Herramientas de Seguridad Proactiva Tema 5 IDS e IPS
Seguridad en Redes 2/22
Técnicas y Herramientas de Seguridad Proactiva Sistemas de Detección y Prevención de Intrusos IDS
▪ Los sistemas IDS permiten la detección de
ataques de ▪ Exploración de red o de un sistema ▪ Sistema operativo de los equipos ▪ Versiones de software ▪ Hosts activos ▪ Escáner de vulnerabilidades ▪ Topología de la red… ▪ Ataques de denegación de servicio (DoS o DDoS) ▪ Ataques de acceso a sistemas
Seguridad en Redes 4/22
IDS
▪ En función de la fuente de la que obtengan los
datos utilizados para esta detección de ataques se pueden clasificar los IDS en dos tipos: ▪ Sistemas de detección de intrusos basados en equipo (Host Intrusion Detection System — HIDS) ▪ Utilizan programas instalados en los equipos para intentar detectar modificaciones en equipos afectados por un ataque, y hace un reporte de sus conclusiones
Seguridad en Redes 5/22
IDS ▪ Sistemas de detección de intrusos basados en red (Network Intrusion Detection System — NIDS): Detecta accesos no deseados a la red ▪ Este tipo de IDS suele incorporar un analizador de paquetes de red (sniffer) con los que el núcleo del NIDS puede obtener información sobre el tráfico que circula por la red ▪ Mediante el análisis del tráfico capturado el IDS detecta anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas ▪ Su interfaz debe funcionar en modo promiscuo para capturar todo el tráfico que circula por la red
Seguridad en Redes 6/22
IDS ▪ Los NIDS suelen desplegarse en modo escucha («Tap mode») ▪ Para poder utilizar este modo es necesario contar con un equipo que tenga dos interfaces de red ▪ Una de la interfaces se encargará de monitorizar el tráfico de la red ▪ Mientras que la otra se encargará de tareas de gestión y administración ▪ La interfaz de monitorización está conectada a un dispositivo de escucha («networktap ») que permite capturar el tráfico de la red ▪ Esta interfaz no tiene asignada una dirección IP con el fin de reducir las posibilidades de que el atacante la descubra
Seguridad en Redes 7/22
IDS
Seguridad en Redes 8/22
IDS
Seguridad en Redes 9/22
IDS ▪ Los sistemas IDS también pueden clasificarse en función de la técnica de detección de ataques utilizada: ▪ Sistemas de detección de intrusos basados en firmas ▪ Disponen de una base de datos de firmas de ataques conocidos que utilizan para la detección de los mismos ▪ Sistemas de detección de intrusos basados en anomalías ▪ Disponen de un patrón de comportamiento normal («baseline») frente al que comparan el tráfico de red o el comportamiento de un sistema para detectar posibles anomalías que representen un ataque ▪ Para que un sistema IDS sea efectivo debe actualizarse periódicamente
Seguridad en Redes 10/22
IDS
▪ Ejemplo IDS basado en firmas (snort)
Regla para ICMP para detección de uso de traceroute alert icmp $EXTERNAL_NAT any -> $HOME_NET any (msg:”ICMP traceroute”; itype:8; ttl:1; reference:arachnids, 118; classtype:attempted- recon; sid:385; rev:4;)
Seguridad en Redes 11/22
IPS
▪ Los IPS ofrecen nuevas funcionalidades con
respecto a los IDS ya que además de permitir la detección de ataques son capaces de prevenirlos
Seguridad en Redes 12/22
IPS ▪ Los IPS suelen desplegarse en modo en línea («in- line mode») ▪ El propio IPS se sitúa como un puente entre la red a proteger y el resto ▪ Dispone de al menos tres interfaces de red: ▪ Una para recibir tráfico del exterior ▪ Otra para redirigir el tráfico a la red interna ▪ El último para tareas de gestión y administración ▪ Esta arquitectura hace posible tener un control total sobre el tráfico que atraviesa la red ▪ Para que un sistema IPS sea efectivo debe actualizarse periódicamente
Seguridad en Redes 13/22
IPS
Seguridad en Redes 14/22
IPS
Seguridad en Redes 15/22
IPS ▪ A continuación algunos ejemplos de dispositivos, además del ya comentado IDS + Cortafuegos, que ofrecen funcionalidades de IPS ▪ Switch* de nivel de aplicación ▪ Normalmente un switch trabaja en la capa dos del modelo OSI, pero debido a la necesidad de trabajar con grandes anchos de banda cada vez son más comunes los conmutadores de nivel de aplicación, capa siete del modelo OSI ▪ Estos dispositivos analizan la información de aplicación (DNS, HTTP, FTP…) para realizar tareas de balanceo de carga entre varios servidores ▪ Además, algunos conmutadores incorporan capacidades que proporcionan protección frente a ataques de denegación de servicio (DoS o DDoS) ▪ * Este va a ser referido como IDS de red
Seguridad en Redes 16/22
IPS ▪ IPS de host a nivel aplicación ▪ Al igual que los switches a nivel de aplicación, estos sistemas trabajan en la capa siete del modelo OSI ▪ Estas herramientas se instalan sobre el sistema final a proteger y analizan elementos como la gestión de la memoria, llamadas al sistema o intentos de conexión de una aplicación ▪ Para funcionar necesita que el administrador defina unos perfiles en los que se realiza una fase de entrenamiento que permite establecer un modelo de comportamiento normal de las aplicaciones y se definen unas políticas de seguridad (IPS basado en anomalías) ▪ Todas las acciones que no estén definidas en el perfil se considerarán un intento de intrusión y serán bloqueadas por el sistema
Seguridad en Redes 17/22
IPS ▪ Conmutador híbrido ▪ Estos dispositivos pueden ser considerados un híbrido entre los switches de nivel de aplicación y los IPS de host a nivel aplicación, ya que se instalan de la misma manera que los primeros pero funcionan a través de la definición de políticas de seguridad como los segundos ▪ Tiene conocimiento tanto del tipo de servidor que protege como de las aplicaciones concretas que estás corriendo sobre ellos ▪ Estos dispositivos tienen la ventaja de que pueden ser configurados mediante la importación de datos obtenidos mediante un escáner de vulnerabilidades ejecutado sobre el sistema a proteger ▪ Puede utilizarse en conjunto con un switch de nivel de aplicación que le redirija únicamente el tráfico que considere malicioso para reducir la carga de trabajo
Seguridad en Redes 18/22
Técnicas y Herramientas de Seguridad Proactiva Verificadores de Integridad Verificadores de integridad
▪ Utiliza funciones criptográficas de tipo resumen (hash) o
código de verificación (checksum) para calcular los valores correspondientes y compararlos con valores de referencia con la intención de encontrar diferencias en los ficheros ▪ Los intrusos pueden modificar o borrar ficheros que oculten su actividad y eliminen las huellas que hayan podido dejar. También podrían dejar una puerta trasera por la que volver a acceder al sistema ▪ Este tipo de sistemas solo pueden detectar intrusiones si el atacante ha modificado algún fichero
Seguridad en Redes 20/22
Verificadores de integridad
Seguridad en Redes 21/22
Técnicas y Herramientas de Seguridad Proactiva Tema 5 IDS e IPS Profesor: José Alfredo Torres Solano