sistemas detectores de intrusos ids n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Sistemas Detectores de Intrusos IDS PowerPoint Presentation
Download Presentation
Sistemas Detectores de Intrusos IDS

Loading in 2 Seconds...

play fullscreen
1 / 35

Sistemas Detectores de Intrusos IDS - PowerPoint PPT Presentation


  • 158 Views
  • Uploaded on

Sistemas Detectores de Intrusos IDS. Por: Arturo de la Torre Escuela Politécnica del Ejercito. 2006 Junio 9. ¿Por qué es importante la seguridad de la Información?.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Sistemas Detectores de Intrusos IDS' - kenda


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
sistemas detectores de intrusos ids

Sistemas Detectores de IntrusosIDS

Por: Arturo de la Torre

Escuela Politécnica del Ejercito

2006 Junio 9

por qu es importante la seguridad de la informaci n
¿Por qué es importante la seguridad de la Información?
  • La importancia de la Información como elemento de ventaja competitiva en las empresas, exige el desarrollo de prácticas para una administración segura de los datos.
  • La Seguridad de la Información comprende a: Personas, Procesos y Tecnologías.
  • Es un componente del Riesgo de las Tecnologías de la Información

Arturo de la Torre

repercusi n de las infracciones de seguridad
Repercusión de las infracciones de seguridad

Perjuicio de la

reputación

Pérdida de

beneficios

Deterioro de la

confianza del

inversor

Pérdida o

compromiso

de seguridad

de los datos

Deterioro de la

confianza del

cliente

Interrupción de

los procesos

empresariales

Consecuencias

legales

Arturo de la Torre

piramide del riesgo informatico en los departamentos de tecnologias de la informacion
PIRAMIDE DEL RIESGO INFORMATICO EN LOS DEPARTAMENTOS DE TECNOLOGIAS DE LA INFORMACION

Arturo de la Torre

qu son los eventos
Qué son los eventos?
  • Los eventos son acciones que se desarrollan en la red.
  • Ejemplos de eventos son: intentos de conexiones, enlaces cumplidas entre dos estaciones de trabajo, una autentificación y login del sistema, una respuesta exitosa a un URL, o la respuesta enviada por un servidor a una petición realizada por un navegador.

Arturo de la Torre

slide6

Qué es el Riesgo Informático?

Diseñamos los sistemas para minimizar el Riesgo Informático.

El riesgo es una función de la vulnerabilidad de los sistemas y la exposición de ellos al entorno como consecuencia de un evento.

R = V x E

Arturo de la Torre

qu son los ataques del d a cero
Qué son los ataques del día cero?
  • Los ataques del día cero, ocurren cuando se explota una vulnerabilidad que fue creada con anterioridad, o en el mismo día en que se encontró la vulnerabilidad del sistema.
  • Las organizaciones de TI constantemente buscan que sus miembros tengan sistemas actualizados y parchados, pero la realidad es que muchos de los parches no han sido verificados con la debida precaución y se desconoce las secuencias de relacionarlos con otros paquetes que pueden encontrarse instalados en los hosts (Dilema de Prometeo).
  • Este margen de error deja expuestos los sistemas a ataques, en el intervalo entre que se aplicó un parche y el instante en que se detectó la vulnerabilidad. Este espacio de tiempo puede un programador con medianos conocimientos aprovechar para generar un ataque devastador contra el sistema.

Arturo de la Torre

qu son las pol ticas de los scripts
Qué son las políticas de los scripts?
  • Las políticas en scripts son programas destinados a detectar eventos. Ellos contienen las reglas que describen los tipos de actividades que deben ser desechadas por razones de administración.
  • Ellos analizan los eventos en la red e inician acciones basadas en este análisis.

Arturo de la Torre

pueden utilizarse los scripts para ejecutar acciones
Pueden utilizarse los scripts para ejecutar acciones?
  • Sí, los scripts generan un número significativo de archivos de salida que manifiestan toda la actividad desarrollada en la red (incluyendo aquella información que no necesariamente representa un ataque).
  • Los scripts pueden generar alertas que informan sobre un evento específico.
  • Complementariamente, los scripts pueden ejecutar programas para terminar las conexiones existentes, bloquear el tráfico desde los hosts considerados peligrosos, mediante la introducción de reglas sobre los equipos maliciosos.
  • Enviar e-mails de alertas o también mensajes a todo el staff responsable.

Arturo de la Torre

slide10

WEB Server

Mobile Users

File/Applications Server

Workstations

E-mail Gateway

TODOS LOS COMPONENTES DEL SISTEMA PUEDEN SER OBJETO DE ATAQUE

Perimetral Security

cu les son los tipos de ataques m s comunes y las firmas reconocidas
Cuáles son los tipos de ataques más comunes y las firmas reconocidas?
  • Los tipos de ataques más comunes son : ping sweeps, DNS zone transfers, e-mail recons, TCP or UDP port scans, y posiblemente la indexación de todo un sitio web para buscar vulnerabilidades.
  • Los intrusos generalmente se aprovecharán de ventanas ocultas o fallas de programación para obtener acceso al sistema.
  • Denial-of-service (DoS) es uno de los métodos de ataque más comun. Donde el intruso intenta violar un servicio en la máquina, sobrecargando los enlaces de red, sobrecargando el CPU o superando la capacidad del disco.
  • El intruso no trata de obtener información del sistema, busca es violar las seguridades del mismo. Por tanto las firmas se basan en la evidencia que dejan estos tipos de ataques.

Arturo de la Torre

qu es un falso positivo
Qué es un falso positivo?
  • La mayoría de Sistemas de Seguridad utilizan firmas para comparar los tipos de ataques que puedan presentarse.
  • En ocasiones la actividad normal de la red puede disparar un trigger en el Sistema de Seguridad , es decir se detecta una firma de ataque en el trabajo normal de la red.
  • Los IDS detectan una firma de ataque durante la actividad normal del sistema.
  • Por tanto, parte del mantenimiento del IDS deberá ser identificar el tipo de información con la cual estamos trabajando, y preparar el IDS para que esta información no sea identificada como un falso positivo.

Arturo de la Torre

qu es un falso negativo
Qué es un falso negativo?

La mayoría de Sistemas de Seguridad actuales se basan en comparación de firmas referentes a los ataques.

  • En determinadas ocasiones, la actividad generada por un ataque no es correctamente identificada y consecuentemente no se dispara el trigger del IDS para alertar sobre el problema.
  • Es decir esta sucediendo un ataque real y el Sistema de Seguridad no está informando debidamente sobre este evento.

Arturo de la Torre

c mo se detectan las intrusiones
Cómo se detectan las intrusiones?
  • Reconocimiento de firmas
  • La mayoría de sistemas de este tipo se diseñan para examinar el tráfico, buscando en el mismo huellas de ataques conocidos. Esto significa que para cada técnica de Hacking, los ingenieros deberán codificar algo que identifiquen inequívocamente a esta técnica.
  • Las opciones aquí conocidas pueden variar desde la simple coincidencia de un rastro dejado en el sistema. Por ejemplo rastrear el destino de cada paquete enviado por la red desde el origen "/cgi-bin/phf?", lo cual puede identificar que alguien esta intentando violar el sistema a través de una vulnerabilidad bien identificada en el servidor.

Arturo de la Torre

qu es la detecci n de intrusos
Qué es la detección de intrusos?
  • La Detección de Intrusos es un proceso activo que facilita la documentación, detección de ataques y código malicioso en la red.
  • Esta basado en dos tipos de análisis que debe realizarse al software: El análisis del software en los hosts y el análisis de los paquetes en la red.

Arturo de la Torre

porqu es importante tener un ids sistema detector de intrusos
Porqué es importante tener un IDS (Sistema Detector de Intrusos)?
  • Los computadores conectados directamente al Internet son objeto continuo de ataques. Mientras que las medidas de protección como: configuraciones seguras, actualizaciones de software y firewalls son todas medidas preventivas difíciles de mantener y que no pueden garantizar un blindaje total contra todas las vulnerabilidades.
  • Un IDS proporciona una defensa pro activa, detectando cada conexión y actividad peligrosa. Podemos decir que un IDS funciona como los ojos de un guardia, que persiguen a cualquier intruso, y que nos mantiene informados cuando todas las otras medidas de seguridad han fallado.

Arturo de la Torre

si un ids no puede prevenir un ataque por qu es necesario mantener uno
Si un IDS no puede prevenir un ataque, por qué es necesario mantener uno?
  • Un IDS no puede evitar una acción de hacking, y mas bien solo puede alertarnos sobre ciertas actividades peligrosas. Sin embargo, en base a anteriores experiencias conocemos que una acción de hacking y la violación de un sistema no son cosas que suceden en una noche.
  • Una violación planificada de un sistema puede tomar varios días, semanas, meses e incluso años. En estos casos el IDS nos proporciona las alertas necesarias para tomar las medidas correctivas en nuestro sistema.

Arturo de la Torre

cu les son los tipos de ids m s comunes
Cuáles son los tipos de IDS más comunes?
  • Los dispositivos IDS se clasifican en:
    • Basados en firmas
    • Basados en el análisis de acciones.

Arturo de la Torre

qu es un sistema ids de red
Qué es un sistema IDS de red?
  • Un IDS es un sistema diseñado para detectar y reportar intentos no autorizados de acceso al sistema o utilizar recursos que no están autorizados.
  • Un sistema IDS de red, colecciona, filtra y analiza todo el tráfico que pasa a través de un punto de red específico.

Arturo de la Torre

otros tipos de ids adem s de los basados en el an lisis del tr fico en la red
Otros tipos de IDS, además de los basados en el análisis del tráfico en la red.

Existen IDS basados en el análisis del software existente en cada computador (o host).

  • En estos sistemas cada equipo tiene instalado un IDS cliente, el cual reporta en forma local a una estación de monitoreo de la red.
  • La ventaja de estos sistemas, radica en que las operaciones y configuraciones internas del sistema, pueden ser monitoreadas en forma individual.

Arturo de la Torre

slide22
Cuál es la diferencia entre los IDS basados en el análisis de los HOSTS y los IDS basados en el análisis del flujo en la red.
  • HIDS es un software que informa sobre el estado en que una máquina se encuentra. Esto lo realiza a través del análisis de los archivos en la máquina que indican si la máquina ha sido violada, comprometida o permanece segura.

Algunos ejemplos de software basados en el concepto de HIDS son aquellos que manejan la integridad del sistema, por ejemplo (TripWire), Anti-virus software kaspersky y su tecnología iStream, Server Logs (syslog), y los sistemas de backup que permiten detectar cambios en el sistema.

  • NIDS es un software que monitores los paquetes en la red y los examina en comparación con firmas existentes y reglas definidas. Cuando las reglas son violadas la acción puede ser registrada y el administrador informado sobre el estado. Ejemplos de estos sistemas son SNORT, ISS Real Secure, Junipher

Arturo de la Torre

cu les son las condiciones requeridas para una ptima explotaci n de los hids
Cuáles son las condiciones requeridas para una óptima explotación de los HIDS?
  • Los HIDS son sistemas que se utilizan para un monitoreo más puntual, en servidores específicos o máquinas importantes para la Institución.
  • Los HIDS detectan cualquier anomalía en estos importantes servidores o hosts.
  • Utilizamos HIDS cuando no podemos comprometer el buen funcionamiento de un servidor o grupo de equipos específicos.
  • Los servidores deben ser muy importantes y de misión critica para que en ellos se instalen un IDS.
  • Este monitoreo se realiza a través de un agente que se instala en el sistema, el agente monitorea el sistema y proporciona la información necesaria a la estación de monitoreo.

Arturo de la Torre

cu les son las condiciones requeridas para una ptima explotaci n de los hids1
Cuáles son las condiciones requeridas para una óptima explotación de los HIDS?
  • Las firmas dejadas por un hacker son evidencias de una violación al sistema.
  • Cuando un ataque malicioso es lanzado contra un sistema, el atacante necesariamente deja evidencias de sus acciones en los logs del sistema.
  • Cada intento de violación deja huellas de accesos no autorizados (e.g., unauthorized software executions, failed logins, misuse of administrative privileges, file and directory access).
  • Basados en esta evidencia el administrador puede documentar el ataque y prevenir la violación del sistema en el futuro.
  • Además puede tener un registro de firmas propio complementario que le ayude a proteger el sistema en forma pro activa, determinado que ataque fue perpetrado, en qué forma y bajo qué condiciones.

Arturo de la Torre

cu l es la diferencia entre un firewall y un sistema detector de intrusos
Cuál es la diferencia entre un firewall y un Sistema Detector de Intrusos?
  • Un firewall es un sistema que normalmente se coloca para la protección perimetral de la red, define los accesos permitidos a los sistemas internos desde Internet. En el firewall cada acción que no esta explícitamente permitida tiene el acceso denegado a través de las reglas.
  • Un Sistema Detector de Intrusos es un dispositivo de software o hardware conectado a la red, que permite monitorear y detectar todas las actividades sospechosas en el sistema. En términos simples se puede decir que el firewall representa una puerta o ventana de acceso, mientras que el IDS es una cámara que registra todos los eventos en el sistema.
  • Un firewall puede bloquear una conexión, mientras que un IDS puede alertar sobre cualquier actividad sospechosa al interior de la red. Por otra parte existen los denominados IPS (Intrusion Prevention System) que son dispositivos que pueden bloquear en forma pro activa todas las conexiones sospechosas que puedan presentarse en el sistema.

Arturo de la Torre

c mo puedo verificar el buen funcionamiento de mi ids
Cómo puedo verificar el buen funcionamiento de mi IDS?
  • Coloquen el IDS en una red de prueba con un hub y un servidor de prueba.
  • Ejecuten una herramienta como nmap contra el servidor.
  • Cuando nmap haya terminado de atacar, el IDS deberá haber identificado el tipo de ataque.
  • Si el IDS no detecto ningún ataque, significa que el sistema tienen unas firmas muy antiguas, y consecuentemente puede utilizar esta información para crear sus propias nuevas reglas.
  • Finalmente escriba unos cuantos paquetes que utilicen las reglas escritas y verifiquen el buen funcionamiento.

Arturo de la Torre

ejemplos de algunos ids personales
Ejemplos de algunos IDS personales?
  • Algunos IDS están diseñados para ser aplicados en computadores personales. Estos paquetes proporcionan funciones de firewalls e IDS para computadores específicos o usuarios, ejemplos:

Antihacker KasperskyZoneAlarm

Arturo de la Torre

qu herramientas pueden utilizarse para generar paquetes de verificaci n
Qué herramientas pueden utilizarse para generar paquetes de verificación?
  • Estas son algunas de las herramientas más utilizadas para esta actividad:

kltps

Hping

Trinux

Arturo de la Torre

qu es un sistema de prevenci n de red ips
Qué es un sistema de prevención de red IPS?
  • Intrusion Prevention Systems (IPS), son sistemas que automáticamente detectan y bloquean el tráfico malicioso en la red. Permitiendo validar el tráfico en forma automática y en caso de ser necesario bloquear los eventos maliciosos antes de que lleguen a su destino final.
  • Un IPS debe operar en tiempo real con el menor impacto para el sistema, en lo referente a latencia y debe ser escalable para cubrir toda la demanda de un sistema multigigabit.

Arturo de la Torre

porqu necesito un ips si en la actualidad yo tengo un firewall y un ids
Porqué necesito un IPS, si en la actualidad yo tengo un firewall y un IDS?

Los firewalls comúnmente se encuentran en el perímetro de la red, y muchos ataques pueden fácilmente violar esta seguridad. Muchos de estos ataques pueden ser inadvertidos para la organización. Ejemplos:

  • Un empleado que utiliza su notebook en casa y en el trabajo.
  • Un usuario que descarga malware en forma inadvertida desde Internet.
  • Un usuario remoto que se conecta a través de una VPN, y se encuentra en un ambiente de alto riesgo.
  • Usuarios disgustados o desadaptados, que sabotean intencionalmente los sistemas.

Arturo de la Torre

porqu necesito un ips si en la actualidad yo tengo un firewall y un ids1
Porqué necesito un IPS, si en la actualidad yo tengo un firewall y un IDS?

Un IDS puede ser efectivo al detectar actividades sospechosas dentro del sistema, pero no proporciona protección contra los ataques por ejemplo de gusanos. Como por ejemplo: Slammer y Blaster, los que se reproducen tan rápidamente que para el momento en que se generan las alertas el daño ya fue causado.

  • Para que una prevención sea efectiva, debe desarrollarse en línea y ser capaz de detectar automáticamente las acciones maliciosas. Adicionalmente, deberá bloquear los paquetes maliciosos en el tráfico normal de la red, antes de que pueda ocasionar daños.
  • La prevención debe presentarse aún cuando las condiciones de tráfico son extremas y consecuentemente importantes.
  • El tráfico positivo nunca deberá bloquearse aún durante un ataque de red.
  • Finalmente un IPS deberá tener una latencia similar a la de un switch.

Arturo de la Torre

porqu necesito un ips si en la actualidad yo tengo un firewall y un ids2
Porqué necesito un IPS, si en la actualidad yo tengo un firewall y un IDS?
  • Una vez aceptados estos parámetros para la efectiva prevención contra intrusos, es fácil determinar que agregando unos cuantos dispositivos para bloquear el tráfico no deseado se puede considerablemente incrementar el rendimiento del sistema.
  • El concepto de bloquear el tráfico malicioso en la red, antes de que alcance los Hosts es el más simple y adecuado.
  • Sin embargo dada la rápida evolución de los sistemas y la sofisticación de los ataques de fuerza bruta, los administradores de seguridad requieren de IPS y otros dispositivos complementarios como IDS y Firewalls para garantizar la seguridad.

Arturo de la Torre

cu les son las principales caracter sticas de un ips
Cuáles son las principales características de un IPS?

Las principales características de un buen IPS son:

  • Bloquear los ataques conocidos y desconocidos, incluso los de día cero.
  • No bloquear jamás el tráfico positivo aún bajo un ataque masivo..En virtud que debe trabajar en línea debe ser una solución de hardware, para no convertirse en un punto de fallo.
  • No depender de las firmas conocidas como su primera línea de identificación, sino mas bien tener otras formas más sofisticadas.
  • No introducir latencia en la comunicación aún bajo un fuerte ataque o carga extrema, en virtud que esto generara un impacto negativo para el negocio.
  • Una rápida configuración para una protección inmediata con requerimientos mínimos de mantenimiento.

Arturo de la Torre

cu les son las principales caracter sticas de un ips1
Cuáles son las principales características de un IPS?
  • Acceso desde una consola central a todas las estaciones, que permiten mantener datos para auditoria.
  • Capacidad de crecimiento proporcional a los nuevos requerimientos de la red.
  • Actualizaciones que cubran los nuevos requerimientos que pueda presentar nuestra red a futuro (firmas, parches, configuraciones).
  • Presentación de información en forma comprensible para los administradores, sobre los tipos de ataques maliciosos realizados contra el sistema, y recomendaciones para reprogramar los firewalls, email gateways, web services.
  • Una combinación de análisis de trafico en la red y comportamiento de los sistemas operativos, a fin de determinar posibles amenazas.

Arturo de la Torre