Hoy en día se encuentra ampliamente difundido el estudio de intrusos mediante la utilización de honeypots. Uno de los problemas que se presentan en el intento de análisis y clasificación de intrusos es el procesamiento y reconocimiento de las sesiones SSH interactivas, ya que la mayoría del tráfico generado por los intrusos a la hora de ingresar comandos se realiza por este protocolo.
El Laboratorio de Investigación en Seguridad Informática Si6 de CITEFA necesitaba solucionar el problema del reconocimiento de sesiones SSH interactivas. En el mes de Septiembre del 2006 se creó el Grupo de Estudio en Seguridad Informática de la Universidad FASTA sede Mar del Plata, en convenio con el Si6 para abordar este problema.
Se clasifica al tráfico SSH en dos grandes tipos: las conexiones que lograron acceder al honeypot por poseer la contraseña correcta y las conexiones intentan adivinar la contraseña. Ambos tipos de conexiones se pueden producir manualmente o de forma automática. Si la contraseña es correcta los intrusos ingresan para ejecutar comandos de forma interactiva. Se tornó esencial el reconocimiento de las sesiones SSH que ejecutaban comandos de forma interactiva entre el resto de las demás sesiones.
Proyecto iniciado como Grupo de Estudio de Seguridad Informática en la Universidad FASTA ( http://www.ufasta.edu.ar ), en Mar del Plata, Buenos Aires, Argentina.
Recursos
Presentaciones
Agosto 20, 21 y 22, 2008 – JRSL – Jornadas Regionales de Software Libre – Buenos Aires – Argentina.
Día de la Seguridad Informática en la Universidad FASTA
- Videos de la charla : Aquí
Ejemplos Tcpdump para analizar
El archivo 2007-05-23_SG_3.tcpdump es un ejemplo de SSH con la primer clave errónea, y la segunda clave correcta. Se utilizó un cliente “OpenSSH_4.4p1, OpenSSL 0.9.8d” conectando a un servidor “OpenSSH_4.4p1, OpenSSL 0.9.8d”.
El archivo 2007-06-_SG_4.tcpdump es un ejemplo SSH con la primer clave correcta, y con un banner forzado(10KB size). Se utilizó un cliente “SSH-2.0-PuTTY_Release_0.60” conectando a un servidor “OpenSSH_4.4p1, OpenSSL 0.9.8d”.
¿Como se Utiliza?
Es requerido para usar ssh-sniffer las librerías Pynids, para descargar las pynids desde aquí.
Estracto de la ayuda:
usage: ssh-sniffer.py <options>
options:
-i, –input-file Pcap file to open.
-d, –capture-device While capturing from the net, use this device.
-h, –help Show this help message and exit
-V, –version Output version information and exit
-f, –filter Tcpdump pcap filter to apply. Default is empty. Must be “” delimited.
-D, –debug Debug.
-t, –session-type Filter out and print interactive ssh sessions.
Filter by : version: If SSH2 client version is libssh’ or ‘MEDUSA’
bytes: If the amount of bytes on a connection is less than a value (2970 by default)
all: Must acomplish all of them at the same time
-b, –min-bytes The minimal amount of bytes a connection must have to be considered interactive. (Default 3970 bytes)
-s, –ssh-string Ssh client version string to filter besides ‘libssh’ and ‘MEDUSA’. Without quotes.
Ejemplos
ssh-sniffer.py -i 2007-06-06_SG_4.tcpdump -t all
192.168.1.179:1055 SSH-2.0-PuTTY_Release_0.60 -> 192.168.1.248:22 SSH-1.99-OpenSSH_4.4
(Bytes: 169913, Id:1) (1 total SSH conections, 1 interactive)
ssh-sniffer.py -i 2007-05-23_SG_3.tcpdump -t all
192.168.1.10:1911 SSH-2.0-OpenSSH_4.4 -> 192.168.1.23:22 SSH-1.99-OpenSSH_4.4
(Bytes: 4353, Id:1) (1 total SSH conections, 1 interactive)
No dude en consultarnos
Si desea conocer los costos del servicio, contáctese con nosotros por medio de nuestro mail. consultas[at]talsoft.com.ar