Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Sistemas DETEC INSTRUSOS
Sistemas DETEC INSTRUSOS
IDS
Introduccin a los
Sistemas de deteccin de
Intrusos (IDS) y
monitoreo de Seguridad
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Objetivo General
Comprender los requerimientos y
responsabilidades corporativas necesarias para
completar exitosamente un proyecto de Deteccin
de Intrusos
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Un sistema de deteccin de intrusos (o IDS de sus siglas en
ingls Intrusion Detection System) es un programa usado
para detectar accesos no autorizados a un computador o a
una red. Estos accesos pueden ser ataques de habilidosas
personas con un nivel alto en computacin, o de algunos
Script que usan como herramientas automticas.
El IDS suele tener sensores virtuales (por ejemplo, un sniffer
de red) con los que el ncleo del IDS puede obtener datos
externos (generalmente sobre el trfico de red). El IDS
detecta, gracias a dichos sensores, anomalas que pueden
ser indicio de la presencia de ataques o falsas alarmas.
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Arquitectura de IDS
Bsicamente existen dos tipos de detectores de Intrusos:
IDSes basados en red (Net IDS)
Un IDS basado en red monitorea los paquetes que circulan por nuestra red en
busca de elementos que denoten un ataque contra alguno de los sistemas
ubicados en ella; el IDS puede situarse en cualquiera de los hosts o en un
elemento que analice todo el trafico (como un HUB o un enrutador). Este
donde este, monitorizara diversas maquinas y no una sola: esta es la principal
diferencia con los sistemas de deteccin de intrusos basados en host.
IDS
ASESORIA
SEGURIDAD EN LA INFORMACIN.
IDS
Arquitectura de IDS
IDSes basados en maquina (Host IDS)
Mientras que los sistemas de deteccin de intrusos basados en red operan
bajo todo un dominio de colisin, los basados en maquina realizan su funcin
protegiendo un nico sistema; de una forma similar a como acta un escudo
antivirus residente en el sistema operativo, el IDS es un proceso que trabaja en
background (o que despierta peridicamente) buscando patrones que puedan
denotar un intento de intrusin o mala utilizacin y alertando o tomando las
medidas oportunas en caso de que uno de estos intentos sea detectado.
IDS
IDS
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Filtros y Patrones
IDS
Filtros
Descartan paquetes
de informacin que
cumplen con ciertos
criterios como IP
fuente, protocolo,
puerto, etc
ASESORIA
Patrones
Comparan la
informacin de los
paquetes y los datos
mismos para tomar
acciones correctivas
como desconexin, email, almacenamiento
en logs, etc.
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Ejemplo de filtro:
Filtros y Patrones
Direccin IP
200.20.10.10
Mascara
255.255.255.0
Protocolo
TCP
Puerto
Ejemplo de Patrn:
Direccin IP
cualquiera
Mascara
cualquiera
Protocolo
TCP
Puerto
80
Patrn
cmd.exe
Accin
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Interoperabilidad y correlacin
La interoperabilidad
interoperabilidad, permite que un sistema IDS pueda compartir u obtener
informacin de otros sistemas como Firewalls, Enrutadores y Switches, lo que
permite reconfigurar las caractersticas de la red de acuerdo a los eventos que
se generan. Tambin permite que se utilicen protocolos como SNMP (Simple
Network Management Protocol) para enviar notificaciones y alertas a otras
maquinas de la red.
La correlacin es una nueva caracterstica que aade a los IDS la capacidad de
establecer relaciones lgicas entre eventos diferentes e independientes, lo que
permite manejar eventos de seguridad complejos que individualmente no son
muy significativos, pero que analizados como un todo pueden representar un
riesgo alto en la seguridad del sistema.
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Internet
FireWall
IDS
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Internet
IDS
FireWall
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
IDS
Internet
FireWall
IDS
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Mecanismos de reaccin automtica:
Filtrado de puertos y servicios en recursos perimetrales
Utilizar FireWalls internos para proteger redes internas
Utilizar IDS de maquina en los servidores crticos
Demoras en respuestas a escaneos de puertos en el FireWall
Desechar conexiones por medio de IDS de red.
Bloquear temporalmente todo el trafico de direcciones hostiles
Aislamiento automtico de los dispositivos (apagado)
Simulacin de respuesta de puertos no abiertos en las maquinas
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
Tendencias y proyeccin
Realidad:
Los ataques estn incrementando
Las herramientas son cada da mas sofisticadas
Cyber-Terrorismo
Atacantes Internos
Soluciones a futuro:
Integracin de Antivirus con IDSs y FireWalls
anlisis del trafico en la red (Seguridad).
Correlacin de eventos entre diferentes dispositivos en la red.
Deteccin de intrusos a nivel de aplicativo, como por ejemplo software de
oficina.
Personal mas calificado en temas de seguridad informtica.
ASESORIA
2013
SEGURIDAD EN LA INFORMACIN.
IDS
ASESORIA
2013