1 / 86

Sistema de detección de intrusos IDS

Sistema de detección de intrusos IDS. Introducción a IDS.

cole
Download Presentation

Sistema de detección de intrusos IDS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sistema de detección de intrusos IDS

  2. Introducción a IDS • Las propiedades necesitan ser protegidas de robo. Algunos hogares están equipados con sistemas de alarmas que pueden detectar ladrones, notificar a las autoridades cuando ocurre una entrada ilegal y hasta advertir a los dueños cuando sus hogares están bajo fuego. Tales medidas son necesarias para asegurar la integridad de los hogares y la seguridad de sus dueños. • ¿Pero como nos protegemos en un ordenador? • El mismo aseguramiento de la integridad y seguridad debería ser aplicado a los sistemas de computación y datos. La Internet ha facilitado el flujo de la información, desde personal hasta financiera. Al mismo tiempo, también ha promovido muchos peligros. Los usuarios maliciosos y crackers buscan objetivos vulnerables tales como sistemas no actualizados, sistemas infectados con troyanos y redes ejecutando servicios inseguros. Las alarmas son necesarias para notificar a los administradores y a los miembros del equipo de seguridad que ha ocurrido una entrada ilegal para que así estos puedan responder en tiempo real a la amenaza. Se han diseñado los sistemas de detección de intrusos como tales sistemas de notificación.

  3. ¿Qué es un sistema de detección de intrusos? • Un Sistema de Detección de Intrusos o IDS (Intrusion Detection System) es una herramienta de seguridad encargada de monitorizar los eventos que ocurren en un sistema informático en busca de intentos de intrusión (accesos no autorizados a un computador o a una red). • El IDS suele tener sensores virtuales (por ejemplo, un sniffer de red) con los que el núcleo del IDS puede obtener datos externos (generalmente sobre el tráfico de red). El IDS detecta, gracias a dichos sensores, anomalías que pueden ser indicio de la presencia de ataques o falsas alarmas.

  4. ¿Por qué utilizar un IDS? Hay varias razones para adquirir y usar un IDS: • La detección de intrusiones permite a las organizaciones proteger sus sistemas de las amenazas que aparecen al incrementar la conectividad en red. • Al incrementar la posibilidad de descubrir y castigar a los atacantes, el comportamiento de algunos cambiará de forma que muchos ataques no llegarán a producirse. • Incluso cuando los IDS no son capaces de bloquear ataques, pueden recoger información relevante sobre éstos. Esta información puede, bajo ciertas circunstancias, ser utilizada como prueba en actuaciones legales.

  5. Objetivos de los IDS • Atrapar a los intrusos en el acto antes de que dañen algún recurso. • Proteger el sistema contra ataques. • Monitorear la actividad de la red. • Realizar las configuraciones de la red. • Analizar integridad en los datos.

  6. Funcionamiento • Para su correcto funcionamiento el IDS cuenta con una base de datos en donde se almacenan las “firmas”,(ataques conocidos). • Las firmas permiten al IDS distinguir entre el uso normal del PC y el uso fraudulento, y/o entre el tráfico normal de la red y el tráfico que puede ser resultado de un ataque o intento del mismo.

  7. Funcionamiento • Se basa en el análisis del tráfico de red, el cual al entrar al analizador es comparado con firmas de ataques conocidos, o comportamientos sospechosos, como puede ser el escaneo de puertos, paquetes malformados, etc. • El IDS no sólo analiza qué tipo de tráfico es, sino que también revisa el contenido y su comportamiento.

  8. Funcionamiento • Para detectar un ataque un IDS: • Utilizará sensores virtuales. • Para detener un ataque un IDS: • Utilizará algún complemento.

  9. Funcionamiento • Utilizando sensores virtuales: • Los sensores virtuales, son por ejemplo los analizadores de paquetes o sniffer, el cual es un programa de captura de las tramas de una red de computadoras. • Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, fibra óptica, etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el analizador pone la tarjeta de red en un estado conocido como “modo promiscuo" en el cual en la capa de enlace de datos no son descartadas las tramas no destinadas a la dirección MAC de la tarjeta, de esta manera se puede capturar todo el tráfico que viaja por la red.

  10. Funcionamiento • Configuración de modo promiscuo: • Para habilitar el modo promiscuo en una interfaz de red: • ifconfig eth0 promisc • Para volverla a su modo normal: • ifconfig eth0 -promisc

  11. Funcionamiento Una forma de trabajar del IDS es complementándose: •  El detector de intrusos es incapaz de detener los ataques por sí solo, excepto los que trabajan conjuntamente en un dispositivo de puerta de enlace con funcionalidad de firewall, convirtiéndose en una herramienta muy poderosa ya que se une la inteligencia del IDS y el poder de bloqueo del firewall, al ser el punto donde forzosamente deben pasar los paquetes y pueden ser bloqueados antes de penetrar en la red.

  12. Funcionamiento

  13. Funcionamiento • Por lo general, se colocan sondas fuera de la red para estudiar los posibles ataques, así como también se colocan sondas internas para analizar solicitudes que hayan pasado a través del firewall o que se han realizado desde dentro.

  14. Clasificación de un IDS • Según donde proceden. • En red (Network IDS) • En máquina (Host IDS) • Según como proceden. • Detección de anomalías • Detección de abusos • Según cuando proceden. • Activos • Pasivos

  15. Dónde proceden • Un IDS basado en host • Es el más completo de los dos, que implica la implementación de un sistema de detección en cada host individual. • Sin importar en qué ambiente de red resida el host, estará protegido.

  16. Dónde proceden • IDS basados en host: • El principio de funcionamiento de un HIDS, depende del éxito de los intrusos, que generalmente dejaran rastros de sus actividades en el equipo atacado, cuando intentan adueñarse del mismo, con propósito de llevar a cabo otras actividades. • El HIDS intenta detectar tales modificaciones en el equipo afectado, y hacer un reporte de sus conclusiones.

  17. Dónde proceden • IDS basado en host: • Consultan diferentes tipos de registros de archivos (sistema, servidores, red, cortafuegos, y más) y comparan los registros contra una base de datos interna de peculiaridades comunes sobre ataques conocidos.

  18. Dónde proceden • IDS basados en red: • Un IDS basado en red, detecta ataques a todo el segmento de la red. Su interfaz debe funcionar en modo promiscuo capturando así todo el tráfico de la red. • Un IDS basado en la red filtra los paquetes a través de un dispositivo simple antes de comenzar a enviar a host específicos. Los IDS basados en red a menudo se consideran como menos completos puestos que muchos host en un ambiente móvil lo hacen indisponible para el escaneo y protección de paquetes de red.

  19. Dónde proceden • IDS basados en red: • La filosofía de diseño de un IDS basado en la red es escanear los paquetes de red al nivel del enrutador o host, auditar la información de los paquetes y registrar cualquier paquete sospechoso en un archivo de registros especial con información extendida. • Basándose en estos paquetes sospechosos, un IDS basado en la red puede escanear su propia base de datos de firmas de ataques a la red y asignarles un nivel de severidad para cada paquete. • Si los niveles de severidad son lo suficientemente altos, se enviará un correo electrónico de advertencia a los miembros del equipo de seguridad para que ellos puedan investigar la naturaleza de la anomalía.

  20. Cómo proceden • Detección de anomalías: • La detección de anomalías se centra en identificar comportamientos inusuales en un host o una red. • Funcionan asumiendo que los ataques son diferentes a la actividad normal. • Los detectores de anomalías construyen perfiles representando el comportamiento normal de los usuarios, hosts o conexiones de red. Estos perfiles son construidos de datos históricos recogidos durante el periodo normal de operación.

  21. Cómo proceden • Las medidas y técnicas usadas en la detección de anomalías incluyen: • Detección de un umbral sobre ciertos atributos del comportamiento del usuario, como: • Número de ficheros accedidos por un usuario en un periodo de tiempo dado. • El numero de intentos fallidos para entrar en el sistema. • La cantidad de CPU utilizada por un proceso. • Otras técnicas incluyen redes neuronales, algoritmos genéticos y modelos de sistema inmune; (no están implementadas todavía).

  22. Cómo proceden • Detección de abusos: • Los detectores de abusos analizan la actividad del sistema buscando eventos que coincidan con un patrón predefinido o firma que describe un ataque conocido. • Los IDS basados en la detección de usos indebidos son mas robustos que los basados en la detección de anomalías por conocer la forma de los ataques (es extraño que generen falsos positivos)

  23. Cuándo proceden • Respuestas: Sistemas pasivos y activos. • Una vez se ha producido un análisis de los eventos y hemos detectado un ataque, el IDS reacciona. Las repuestas las podemos agrupar en dos tipos: pasivas y activas. Las pasivas envían informes a personas, que se encargarán de tomar acciones al respecto, si procede. Las activas lanzan automáticamente respuestas a dichos ataques.

  24. Cuándo proceden • Sistemas pasivos: • En un sistema pasivo, el sensor detecta una posible intrusión, almacena la información y manda una señal de alerta que se almacena en una base de datos. • La señal de alerta puede ser realizada mediante un correo electrónico enviada a la organización. • Es posible que el atacante monitorice el correo electrónico de esa organización o que haya usado una IP falsa para su ataque.

  25. Cuándo proceden • Sistemas Activos: • Las respuestas activas son acciones automáticas que se toman cuando ciertos tipos de intrusiones son detectados. Podemos estableces dos categorías distintas: • Recogida de información adicional. • Cambio del entorno.

  26. Cuándo proceden • Recogida de información adicional: Consiste en incrementar el nivel de sensibilidad de los sensores para obtener más pistas del posible ataque por ejemplo: • Capturando todos los paquetes que vienen de la fuente que originó el ataque durante un cierto tiempo o para un máximo número de paquetes. • Cambio del entorno: otra respuesta activa puede ser la de parar el ataque; por ejemplo, en el caso de una conexión TCP se puede cerrar la sesión establecida inyectando segmentos TCP RST al atacante y a la víctima o filtrar en el router de acceso o en el firewall la dirección IP del intruso o el puerto atacado para evitar futuros ataques.

  27. Comparaciones • Ventajas de Network IDS: • Un IDS bien localizado puede monitorizar una red grande, siempre y cuando tenga la capacidad suficiente para analizar todo el tráfico. • Se pueden configurar para que sean muy seguros ante ataques haciéndolos invisibles al resto de la red. • Desventajas de Network IDS: • Pueden tener dificultades procesando todos los paquetes en una red grande o con mucho trafico y pueden fallar en reconocer ataques lanzados durante periodos de tráfico alto.

  28. Comparaciones • Desventajas de Network IDS: • Los IDS basados en red no saben si el ataque tuvo o no éxito, lo único que pueden saber es que el ataque fue lanzado. • Algunos NIDS tienen problemas al tratar con ataques basados en red que viajan en paquetes fragmentados, pudiendo llegar a no reconocerlos.

  29. Comparaciones • Ventajas de Host IDS: • Pueden detectar ataques que no pueden ser vistos por un IDS basado en red. • Pueden a menudo operar en un entorno en el cual el tráfico de red viaja cifrado, ya que la fuente de información es analizada antes de que los datos sean cifrados en el host origen y/o después de que los datos sea descifrados en el host destino.

  30. Comparaciones • Desventajas de Host IDS: • Los IDS basados en hosts son más costosos de administrar, ya que deben ser gestionados y configurados en cada host monitorizado. • No son adecuados para detectar ataques a toda una red, puesto que el IDS solo ve aquellos paquetes de red enviados a él. • Usan recursos del host que están monitorizando, influyendo en el rendimiento del sistema monitorizado.

  31. Comparaciones • Ventajas de detección de abusos: • Los detectores de abusos son muy efectivos en la detección de ataques sin que generen un número elevado de falsas alarmas. • Pueden rápidamente y de forma precisa diagnosticar el uso de una herramienta o técnica de ataque específico. • Desventajas de detección de abusos: • Solo detectan aquellos ataques que conocen, por lo que deben ser constantemente actualizados con firmas de nuevos ataques.

  32. Comparaciones • Ventajas de detección de anomalías: • Los IDS basados en detección de anomalías detectan comportamientos inusuales. De esta forma tienen la capacidad de detectar ataques para los cuales no tienen un conocimiento específico. • Producen información que puede ser utilizada para definir firmas en la detección de abusos. • Desventajas de detección de anomalías: • La detección de anomalías produce un gran numero de falsas alarmas debido a los comportamientos no predecibles de usuarios y redes.

  33. Mecanismos de detección de un ataque • Un IDS utiliza dos técnicas fundamentales para determinar si hay un ataque, ellas son: • Heurística. • Patrón.

  34. Mecanismo de detección de un ataque • Heurística: Un IDS basado en heurística, determina actividad normal de red, como el orden de ancho de banda usado, protocolos, puertos y dispositivos que generalmente se interconectan, y alerta a un administrador o usuario cuando este varía de aquel considerado como normal, clasificándolo como anómalo.

  35. Mecanismo de detección de un ataque • Patrón: Un IDS basado en patrones, analiza paquetes en la red, y los compara con patrones de ataques conocidos, y preconfigurados. Estos patrones se denominan firmas. Debido a esta técnica, existe un periodo de tiempo entre el descubrimiento del ataque y su patrón, hasta que este es finalmente configurado en un IDS. Durante este tiempo, el IDS será incapaz de identificar el ataque.

  36. Implementación de un IDS

  37. Para hablar sobre detección de intrusos hay que definir que entendemos por intrusión. Las intrusiones se definen en relación a una política de seguridad: Se puede definir una intrusión como un conjunto de acciones deliberadas dirigidas a comprometer la integridad (manipular información), confidencialidad (acceder ilegítimamente a información) o la disponibilidad de un recurso (perjudicar o imposibilitar el funcionamiento de un sistema).

  38. Alternativas • Para poner en funcionamiento un sistema de detección de intrusos se debe tener en cuenta que es posible optar por una solución hardware, software o incluso una combinación de estos dos. IDS

  39. Alternativas • La posibilidad de introducir un elemento hardware es debido al alto requerimiento de procesador en redes con mucho tráfico. A su vez estos sistemas tienen un costo muy elevado en comparación con las soluciones por software, por lo que se establece una relación de compromiso

  40. Alternativas • Basados en hardware Cisco Pix • Basados en software • Snort: IDS de red • Prelude: IDS Hibrido • Samhain: IDS de Host

  41. Implementación Existen muchas formas de añadir las herramientas IDS a nuestra red, cada una de ellas tiene su ventaja y su desventaja. La mejor opción debería ser un compendio entre coste económico y propiedades deseadas, manteniendo un alto nivel de ventajas y un número controlado de desventajas.

  42. Implementación • Las posiciones de los IDS dentro de una red son varias y aportan diferentes características.

  43. Implementación Si situamos un IDS antes del cortafuegos exterior permitiría detectar el rastreo de puertos de reconocimiento que señala el comienzo de una actividad hacking, y obtendríamos como ventaja un aviso prematuro. Sin embargo, si los rastreos no son seguidos por un ataque real, se generará un numeroso número de alertas innecesarias con el peligro de comenzar a ignorarlas.

  44. Implementación Si optamos por colocar el IDS en la zona desmilitarizada (DMZ) tendríamos como ventaja la posibilidad de adecuar la base de datos de atacantes del NIDS para considerar aquellos ataques dirigidos a los sistemas que están en la DMZ (servidor web y servidor de correo) y configurar el cortafuegos para bloquear ese tráfico.

  45. Implementación Un NIDS dentro de la red Interna podría monitorear todo el tráfico para fuera y dentro de esa red. Este NIDS no debería ser tan poderoso como los comentados anteriormente, puesto que el volumen y el tipo de tráfico es más reducido.

  46. Implementación El resultado seria una red con la siguiente configuración.

  47. Implementación • El IDS1 se encargaría de avisar del rastreo de puertos, y si es reactivo podría enviar un “aviso” tanto al que esta rastreando (por ejemplo un ping a la dirección que emite el paquete) como al encargado de la seguridad de la organización. • El IDS2 se encargaría de vigilar la zona desmilitarizada y analizar el tráfico que reciben tanto el servidor web como el servidor de correo.

  48. Implementación • Los otros dos IDS se encargarían de la red interna, el IDS3 de la totalidad de la red, y el IDS4 de una subred.

  49. SNORT Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL.

  50. SNORT • Es un IDS basado en red y funciona mediante detección de usos indebidos (posee una base de datos formada por patrones de ataque). • Es un IDS activo (trabaja en tiempo real). • La base de datos debe poseer solo los patrones de ataque de interés ( Ej: ataques a servidores web). • Si se sobrecarga la base de datos el IDS tardará mas en decidir si un paquete se adapta a algún patrón y se corre el riesgo que mientras realiza el análisis deje pasar tramas que presenten amenazas reales.

More Related