Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccin
Importancia de la seguridad en las organizaciones Desconocimiento de todas las vulnerabilidades Se descubren vulnerabilidades en los sistemas cada da
3/05/02
Tecnologas de la seguridad
Escneres de vulnerabilidades
Sistemas (poltica de seguridad, usuarios, configuraciones,...) Servicios ofrecidos a los dems ordenadores
Detectores de ataques
Centinelas en los sistemas Anlisis del flujo de datos que circulan por la red
3/05/02
Los cortafuegos se basan en un sistema de restricciones y excepciones Problema: cuando un atacante enmascara el trfico o se comunica directamente con una aplicacin remota el cortafuegos no cumple con su misin de primera barrera
Sistemas de Deteccin de Intrusos 4
3/05/02
Complemento de seguridad de los firewalls Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red Intrusin: actividad realizada por personas no autorizadas o actividades no autorizadas
Sistemas de Deteccin de Intrusos 5
3/05/02
IDS: Clasificacin
Segn localizacin:
NIDS (Network Intrusion Detection System) HIDS (Host Intrusion Detection System)
Segn naturaleza
Pasivos Reactivos
3/05/02
NIDS: Introduccin
Analiza el trfico de toda la red Examina paquetes en bsqueda de opciones no permitidas y diseadas para no ser detectadas por los cortafuegos Produce alertas cuando se intenta explorar algn fallo de un programa de un servidor
Sistemas de Deteccin de Intrusos 7
3/05/02
NIDS: Componentes
Sensores (agentes): situado en un segmento de red monitoriza en busca de trfico sospechoso Una consola: recibe las alarmas de los sensores y reacciona segn el tipo de alarma recibida
3/05/02
NIDS: Ventajas
Detectan accesos no deseados en la red No necesitan software adicional en los servidores Fcil instalacin y actualizacin (sistemas dedicados)
3/05/02
NIDS: Desventajas
Nmero de falsos-positivos Sensores distribuidos en cada segmento de la red Trfico adicional en la red Difcil deteccin de los ataques de sesiones encriptadas
3/05/02
10
HIDS: Introduccin
Analiza el trfico sobre un servidor o un PC Detecta intentos fallidos de acceso Detecta modificaciones en archivos crticos
3/05/02
11
HIDS: Ventajas
Potente: registra comandos, ficheros abiertos, modificaciones importantes,... Menor nmero de falsos-positivos que el NIDS Menor riesgo en las respuestas activas que los NIDS
3/05/02
12
HIDS: Inconvenientes
Instalacin en mquinas locales Carga adicional en los sistemas Tiende a confiar la auditoria y el loggin a la mquina
3/05/02
13
3/05/02
14
3/05/02
15
IDS Pasivo
Detectan la posible violacin de la seguridad, la registran y generan alerta
IDS Activo
Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall
3/05/02
16
Topologa de IDS
Diferentes topologas dentro de una red Buscar un compendio entre coste econmico, seguridad y necesidad de la empresa
3/05/02
17
Topologa de IDS
En la DMZ
Configuracin exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ
En la intranet
Volumen de trfico a monitorizar reducido NIDS menos potentes
3/05/02
18
3/05/02
19
Arquitectura de IDS
Han evolucionado con el paso del tiempo y la aparicin de nuevas tecnologas y mtodos Dos principios bsicos:
Agentes autnomos distribuidos y coordinados por una entidad central Exploracin de los datos en tiempo real
3/05/02
20
Un mismo agente autnomo puede ser distribuido en cualquier host Cada agente monitoriza una caracterstica El agente genera un informe y lo envia al transceiver al que pertenece Los transceivers procesan todos los informes y lo envan al monitor El monitor recopila informacin y obtiene conclusiones
Sistemas de Deteccin de Intrusos 21
3/05/02
Transceiver
Monitor
Flujo de Datos
HOST
3/05/02
22
Ventajas:
La cada o fallo de un agente no repercute en el sistema Los agentes pueden actuar de NIDS o HIDS Pueden existir agentes SNMP o auditores de routers
3/05/02
23
Desventajas
Consola central elemento crtico El tamao de la red a monitorizar es limitado Aumento trfico en red
3/05/02
24
El IDS ejecuta un conjunto de reglas con coste computacional creciente El flujo de datos es analizado en binario por programas especializados que los compara con patrones de la base de datos
3/05/02
25
Componentes
Sensores: analizan y formatean los bits Detectores: procesan los datos para determinar ataques. Enva resultados a la base de datos. Dos tipos:
Front-End: detecciones de intrusos sencilla Back-End: utilizacin de mtodos complejos
3/05/02
26
Sensor
Datos formateados
Detector
Modelo
Base de Datos
Datos formateados
Modelo
Ventajas
Veracidad: pocos falsos-positivos Eficiencia: 4 niveles
Nivel 1: caractersticas computadas al recibir el paquete Nivel 2: Caractersticas de la conexin Nivel 3: Caractersticas analizadas despus de la conexin Estadsticas computadas al final de la conexin
Usabilidad: facilidad de actualizar patrones Se conocen todos los datos recogidos por los detectores
3/05/02 Sistemas de Deteccin de Intrusos 28
Desventajas:
Nmero de datos de entrenamiento elevados Requiere personal altamente preparado
3/05/02
29
Conclusiones
IDS es un complemento de seguridad de los cortafuegos Buscar soluciones que se adapten a los recursos de la empresa Integrar los IDS en la poltica de seguridad de la empresa
3/05/02
30