1 / 20

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

IDS (INTRUSION DETECTION SYSTEM). DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812. INTRUSO. Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia. INTRUSIÓN.

tuyen
Download Presentation

DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IDS (INTRUSION DETECTION SYSTEM) DETECCIÓN DE INTRUSOSrodríguez García Juan Carlos 3812

  2. INTRUSO Un intruso es cualquiera que intente irrumpir o hacer mal uso de un sistema, se asume que para cada caso la palabra intruso tiene diferentes niveles de importancia.

  3. INTRUSIÓN Es un conjunto de acciones que intenten comprometer la integridad, confidencialidad o disponibilidad de algún recurso. Todas las intrusiones se definen o clasifican a partir de una política de seguridad.

  4. IDS Un sistema de detección de intrusos (IDS) es un complemento de seguridad de los firewalls. Sistema que intenta detectar y alertar sobre las intrusiones en un sistema o en una red. El objetivo final de cualquier IDS es el de atrapar a los perpetradores en el acto antes de que hagan algún daño a sus recursos.

  5. CARACTERISTICAS IDS • Los IDS buscan patrones previamente definidos que impliquen cualquier tipo de actividad sospechosa o maliciosa sobre nuestra red o host.

  6. Los IDS aportan a nuestra seguridad una capacidad de prevención y de alerta anticipada ante cualquier actividad sospechosa. No están diseñados para detener un ataque, aunque sí pueden generar ciertos tipos de respuesta ante éstos.

  7. Los IDS: aumentan la seguridad de nuestro sistema, vigilan el tráfico de nuestra red, examinan los paquetes analizándolos en busca de datos sospechosos y detectan las primeras fases de cualquier ataque como pueden ser el análisis de nuestra red, barrido de puertos, etc.

  8. IDS SE CLASIFICAN: • Según localización: • NIDS (Network IntrusionDetectionSystem). • HIDS (Host IntrusionDetectionSystem). • Según modelo de detección: • Detección de mal uso • Detección de uso anómalo • Según naturaleza • Pasivos • Activos

  9. NIDS • Analiza el tráfico de toda la red • Examina paquetes en búsqueda de opciones no permitidas y diseñadas para no ser detectadas por los cortafuegos • Produce alertas cuando se intenta explorar algún fallo de un programa de un servidor

  10. NIDS: Componentes • Sensores (agentes): situado en un segmento de red monitoriza en busca de tráfico sospechoso • Una consola: recibe las alarmas de los sensores y reacciona según el tipo de alarma recibida

  11. NIDS • DESVENTAJAS: • Número de alto falsos-positivos • Sensores distribuidos en cada segmento de la red • Tráfico adicional en la red • Difícil detección de los ataques de sesiones encriptadas VENTAJAS: • Detectan accesos no deseados en la red • No necesitan software adicional en los servidores • Fácil instalación y actualización (sistemas dedicados)

  12. HIDS • Analiza el tráfico sobre un servidor o un PC • Detecta intentos fallidos de acceso • Detecta modificaciones en archivos críticos

  13. HIDS VENTAJAS: • Potente: registra comandos, ficheros abiertos, modificaciones importantes. • Menor número de falsos-positivos que el NIDS • Menor riesgo en las respuestas activas que los NIDS • DESVENTAJAS: • Instalación en máquinas locales • Carga adicional en los sistemas • Tiende a confiar la auditoria y el loggin a la máquina

  14. IDS: modelos de detección Detección del mal uso: • Verificación sobre tipos ilegales de tráfico de red • Se implementa observando cómo explotar los puntos débiles de los sistemas y describiéndolos mediante patrones • Ej.: combinaciones ‘imposibles’ dentro de un paquete, detección de sniffers.

  15. IDS: modelos de detección Detección de uso anómalo: • Estadísticas sobre tráfico típico en la red • Detecta cambios en los patrones de utilización o comportamiento del sistema • Utiliza modelos estadísticos y busca desviaciones estadísticas significantes • Ej.: tráfico excesivo en horario fuera de oficina, accesos repetitivos ...

  16. IDS: Según su naturaleza IDS Pasivo: • Detectan la posible violación de la seguridad, la registran y generan alerta IDS Activo: • Responde ante una actividad ilegal de forma activa, sacando al usuario del sistema o reprogramando el firewall

  17. DONDE COLOCAR UN IDS Una actitud paranoica por nuestra parte nos podría llevar a instalar un IDS en cada host ó en cada tramo de red. Esto último sería un tanto lógico cuando se trata de grandes redes, no es nuestro caso ahora. Lo lógico sería instalar el IDS en un dispositivo por donde pase todo el tráfico de red que nos interese.

  18. POSICION DEL IDS • Si colocamos el IDS antes del cortafuegos capturaremos todo el tráfico de entrada y salida de nuestra red. La posibilidad de falsas alarmas es grande. • La colocación delante del cortafuegos monitorizará todo el tráfico que no sea detectado y parado por el firewall o cortafuegos, por lo que será considerado como malicioso en un alto porcentaje de los casos. La posibilidad de falsas alarmas muy inferior. • Algunos administradores de sistemas colocan dos IDS, uno delante y otro detrás del cortafuegos para obtener información exacta de los tipos de ataques que recibe nuestra red ya que si el cortafuegos está bien configurado puede parar o filtras muchos ataques. • En ambientes domésticos, podemos colocar el IDS en la misma máquina que el cortafuegos. En este caso actúan en paralelo, es decir, el firewall detecta los paquetes y el IDS los analizaría.

  19. CONCLUSIONES • IDS es un complemento de seguridad de los cortafuegos que apoya a la seguridad de un sistema informático. • Busca soluciones que se adapten a los recursos de la empresa y del sistema. • Se recomienda integrar los IDS en la política de seguridad de la empresa para una mayor seguridad.

More Related