv1. De este modo la cadena correspondiente a la versión de SSH es utilizada para distinguir los ataques.

Leer más…

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 932 seguidores

%d personas les gusta esto: