Está en la página 1de 44

Seguridad perimetral

Sistemas de Detección y Prevención de Intrusos (IDPS)

UAH

Javier de Pedro Carracedo

Universidad de Alcalá

Aplicaciones Telemáticas

Curso 2010/11

Seguridad perimetral Sistemas de Detección y Prevención de Intrusos (IDPS) UAH Javier de Pedro Carracedo Universidad
  • 1 Introducción

Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS) Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de
  • 1 Introducción

Intrusos

Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS) Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Intrusión

Actividad emprendida por personas no autorizadas.

Denominación. Hackers o crackers.

Impostor (masquerader). Usuario no autorizado (desconocido).

Superar el control de acceso del sistema.

Infractor (misfeasor). Usuario legítimo (empleado).

Obtener acceso no autorizado. Autorizado, mal uso de los privilegios.

Usuario clandestino (clandestine user). Desconocido o empleado.

UAH

Tomar el control de la administración. Suprimir toda información de auditoría o registro (log).

Intrusión Actividad emprendida por personas no autorizadas. Denominación . Hackers o crackers. Impostor (masquerader). Usuario no
Intrusión Actividad emprendida por personas no autorizadas. Denominación . Hackers o crackers. Impostor (masquerader). Usuario no
  • 1 Introducción

Intrusos

Objetivos de la intrusión

Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS) Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Acceder al sistema. Ascender en la escala de privilegios de acceso.

Acceso a información protegida

Passwords de los usuarios (principalmente).

Proteger el fichero de passwords

Cifrado: simétrico o funciones hash de un solo sentido. Control de acceso.

UAH

Acceder al sistema. Ascender en la escala de privilegios de acceso. Acceso a información protegida Passwords
  • 1 Introducción

Intrusos Objetivos de la intrusión

Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS) Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Probar passwords comunes.

Fuerza bruta en passwords de corta longitud. Ataque de diccionario (passwords probables).

Direcciones, familia, hijos, mascotas, hobbies, números de teléfono, matrículas de automóvil, etc.

Sniffer para capturar passwords transmitidas por la red. Spyware o troyanos.

UAH

Probar passwords comunes. Fuerza bruta en passwords de corta longitud. Ataque de diccionario (passwords probables). Direcciones,
  • 1 Introducción

Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS) Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Muchos usuarios eligen passwords muy sencillas.

Objetivo

Eliminar passwords fácilmente adivinables. Técnicas.

Concienciación del usuario. Passwords generadas por ordenador. Chequeo reactivo de passwords. Chequeo proactivo de passwords.

UAH

Muchos usuarios eligen passwords muy sencillas. Objetivo Eliminar passwords fácilmente adivinables. Técnicas. Concienciación del usuario. Passwords

Directrices en la elección de una password. Concienciar al usuario de la importancia. Escaso éxito.

Muchos usuarios las ignoran. Muchos usuarios incapaces de valorar la robustez de una password.

UAH

Directrices en la elección de una password. Concienciar al usuario de la importancia. Escaso éxito. Muchos

Aleatoriedad memorización dificultosa, incluso pronunciable.

Usuarios tienden a escribirlas. Mínima aceptación. Una mejor aproximación.

Generar passwords a partir de sílabas pronunciables.

Generador automático de passwords definido en FIPS PUB

181.

UAH

Aleatoriedad ⇒ memorización dificultosa, incluso pronunciable. Usuarios tienden a escribirlas. Mínima aceptación. Una mejor aproximación. Generar

El sistema periódicamente ejecuta un cracker de passwords. Revelar passwords débiles.

Cancelar passwords descubiertas notificar al usuario. Problemas.

Consumo de recursos. El atacante dispone de mayor tiempo de CPU (fichero de passwords). Passwords vulnerables hasta que se descubra su debilidad.

UAH

El sistema periódicamente ejecuta un cracker de passwords. Revelar passwords débiles. Cancelar passwords descubiertas ⇒ notificar

El usuario puede seleccionar su propia password.

En el momento de selección se chequea la password, verificando si se permite o se rechaza. Equilibrio del proceso.

Fortaleza de la password. Aceptación del usuario.

Aproximaciones al chequeo de passwords.

Reglas fijas: longitud, mayúsculas, minúsculas, caracteres no alfanuméricos y/o numéricos, etc. Mantener lista de passwords inválidas, diccionario. Algoritmos: modelo de Markov, Bloom filter.

UAH

El usuario puede seleccionar su propia password. En el momento de selección se chequea la password,
  • 1 Introducción

Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción

Sistemas de Detección de Intrusos (IDS) Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Complemento de seguridad de los firewalls.

Los firewalls comprenden un sistema de restricciones y excepciones. Si un intruso enmascara el tráfico o se comunica directamente con una aplicación remota, el firewall no cumple su misión de primera barrera.

Políticas reactivas

Detección de intrusos (IDS). Detectar y alertar sobre intrusiones en un sistema o en una red.

Políticas proactivas

Prevención de intrusos (IPS). Establece políticas de seguridad para proteger a un sistema o a una red de un ataque.

UAH

También llamado Detección y Prevención de intrusos (IPDS). Extensión de IDS, con control de acceso más cercano a las tecnologías de los cortafuegos.

Complemento de seguridad de los firewalls. Los firewalls comprenden un sistema de restricciones y excepciones. Si
Complemento de seguridad de los firewalls. Los firewalls comprenden un sistema de restricciones y excepciones. Si
  • 1 Introducción

Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción

Sistemas de Detección de Intrusos (IDS)

Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Por su localización.

NIDS (Network Intrusion Detection System). HIDS (Host Intrusion Detection System).

Por su modelo de detección.

Detección de mal uso. Detección de uso anómalo.

Por su naturaleza.

Pasivos.

Reactivos.

UAH

Por su localización . NIDS (Network Intrusion Detection System). HIDS (Host Intrusion Detection System). Por su

Analizar tráfico en la red.

Examinar paquetes en búsqueda de opciones no permitidas, diseñadas para no ser detectadas por los firewalls.

Reportar alertas cuando se detecta la exploración de algún fallo presente en un programa del servidor.

Componentes

Sensores (agentes). En segmentos de red, monitorizan en busca de tráfico sospechoso.

Consola. Recibe las alarmas de los sensores y reaccionan según el tipo de alarma.

UAH

Analizar tráfico en la red. Examinar paquetes en búsqueda de opciones no permitidas, diseñadas para no

Ventajas

Detectan accesos no deseados en la red. No necesitan software adicional en los servidores. Fácil instalación y actualización.

Desventajas

Número de falsos-positivos. Sensores distribuidos en cada segmento de red. Tráfico adicional en la red. Difícil detección de ataques en sesiones cifradas.

UAH

Ventajas Detectan accesos no deseados en la red. No necesitan software adicional en los servidores. Fácil

Analizar el tráfico sobre un servidor o host.

Detectar intentos fallidos de acceso. Detectar modificaciones de archivos críticos.

Ventajas

Potencia.

Registrar comandos, ficheros abiertos, modificaciones importantes, etc.

Menor número de falsos-positivos. Menor riesgo en las respuestas activas que NDIS.

Desventajas

UAH

Requieren instalación en máquinas locales. Carga adicional en los sistemas. Tendencia a confiar la auditoría y el loggin a la máquina.

Analizar el tráfico sobre un servidor o host. Detectar intentos fallidos de acceso. Detectar modificaciones de
Analizar el tráfico sobre un servidor o host. Detectar intentos fallidos de acceso. Detectar modificaciones de

Detección de mal uso

Verificación de patrones de tráfico ilegales cursados en la red. Una vez recabada información sobre cómo explotar los puntos débiles de un sistema, describirla mediante patrones.

  • P. ej., combinaciones imposibles en un paquete, detección de

sniffers, etc.

Detección de uso anómalo

Estadísticas sobre tráfico típico en la red.

Detectar cambios en los patrones de utilización o en los comportamientos del sistema. Modelos estadísticos buscar desviaciones estadísticas significativas.

  • P. ej., tráfico excesivo en horarios no laborables, accesos

repetitivos, etc.

UAH

Detección de mal uso Verificación de patrones de tráfico ilegales cursados en la red. Una vez

IDS pasivo

Detectar posibles violaciones de la seguridad, registrarlas y generar alertas.

IDS reactivo

Reponder ante una violación de forma activa, expulsando al usuario del sistema o reconfigurando el firewall.

UAH

IDS pasivo Detectar posibles violaciones de la seguridad, registrarlas y generar alertas. IDS reactivo Reponder ante
  • 1 Introducción

Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS)

Topologías de un Sistema de Detección de Intrusos (IDS)

Arquitectura de un Sistema de Detección de Intrusos Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Diferentes topologías dentro de una red.

Compromiso entre coste, seguridad y necesidades de la empresa.

Topologías

Antes del cortafuegos.

Aviso prematuro. Detectar rastreo (barrido) de puertos. Número de alertas elevado.

En la zona desmilitarizada (DMZ).

Configuración exclusiva de NDIS frente a ataques dirigidos a los sistemas de la DMZ.

En la intranet.

Volumen de tráfico monitorizado reducido. NDIS menos potentes.

UAH

Diferentes topologías dentro de una red. Compromiso entre coste, seguridad y necesidades de la empresa. Topologías
UAH
UAH
  • 1 Introducción

Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS)

Topologías de un Sistema de Detección de Intrusos (IDS)

Arquitectura de un Sistema de Detección de Intrusos

Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Evolución sometida a los avances tecnológicos (nuevos métodos).

Principios básicos

Agentes autónomos distribuidos y coordinados por una entidad central. Exploración de los datos en tiempo real.

UAH

Evolución sometida a los avances tecnológicos (nuevos métodos). Principios básicos Agentes autónomos distribuidos y coordinados por

Un mismo agente autónomo distribuido en cualquier host. Cada agente monitoriza una característica.

El agente genera un informe y lo remite al transceiver al que pertenece.

Cada transceiver procesa todos los informes recibidos y se los envía al monitor.

El monitor recopila la información y extrae conclusiones.

UAH

Un mismo agente autónomo distribuido en cualquier host. Cada agente monitoriza una característica. El agente genera

UAH

UAH
UAH

Ventajas

La caída o fallo de un agente no repercute en el sistema. Los agentes pueden actuar como NIDS o HIDS. Pueden coexistir agentes SNMP o auditores de routers.

Desventajas

Consola central elemento crítico. El tamaño de la red monitorizada es limitado. Se incrementa el tráfico en la red.

UAH

Ventajas La caída o fallo de un agente no repercute en el sistema. Los agentes pueden

El IDS ejecuta un conjunto de reglas con coste computacional creciente.

El flujo de datos es analizado en binario por programas especializados, comparándose con los patrones almacenados en la base de datos.

Componentes

Sensores. Analizan y formatean los bits.

Detectores. Procesan los datos con objeto de determinar la presencia de ataques. Se envían los resultados a la base de datos.

UAH

El IDS ejecuta un conjunto de reglas con coste computacional creciente. El flujo de datos es

UAH

UAH
UAH

Ventajas

Veracidad: pocos falsos-positivos. Eficiencia: cuatro niveles de exploración.

Nivel 1. Características computadas cuando se recibe un paquete. Nivel 2. Características de la conexión. Nivel 3. Características analizadas después de la conexión. Nivel 4. Estadísticas computadas cuando finaliza la conexión.

Facilidad en la actualización de patrones. Todos los datos recogidos por los detectores son conocidos.

Desventajas

Número de datos de entrenamiento elevado. Personal altamente cualificado.

UAH

Ventajas Veracidad: pocos falsos-positivos. Eficiencia: cuatro niveles de exploración. Nivel 1. Características computadas cuando se recibe
  • 1 Introducción

Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords

Estrategias de selección de passwords

  • 2 Sistemas de Detección y Prevención de Intrusos (IDPS)

Introducción Sistemas de Detección de Intrusos (IDS)

Topologías de un Sistema de Detección de Intrusos (IDS) Arquitectura de un Sistema de Detección de Intrusos

Intrusion Detection and Prevention Systems (IDPS)

UAH

1 Introducción Intrusos Objetivos de la intrusión Técnicas de aprendizaje de passwords Estrategias de selección de

Identificar posibles incidencias. Registrar (log) la información sobre incidencias. Intentar contrarrestar las incidencias. Reportar informes a los administradores del sistema.

UAH

Identificar posibles incidencias. Registrar (log) la información sobre incidencias. Intentar contrarrestar las incidencias. Reportar informes a

Registro de las actividades en curso de los usuarios del sistema.

Registros de auditoría nativos.

Logs del propio sistema (p. ej. visor de eventos de Windows). Información de auditoría entremezclada (búsqueda tediosa).

Registros de auditoría específicos.

Generar registros de auditoría válidos para el sistema de detección de intrusos.

UAH

Registro de las actividades en curso de los usuarios del sistema. Registros de auditoría nativos .

Identificar problemas en la política de seguridad.

Tráfico que debería haber sido bloqueado por el firewall.

Documentar amenazas existentes en la organización.

Comprender frecuencia y naturaleza de los ataques. Educar a los administradores del sistema acerca de las amenazas a las que tiene que hacer frente la organización.

Disuadir a los usuarios que violan las políticas de seguridad.

Deben conocer que sus acciones son monitorizadas. Reducir propensión a cometer violaciones.

UAH

Identificar problemas en la política de seguridad. Tráfico que debería haber sido bloqueado por el firewall.

Registrar eventos relacionados con el tráfico cursado.

Servidores de logs locales o centralizados.

Notificación a los administradores de seguridad.

Alertas acerca de eventos inusuales. Email, SMS, SNMP, syslog, etc.

Reportes.

Compendiar eventos monitorizados. Información detallada sobre eventos particulares.

UAH

Registrar eventos relacionados con el tráfico cursado. Servidores de logs locales o centralizados. Notificación a los

Neutralizar el ataque.

Finalizar conexión de red. Bloquear acceso a la cuenta de usuario o dirección IP desde la que se ha perpetrado el ataque. Bloquear todos los accesos al host, servicio o aplicación comprometidos.

Modificar el escenario de seguridad.

Alterar configuración para interrumpir el ataque. Reconfigurar la red para bloquear el ataque. Reconfigurar las reglas del firewall.

Alterar el contenido del ataque.

Eliminar porciones maliciosas del ataque. Eliminar ficheros infectados del correo electrónico. Operar como un proxy, actualizando las peticiones entrantes.

UAH

Neutralizar el ataque. Finalizar conexión de red. Bloquear acceso a la cuenta de usuario o dirección

Detección basada en firmas. Detección basada en anomalías. Detección basada en políticas.

Perfiles acordes a la política de seguridad.

Detección Honey Pot (Jarra de Miel).

Distractor. Atractivo para los atacantes. Procedimiento de ataque política de seguridad.

UAH

Detección basada en firmas . Detección basada en anomalías . Detección basada en políticas. Perfiles acordes

Comparar eventos observados con firmas.

Firma. Patrón de una amenaza conocida. P. ej., email con asunto «Free pictures».

Método muy simple. Efectivo en la detección de amenazas conocidas. Ineficiente con amenazas desconocidas.

UAH

Comparar eventos observados con firmas. Firma . Patrón de una amenaza conocida. P. ej., email con

Comparar actividad normal con desviaciones significativas.

IDPS dispone de perfiles estáticos o dinámicos, basados en atributos, que representan un comportamiento normal.

Número de emails enviados por un usuario. Uso del procesador. Número de intentos fallidos en login.

Los perfiles se desprenden de la monitorización de la actividad sobre un período de tiempo representativo.

P. ej., 25 % del ancho de banda es consumido por tráfico web. Un incremento significativo sugiere una anomalía.

Detectar amenazas previamente identificadas. Inyectar actividad maliciosa en un perfil supone un problema.

UAH

Comparar actividad normal con desviaciones significativas. IDPS dispone de perfiles estáticos o dinámicos , basados en
Ross Anderson. Security engineering: a guide to building dependable distributed systems . Second edition, Wiley, 2008.

Ross Anderson.

Security engineering: a guide to building dependable distributed systems. Second edition, Wiley, 2008.

  • Karen Scarfone, Peter Mell. Guide to Intrusion Detection and Prevention Systems (IDPS). National Institute of Standards and Technology (NIST), 2007.

  • Karen Kent Frederick. Network Intrusion Detection Signatures, Part Five. Symantec, 2002.

UAH

Ross Anderson. Security engineering: a guide to building dependable distributed systems . Second edition, Wiley, 2008.