IDS/IPS

1. IDS/IPS Intrusion Detection System/Intrusion Prevention System Dispositivo/aplicación que supervisa actividades de red o sistema para detectar eventos sospechosos o maliciosos. Respondiendo con alarmas y generando reportes

2. ¿Por qué es necesario un IDS? Bloquea cosas malas externas conocidas Detecta cosas sospechosas internas

3. Sistemas de Detección de Intrusos (IDS)‏ • Si todas las protecciones fallan, sólo nos queda detectar cuando algo no deseado ocurre • Proceso de detectar actividades anormales, inapropiadas o incorrectas • La mayoría de los ataques son perpetrados desde el interior

4. Detección Detectar cosas malas conocidas Basada en conocimiento Patrones de comportamiento sospechoso Detectar cosas no buenas Basada en comportamiento Pérfil de comportamiento normal Análisis estadístico

5. IDS Monitoriza actividades de usuario y sistema Audita configuración de sistemas Reconoce patrones de ataques conocidos Identifica actividad anormal Análisis estadístico Registra información de intrusos

6. Falsos positivos Falsas alarmas Generar alarma cuando no pasó nada Falsos negativos No generar la alarma cuando hubo una intrusión Problemas

7. Funcionamiento continuo y en tiempo real Tolerancia a fallas del sistema Tolerancia a fallas de si mismo Mínima carga adicional (overhead) Configurabilidad Flexibilidad Confiabilidad Mínimo falsos positivos No falsos negativos Características

8. Tipos de IDS • Network Intrusion Detection Systems • Host-Based Intrusion Detection Systems • Hybrid Intrusion Detection Systems • Signature-Based Intrusion Detection Systems • Anomaly-Based Intrusion Detection Systems

9. Network IDS • Supervisa paquetes en la red • Detecta actividad anormal • Lee y analiza paquetes que entran y salen en busca de patrones de actividad sospechosa • Se puede configurar para que trabaje con otros sistemas

10. Host based IDS • Supervisa y analiza el equipo en el que está instalado • Verifica si algún programa o usuario ha evadido la política de seguridad establecida por el sistema operativo. • Se encuentra al tanto del estado del equipo

11. HIDS vs NIDS HIDS Típicamente es un software instalado en un sistema Agent-based Monitoriza múltiples fuentes de datos, incluyendo el sistema de archivos tipo meta-data, y archivos tipo log Wrapper-based Actúa como un firewall – bloquea o acepta conexiones o logins de acuerdo a políticas previamente establecidas. NIDS • Monitoriza el tráfico en la red • Reporta tráfico considerado “anormal” • Basado en anomalías • Tamaño de paquetes, destinos, protocol de distribuciones, etc • Difícil de determinar que tráfico es “normal” • Basado en firmas • La mayoría de los productos utiliza tecnologías basadas en firmas.

12. Signature Based IDS Busca patrones de eventos específicos de ataques documentados y conocidos Típicamente conectado a grandes bases de datos que contienen la información de la firmas. Sólo detecta ataques conocidos y registrados en la base de datos. Lenta ejecución cuando se detectan ciertos patrones dañinos conocidos.

13. Anomaly Based IDS • Identifica intrusos al momentos de detectar anomalías • Funciona con la noción de que la “conducta extraña” es lo suficientemente diferente a la “conducta normal” • El administrador del sistema define los parámetros de la conducta normal • Tiene la capacidad de detectar nuevos ataques • Problemas con falsos positivos, mucho tiempo de proceso en los encabezados, requiere tiempo para crear records estadísticos de comportamiento.

14. IDS y ........... Prevención Puertas, candados, rejas, perro, etc. Detección Detectores movimiento, de humo, perrito, etc. Se necesitan ambos! Reacción Alarma, llamar policía, soltar perrote, etc.

15. Sistemas de prevención de Intrusos IPS: Intrusion Prevention System Detección antes del ataque IDS de reacción activa o firewall? Es un término muy usado

16. Snort (www.snort.org)