SEGURIDAD EN LA INFORMACIN.

IDS

Introduccin a los
Sistemas de deteccin de
Intrusos (IDS) y
monitoreo de Seguridad

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS
Objetivo General
Comprender los requerimientos y
responsabilidades corporativas necesarias para
completar exitosamente un proyecto de Deteccin
de Intrusos

Implementacin y Administracin de IDS

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS
Un sistema de deteccin de intrusos (o IDS de sus siglas en
ingls Intrusion Detection System) es un programa usado
para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosas
personas con un nivel alto en computacin, o de algunos
Script que usan como herramientas automticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer
de red) con los que el ncleo del IDS puede obtener datos
externos (generalmente sobre el trfico de red). El IDS
detecta, gracias a dichos sensores, anomalas que pueden
ser indicio de la presencia de ataques o falsas alarmas.

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Arquitectura de IDS
Bsicamente existen dos tipos de detectores de Intrusos:
IDSes basados en red (Net IDS)
Un IDS basado en red monitorea los paquetes que circulan por nuestra red en
busca de elementos que denoten un ataque contra alguno de los sistemas
ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un
elemento que analice todo el trafico (como un HUB o un enrutador). Este
donde este, monitorizara diversas maquinas y no una sola: esta es la principal
diferencia con los sistemas de deteccin de intrusos basados en host.
IDS

ASESORIA

SEGURIDAD EN LA INFORMACIN.
IDS

Arquitectura de IDS
IDSes basados en maquina (Host IDS)
Mientras que los sistemas de deteccin de intrusos basados en red operan
bajo todo un dominio de colisin, los basados en maquina realizan su funcin
protegiendo un nico sistema; de una forma similar a como acta un escudo
antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en
background (o que despierta peridicamente) buscando patrones que puedan
denotar un intento de intrusin o mala utilizacin y alertando o tomando las
medidas oportunas en caso de que uno de estos intentos sea detectado.

IDS
IDS

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Filtros y Patrones

IDS
Filtros
Descartan paquetes
de informacin que
cumplen con ciertos
criterios como IP
fuente, protocolo,
puerto, etc

ASESORIA

Patrones
Comparan la
informacin de los
paquetes y los datos
mismos para tomar
acciones correctivas
como desconexin, email, almacenamiento
en logs, etc.

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS
Ejemplo de filtro:

Filtros y Patrones

Direccin IP

200.20.10.10

Mascara

255.255.255.0

Protocolo

TCP

Puerto

80, 443, 25, 23

Ejemplo de Patrn:
Direccin IP

cualquiera

Mascara

cualquiera

Protocolo

TCP

Puerto

80

Patrn

cmd.exe

Accin

Desconexin, ee-mail (ids@miempresa.com

(ids@miempresa.com),
), log

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Interoperabilidad y correlacin
La interoperabilidad
interoperabilidad, permite que un sistema IDS pueda compartir u obtener
informacin de otros sistemas como Firewalls, Enrutadores y Switches, lo que
permite reconfigurar las caractersticas de la red de acuerdo a los eventos que
se generan. Tambin permite que se utilicen protocolos como SNMP (Simple
Network Management Protocol) para enviar notificaciones y alertas a otras
maquinas de la red.
La correlacin es una nueva caracterstica que aade a los IDS la capacidad de
establecer relaciones lgicas entre eventos diferentes e independientes, lo que
permite manejar eventos de seguridad complejos que individualmente no son
muy significativos, pero que analizados como un todo pueden representar un
riesgo alto en la seguridad del sistema.

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Escenarios de monitoreo de Seguridad

Sensor por dentro del FireWall

Internet
FireWall

IDS

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Escenarios de monitoreo de Seguridad

Sensor por fuera del FireWall

Internet

IDS
FireWall

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Escenarios de monitoreo de Seguridad

Sistemas hbridos

IDS
Internet
FireWall

IDS
ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS
Mecanismos de reaccin automtica:
Filtrado de puertos y servicios en recursos perimetrales
Utilizar FireWalls internos para proteger redes internas
Utilizar IDS de maquina en los servidores crticos
Demoras en respuestas a escaneos de puertos en el FireWall
Desechar conexiones por medio de IDS de red.
Bloquear temporalmente todo el trafico de direcciones hostiles
Aislamiento automtico de los dispositivos (apagado)
Simulacin de respuesta de puertos no abiertos en las maquinas

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Tendencias y proyeccin
Realidad:
Los ataques estn incrementando
Las herramientas son cada da mas sofisticadas
Cyber-Terrorismo
Atacantes Internos
Soluciones a futuro:
Integracin de Antivirus con IDSs y FireWalls
anlisis del trafico en la red (Seguridad).
Correlacin de eventos entre diferentes dispositivos en la red.
Deteccin de intrusos a nivel de aplicativo, como por ejemplo software de
oficina.
Personal mas calificado en temas de seguridad informtica.

ASESORIA

Lic. Ramn Cuevas Martnez

2013

SEGURIDAD EN LA INFORMACIN.
IDS

Actividades relacionadas con Implementacin

Definicin de los recursos a proteger
Anlisis de la infraestructura de red.
Anlisis especial para ambientes switcheados
Anlisis de estructura y disposicin de FireWalls
Sistemas Operativos a proteger.
Caractersticas geogrficas.
Definicin de los procedimientos de reaccin.
Seguridad fsica y control de acceso a los recursos
Definicin de herramientas para pruebas de seguridad internas
y externas.
Capacitacin del personal en la utilizacin de las herramientas
y en Seguridad en General

ASESORIA

Lic. Ramn Cuevas Martnez

2013