1 / 18

Evasión de IDS Cómo atacar sin ser detectado

Evasión de IDS Cómo atacar sin ser detectado. 02 Junio 2005. Sistemas de Detección de Intrusos. ¿Qué es un IDS? Definición Elementos básicos Fuentes de información Motor de análisis Respuesta frente alertas. Sistemas de Detección de Intrusos. Categorías NIDS vs HIDS DIDS

noelle
Download Presentation

Evasión de IDS Cómo atacar sin ser detectado

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Evasión de IDSCómo atacar sin ser detectado 02 Junio 2005

  2. Sistemas de Detección de Intrusos • ¿Qué es un IDS? • Definición • Elementos básicos • Fuentes de información • Motor de análisis • Respuesta frente alertas.

  3. Sistemas de Detección de Intrusos • Categorías • NIDS vs HIDS • DIDS • Análisis de patrones vs Detección de anomalías • Sistemas pasivos vs Sistemas Activos

  4. Problemática de los IDS • Falsas alertas • Falsos positivos • Falsos negativos • Insuficiente información • Datos de la topología • Estado de la red • Congestiones o problemas • Tipo de S.O. de las máquinas • Estado de las máquinas. Carga.. • Ambigüedades • En los propios protocolos • La variedad de implementaciones • Inconsistencias en la red Lo que define a un ataque no es un paquete, sino el comportamiento que induce ese paquete en la máquina objetivo.

  5. Ataques contra NIDS • Ataques contra NIDS • Ataques de Inserción • Ataques de evasión • Denegación de Servicio • CPU • Memoria • Disco • Ancho de banda • Otro: spoofing, inundación de alertas,etc.

  6. Ataque de Inserción

  7. Ataque de Evasión

  8. Capa de red • Ataques en la capa de red • Cómo conseguir Inserción o Evasión en el NIDS • Cabeceras malformadas • Ejemplo: checksum • Opciones IP • Strict source routing • Timestamp

  9. Ataque basado en TTL

  10. Ataque basado en MTU

  11. Ataques de fragmentación (timeout-1)

  12. Ataques de fragmentación (timeout-2)

  13. Ataques de fragmentación (overlap)

  14. Capa de transporte • Ataques a nivel TCP • Más elaborados • Cabeceras malformadas • Opciones no permitidas en ciertos estados. • Datos en un paquete SYN • Checksum • Opciones TCP • Ejemplo: PAWS • Timestamp inválido • Modificar el umbral

  15. Sincronización del NIDS • Sincronización del NIDS • Estado • Números de secuencia • BCT = Bloque de control TCP • Puntos donde de-sincronizar el NIDS • Creación de BCT • Reensamblado • Duplicado de segmentos • Superposición de segmentos • Destrucción del BCT

  16. Ataque en otras capas • Capa de enlace • Ataques de spoofing  Inserción. • Capa de aplicación • HTTP

  17. Conclusiones • Soluciones y consideraciones • No es sencillo evadir NIDS • Mucha información necesaria • Mejores capacidades • Se deben dar ciertos problemas de configuración • Ataques a ciegas • Soluciones • Normalización del tráfico • Uso de una base de conocimientos • Mapeado Activo

  18. FIN ¿Preguntas? Roberto Gutiérrez rogugil@alumni.uv.es CONFIDENCIALIDAD Y RESTRICCIONES DE USO Toda la información contenida en el presente documento, sea de naturaleza técnica, comercial, financiera o de cualquier otro tipo, es propiedad de TISSAT y considerada como “Información estrictamente confidencial”, por lo que no se revelará a terceras partes quedando prohibida su reproducción, total o parcial, por cualquier medio sin el previo consentimiento expreso de TISSAT.

More Related