IDS

SISTEMAS DE DETECCIN DE INTRUSOS

Introduccin

Importancia de la seguridad en las organizaciones Desconocimiento de todas las vulnerabilidades Se descubren vulnerabilidades en los sistemas cada da

3/05/02

Sistemas de Deteccin de Intrusos

Tecnologas de la seguridad

Escneres de vulnerabilidades
Sistemas (poltica de seguridad, usuarios, configuraciones,...) Servicios ofrecidos a los dems ordenadores

Detectores de ataques
Centinelas en los sistemas Anlisis del flujo de datos que circulan por la red

3/05/02

Sistemas de Deteccin de Intrusos

Complementos a los cortafuegos

Los cortafuegos se basan en un sistema de restricciones y excepciones Problema: cuando un atacante enmascara el trfico o se comunica directamente con una aplicacin remota el cortafuegos no cumple con su misin de primera barrera
Sistemas de Deteccin de Intrusos 4

3/05/02

Sistemas Detectores de Intrusos

Complemento de seguridad de los firewalls Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red Intrusin: actividad realizada por personas no autorizadas o actividades no autorizadas
Sistemas de Deteccin de Intrusos 5

3/05/02

IDS: Clasificacin

Segn localizacin:
NIDS (Network Intrusion Detection System) HIDS (Host Intrusion Detection System)

Segn modelo de deteccin:

Deteccin de mal uso Deteccin de uso anmalo

Segn naturaleza
Pasivos Reactivos

3/05/02

Sistemas de Deteccin de Intrusos

NIDS: Introduccin

Analiza el trfico de toda la red Examina paquetes en bsqueda de opciones no permitidas y diseadas para no ser detectadas por los cortafuegos Produce alertas cuando se intenta explorar algn fallo de un programa de un servidor
Sistemas de Deteccin de Intrusos 7

3/05/02

NIDS: Componentes

Sensores (agentes): situado en un segmento de red monitoriza en busca de trfico sospechoso Una consola: recibe las alarmas de los sensores y reacciona segn el tipo de alarma recibida

3/05/02

Sistemas de Deteccin de Intrusos

NIDS: Ventajas

Detectan accesos no deseados en la red No necesitan software adicional en los servidores Fcil instalacin y actualizacin (sistemas dedicados)

3/05/02

Sistemas de Deteccin de Intrusos

NIDS: Desventajas

Nmero de falsos-positivos Sensores distribuidos en cada segmento de la red Trfico adicional en la red Difcil deteccin de los ataques de sesiones encriptadas

3/05/02

Sistemas de Deteccin de Intrusos

10

HIDS: Introduccin

Analiza el trfico sobre un servidor o un PC Detecta intentos fallidos de acceso Detecta modificaciones en archivos crticos

3/05/02

Sistemas de Deteccin de Intrusos

11

HIDS: Ventajas

Potente: registra comandos, ficheros abiertos, modificaciones importantes,... Menor nmero de falsos-positivos que el NIDS Menor riesgo en las respuestas activas que los NIDS

3/05/02

Sistemas de Deteccin de Intrusos

12

HIDS: Inconvenientes

Instalacin en mquinas locales Carga adicional en los sistemas Tiende a confiar la auditoria y el loggin a la mquina

3/05/02

Sistemas de Deteccin de Intrusos

13

IDS: modelos de deteccin

Deteccin del mal uso

Verificacin sobre tipos ilegales de trfico de red Se implementa observando cmo explotar los puntos dbiles de los sistemas y describindolos mediante patrones Ej.: combinaciones imposibles dentro de un paquete, deteccin de sniffers,...

3/05/02

Sistemas de Deteccin de Intrusos

14

IDS: modelos de deteccin

Deteccin de uso anmalo

Estadsticas sobre trfico tpico en la red Detecta cambios en los patrones de utilizacin o comportamiento del sistema Utiliza modelos estadsticos y busca desviaciones estadsticas significantes Ej.: trfico excesivo en horario fuera de oficina, accesos repetitivos ...

3/05/02

Sistemas de Deteccin de Intrusos

15

IDS: Segn su naturaleza

IDS Pasivo
Detectan la posible violacin de la seguridad, la registran y generan alerta

IDS Activo
Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall

3/05/02

Sistemas de Deteccin de Intrusos

16

Topologa de IDS

Diferentes topologas dentro de una red Buscar un compendio entre coste econmico, seguridad y necesidad de la empresa

3/05/02

Sistemas de Deteccin de Intrusos

17

Topologa de IDS

Antes del cortafuegos

Aviso prematuro Detecta rastreo de puertos Nmero de alertas elevado

En la DMZ
Configuracin exclusiva del NIDS para ataques dirigidos a los sistemas del DMZ

En la intranet
Volumen de trfico a monitorizar reducido NIDS menos potentes

3/05/02

Sistemas de Deteccin de Intrusos

18

Topologa de IDS: Ejemplo

3/05/02

Sistemas de Deteccin de Intrusos

19

Arquitectura de IDS

Han evolucionado con el paso del tiempo y la aparicin de nuevas tecnologas y mtodos Dos principios bsicos:
Agentes autnomos distribuidos y coordinados por una entidad central Exploracin de los datos en tiempo real

3/05/02

Sistemas de Deteccin de Intrusos

20

IDS: Agentes Autnomos

Un mismo agente autnomo puede ser distribuido en cualquier host Cada agente monitoriza una caracterstica El agente genera un informe y lo envia al transceiver al que pertenece Los transceivers procesan todos los informes y lo envan al monitor El monitor recopila informacin y obtiene conclusiones
Sistemas de Deteccin de Intrusos 21

3/05/02

IDS: Agentes Autnomos

Transceiver

Monitor

Agente Flujo de Control

Flujo de Datos

HOST

3/05/02

Sistemas de Deteccin de Intrusos

22

IDS: Agentes Autnomos

Ventajas:
La cada o fallo de un agente no repercute en el sistema Los agentes pueden actuar de NIDS o HIDS Pueden existir agentes SNMP o auditores de routers

3/05/02

Sistemas de Deteccin de Intrusos

23

IDS: Agentes Autnomos

Desventajas
Consola central elemento crtico El tamao de la red a monitorizar es limitado Aumento trfico en red

3/05/02

Sistemas de Deteccin de Intrusos

24

IDS: Exploracin en tiempo real

El IDS ejecuta un conjunto de reglas con coste computacional creciente El flujo de datos es analizado en binario por programas especializados que los compara con patrones de la base de datos

3/05/02

Sistemas de Deteccin de Intrusos

25

IDS: Exploracin en tiempo real

Componentes
Sensores: analizan y formatean los bits Detectores: procesan los datos para determinar ataques. Enva resultados a la base de datos. Dos tipos:
Front-End: detecciones de intrusos sencilla Back-End: utilizacin de mtodos complejos

3/05/02

Sistemas de Deteccin de Intrusos

26

IDS: Exploracin en tiempo real

Flujo de bits

Sensor
Datos formateados

Detector
Modelo

Base de Datos

Datos formateados

Modelo

Generador del Modelo Adaptativo 3/05/02 Sistemas de Deteccin de Intrusos 27

IDS: Exploracin en tiempo real

Ventajas
Veracidad: pocos falsos-positivos Eficiencia: 4 niveles
Nivel 1: caractersticas computadas al recibir el paquete Nivel 2: Caractersticas de la conexin Nivel 3: Caractersticas analizadas despus de la conexin Estadsticas computadas al final de la conexin

Usabilidad: facilidad de actualizar patrones Se conocen todos los datos recogidos por los detectores
3/05/02 Sistemas de Deteccin de Intrusos 28

IDS: Exploracin en tiempo real

Desventajas:
Nmero de datos de entrenamiento elevados Requiere personal altamente preparado

3/05/02

Sistemas de Deteccin de Intrusos

29

Conclusiones

IDS es un complemento de seguridad de los cortafuegos Buscar soluciones que se adapten a los recursos de la empresa Integrar los IDS en la poltica de seguridad de la empresa

3/05/02

Sistemas de Deteccin de Intrusos

30