1 / 30

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS. Introducción. Importancia de la seguridad en las organizaciones Desconocimiento de todas las vulnerabilidades Se descubren vulnerabilidades en los sistemas cada día. Tecnologías de la seguridad. Escáneres de vulnerabilidades

tahir
Download Presentation

IDS SISTEMAS DE DETECCIÓN DE INTRUSOS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IDSSISTEMAS DE DETECCIÓN DE INTRUSOS

  2. Introducción • Importancia de la seguridad en las organizaciones • Desconocimiento de todas las vulnerabilidades • Se descubren vulnerabilidades en los sistemas cada día Sistemas de Detección de Intrusos

  3. Tecnologías de la seguridad • Escáneres de vulnerabilidades • Sistemas (política de seguridad, usuarios, configuraciones,...) • Servicios ofrecidos a los demás ordenadores • Detectores de ataques • Centinelas en los sistemas • Análisis del flujo de datos que circulan por la red Sistemas de Detección de Intrusos

  4. Complementos a los cortafuegos • Los cortafuegos se basan en un sistema de restricciones y excepciones • Problema: cuando un atacante enmascara el tráfico o se comunica directamente con una aplicación remota el cortafuegos no cumple con su misión de primera barrera Sistemas de Detección de Intrusos

  5. Sistemas Detectores de Intrusos • Complemento de seguridad de los firewalls • Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red • Intrusión: actividad realizada por personas no autorizadas o actividades no autorizadas Sistemas de Detección de Intrusos

  6. IDS: Clasificación • Según localización: • NIDS (Network Intrusion Detection System) • HIDS (Host Intrusion Detection System) • Según modelo de detección: • Detección de mal uso • Detección de uso anómalo • Según naturaleza • Pasivos • Reactivos Sistemas de Detección de Intrusos

  7. NIDS: Introducción • Analiza el tráfico de toda la red • Examina paquetes en búsqueda de opciones no permitidas y diseñadas para no ser detectadas por los cortafuegos • Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor Sistemas de Detección de Intrusos

  8. NIDS: Componentes • Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso • Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida Sistemas de Detección de Intrusos

  9. NIDS: Ventajas • Detectan accesos no deseados en la red • No necesitan software adicional en los servidores • Fácil instalación y actualización (sistemas dedicados) Sistemas de Detección de Intrusos

  10. NIDS: Desventajas • Número de falsos-positivos • Sensores distribuidos en cada segmento de la red • Tráfico adicional en la red • Difícil detección de los ataques de sesiones encriptadas Sistemas de Detección de Intrusos

  11. HIDS: Introducción • Analiza el tráfico sobre un servidor o un PC • Detecta intentos fallidos de acceso • Detecta modificaciones en archivos críticos Sistemas de Detección de Intrusos

  12. HIDS: Ventajas • Potente: registra comandos, ficheros abiertos, modificaciones importantes,... • Menor número de falsos-positivos que el NIDS • Menor riesgo en las respuestas activas que los NIDS Sistemas de Detección de Intrusos

  13. HIDS: Inconvenientes • Instalación en máquinas locales • Carga adicional en los sistemas • Tiende a confiar la auditoria y el loggin a la máquina Sistemas de Detección de Intrusos

  14. IDS: modelos de detección • Detección del mal uso • Verificación sobre tipos ilegales de tráfico de red • Se implementa observando cómo explotar los puntos débiles de los sistemas y describiéndolos mediante patrones • Ej.: combinaciones ‘imposibles’ dentro de un paquete, detección de sniffers,... Sistemas de Detección de Intrusos

  15. IDS: modelos de detección • Detección de uso anómalo • Estadísticas sobre tráfico típico en la red • Detecta cambios en los patrones de utilización o comportamiento del sistema • Utiliza modelos estadísticos y busca desviaciones estadísticas significantes • Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos ... Sistemas de Detección de Intrusos

  16. IDS: Según su naturaleza • IDS Pasivo • Detectan la posible violación de la seguridad, la registran y generan alerta • IDS Activo • Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall Sistemas de Detección de Intrusos

  17. Topología de IDS • Diferentes topologías dentro de una red • Buscar un compendio entre coste económico, seguridad y necesidad de la empresa Sistemas de Detección de Intrusos

  18. Topología de IDS • Antes del cortafuegos • Aviso prematuro • Detecta rastreo de puertos • Número de alertas elevado • En la DMZ • Configuración exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ • En la intranet • Volumen de tráfico a monitorizar reducido • NIDS menos potentes Sistemas de Detección de Intrusos

  19. Topología de IDS: Ejemplo Sistemas de Detección de Intrusos

  20. Arquitectura de IDS • Han evolucionado con el paso del tiempo y la aparición de nuevas tecnologías y métodos • Dos principios básicos: • Agentes autónomos distribuidos y coordinados por una entidad central • Exploración de los datos en tiempo real Sistemas de Detección de Intrusos

  21. IDS: Agentes Autónomos • Un mismo agente autónomo puede ser distribuido en cualquier host • Cada agente monitoriza una característica • El agente genera un informe y lo envia al transceiver al que pertenece • Los transceivers procesan todos los informes y lo envían al monitor • El monitor recopila información y obtiene conclusiones Sistemas de Detección de Intrusos

  22. IDS: Agentes Autónomos Transceiver Monitor Agente Flujo de Control HOST Flujo de Datos Sistemas de Detección de Intrusos

  23. IDS: Agentes Autónomos • Ventajas: • La caída o fallo de un agente no repercute en el sistema • Los agentes pueden actuar de NIDS o HIDS • Pueden existir agentes SNMP o auditores de routers Sistemas de Detección de Intrusos

  24. IDS: Agentes Autónomos • Desventajas • Consola central elemento crítico • El tamaño de la red a monitorizar es limitado • Aumento tráfico en red Sistemas de Detección de Intrusos

  25. IDS: Exploración en tiempo real • El IDS ejecuta un conjunto de reglas con coste computacional creciente • El flujo de datos es analizado en binario por programas especializados que los compara con patrones de la base de datos Sistemas de Detección de Intrusos

  26. IDS: Exploración en tiempo real • Componentes • Sensores: analizan y formatean los bits • Detectores: procesan los datos para determinar ataques. Envía resultados a la base de datos. Dos tipos: • Front-End: detecciones de intrusos sencilla • Back-End: utilización de métodos complejos Sistemas de Detección de Intrusos

  27. IDS: Exploración en tiempo real Flujo de bits Sensor Detector Datos formateados Modelo Base de Datos Datos formateados Modelo Generador del Modelo Adaptativo Sistemas de Detección de Intrusos

  28. IDS: Exploración en tiempo real • Ventajas • Veracidad: pocos falsos-positivos • Eficiencia: 4 niveles • Nivel 1: características computadas al recibir el paquete • Nivel 2: Características de la conexión • Nivel 3: Características analizadas después de la conexión • Estadísticas computadas al final de la conexión • Usabilidad: facilidad de actualizar patrones • Se conocen todos los datos recogidos por los detectores Sistemas de Detección de Intrusos

  29. IDS: Exploración en tiempo real • Desventajas: • Número de datos de entrenamiento elevados • Requiere personal altamente preparado Sistemas de Detección de Intrusos

  30. Conclusiones • IDS es un complemento de seguridad de los cortafuegos • Buscar soluciones que se adapten a los recursos de la empresa • Integrar los IDS en la política de seguridad de la empresa Sistemas de Detección de Intrusos

More Related